Diseño y simulación de portal cautivo, que permita...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

Diseño y simulación de portal cautivo, que permita: autenticación,

aplicación de herramientas, políticas de seguridad, QoS y sonda

de red para el filtrado de contenido mediante

equipo UTM en la CISC-CINT

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR:

Linda Inés Andrade Cayambe

TUTOR:

Ing. Christian Omar Picón Farah

GUAYAQUIL – ECUADOR

2019

REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS

TÍTULO:

Diseño y simulación de portal cautivo, que permita: autenticación, aplicación de

herramientas, políticas de seguridad, QoS y sonda de red para el filtrado de

contenido mediante equipo UTM en la CISC-CINT.

REVISOR:

Ing. Fausto Raúl Orozco

Lara

INSTITUCIÓN: Universidad de

Guayaquil

FACULTAD: Ciencias Matemáticas y

Físicas.

CARRERA: Ingeniería en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN:

ÁREA TEMÁTICA: Administración de la red Wireless

PALABRAS CLAVES: Firewall, portal cautivo, proxy, IDS, IPS, Qos.

RESUMEN: El proyecto tiene como objetivo diseñar una propuesta con

ambiente controlado de portal cautivo para el ingreso de la red inalámbrica en

la carrera de Sistemas y Networking de la Universidad de Guayaquil mediante

el uso de software open source para el manejo y administración de la red

wireless, a través de políticas de seguridad para prevenir problemas en la red,

mediante autenticación, monitoreo, bloqueo de contenido malicioso, acceso a

páginas web, calidad de servicio, utilizando procesos como: análisis, propuesta

de diseño, simulación de proyecto, pruebas y mejoras, documentación con

herramientas del tipo freeradius, ntopNG, pfblockerNG, squid, squidguard,

IDS/IPS (Suricata), Traffic Shaper.

No. DE REGISTRO: No. DE CLASIFICACIÓN:

DIRECCIÓN URL:

ADJUNTO PDF: Sí No

CONTACTO CON AUTOR: TELÉFONO: E-MAIL:

LINDA INÉS ANDRADE

CAYAMBE

0996736539 [email protected]

CONTACTO DE LA INSTITUCIÓN:

NOMBRE: ING. CHRISTIAN OMAR PICÓN FARAH

TELÉFONO: 0988943949

II

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de titulación, “Diseño y simulación de portal

cautivo, que permita: autenticación, aplicación de herramientas, políticas de

seguridad, QoS y sonda de red para el filtrado de contenido mediante equipo UTM

en la CISC-CINT“, elaborado por la Srta. Linda Inés Andrade Cayambe, Alumna

no titulada de la Carrera de Ingeniería en Networking y Telecomunicaciones de

la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil,

previo a la obtención del Título de Ingeniera en Networking y Telecomunicaciones,

me permito declarar que luego de haber orientado, estudiado y revisado, la

Apruebo en todas sus partes.

Atentamente,


TUTOR

III

DEDICATORIA

Dedico a las personas que me aman y

han sido importante en mi vida, me han

dado fuerza en los momentos difíciles y

me desean lo mejor como mi familia por

su apoyo incondicional, especialmente a

mi papá que me ha orientado a hacer lo

correcto, siempre aconsejándome, por

ayudarme en todo lo que necesitaba en

mis estudios, para que me prepare

profesionalmente, a mi mamá porque

siempre me decía prepárate que lo

lograrás, no te rindas, estoy contigo, a

mis hermanos que desean que me

supere y me vaya bien en la vida, ellos

me han enseñado a luchar y buscar la

manera de salir adelante para alcanzar

mis metas y objetivos.

También agradezco a una persona

importante José Vicente Núñez Delgado

que me apoyado en todo momento, ha

dado su paciencia, tiempo, dedicación, y

siempre me dice no te rindas, que tú

puedes.

Todos ustedes han sido mi fortaleza en

todos estos años, muchas gracias.


IV

AGRADECIMIENTO

Agradezco a Dios por su amor

incondicional, por escuchar mis

oraciones, dándome fuerza y no a ver

permitido que me rinda, y hacer lo

correcto, por conocer personas que con

el paso de los años han sido esenciales

y nos hemos permitido ayudarnos

mutuamente.

A los docentes por su dedicación, en

corregirnos y guiarnos con sus

conocimientos para formar

profesionales. Tiene mi gratitud el

docente Ing. Christian Omar Picón

Farah.


V

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Fausto Cabrera Montes, M.Sc.

DECANO

FACULTAD CIENCIAS MATEMÁTICAS Y

FÍSICAS

Ing. Abel Alarcon Salvatierra, Mgs

DIRECTOR

CARRERA DE INGENIERIA EN

NETWORKING Y TELECOMUNICACIONES

Ing. Fausto Raúl Orozco Lara

PROFESOR REVISOR DEL ÁREA

TRIBUNAL

Ing. Ángel Steven Asanza Briones

PROFESOR REVISOR DEL ÁREA

TRIBUNAL

Ing. Juan Chávez Atocha, Esp.

SECRETARIO TITULAR


PROFESOR TUTOR DEL PROYECTO DE

TITULACIÓN

VI

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponden

exclusivamente; y el patrimonio intelectual

de la misma a la UNIVERSIDAD DE

GUAYAQUIL”


VII








Proyecto de Titulación que se presenta como requisito para optar por el título de

INGENIERA EN NETWORKING Y TELECOMUNICACIONES

Autor: Linda Inés Andrade Cayambe

C.I. 0953395571

Tutor: Ing. Christian Omar Picón Farah

Guayaquil, Octubre del 2019

VIII

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por la

estudiante LINDA INÉS ANDRADE CAYAMBE, como requisito previo para optar

por el título de INGENIERA EN NETWORKING Y TELECOMUNICACIONES,

cuyo tema es:

Diseño y simulación de portal cautivo, que permita: autenticación, aplicación

de herramientas, políticas de seguridad, QoS y sonda de red para el filtrado

de contenido mediante equipo UTM en la CISC-CINT.

Considero aprobado el trabajo en su totalidad.

Presentado por:

Andrade Cayambe Linda Inés Cédula de ciudadanía N° 0953395571

Tutor: Ing. Christian Omar Picón Farah

Guayaquil, Octubre del 2019

IX




AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL

1. Identificación del Proyecto de Titulación

Alumna: Linda Inés Andrade Cayambe

Dirección: Socio Vivienda 1 Mz 8E V11

Teléfono: 0996736539 E-mail: [email protected]

Facultad: Ciencias Matemáticas y Físicas.

Carrera: Ingeniería en Networking y Telecomunicaciones.

Título al que opta: Ingeniera en Networking y Telecomunicaciones.

Profesor guía: Ing. Christian Omar Picón Farah

Título del Proyecto de titulación: Diseño y simulación de portal cautivo, que permita: autenticación, aplicación de herramientas, políticas de seguridad, QoS y sonda de red para el filtrado de contenido mediante equipo UTM en la CISC-CINT.

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación.

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y

a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica

de este Proyecto de titulación.

Publicación electrónica:

Inmediata X Después de 1 año


3. Forma de envío:

El texto del proyecto de titulación debe ser enviado en formato Word, como archivo

.Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif,

.jpg o .TIFF.

DVDROM CDROM

Tema del Proyecto de Titulación: Firewall, portal cautivo, proxy, IDS, IPS, QoS

X

mailto:[email protected]

X

INDICE GENERAL

Contenido APROBACIÓN DEL TUTOR .......................................................................................... II

DEDICATORIA ................................................................................................................ III

AGRADECIMIENTO ....................................................................................................... IV

TRIBUNAL PROYECTO DE TITULACIÓN .................................................................. V

DECLARACIÓN EXPRESA ........................................................................................... VI

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ..................................................... VIII

AUTORIZACIÓN PARA PUBLICACIÓN ..................................................................... IX

INDICE GENERAL ........................................................................................................... X

ABREVIATURAS ............................................................................................................ XII

RESUMEN..................................................................................................................... XVII

ABSTRACT .................................................................................................................. XVIII

INTRODUCCIÓN ............................................................................................................. 1

CAPÍTULO I ...................................................................................................................... 4

EL PROBLEMA ................................................................................................................ 4

PLANTEAMIENTO DEL PROBLEMA ........................................................................... 4

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ................................................. 4

SITUACIÓN CONFLICTO NUDOS CRÍTICOS ........................................................... 6

DELIMITACIONES DEL PROBLEMA ........................................................................... 7

FORMULACIÓN DEL PROBLEMA ............................................................................... 7

EVALUACIÓN DEL PROBLEMA ................................................................................... 8

OBJETIVOS DEL PROBLEMA ...................................................................................... 9

OBJETIVO GENERAL ..................................................................................................... 9

OBJETIVOS ESPECÍFICOS .......................................................................................... 9

ALCANCE DEL PROBLEMA ......................................................................................... 9

JUSTIFICACIÓN E IMPORTANCIA ............................................................................ 10

CAPITULO II ................................................................................................................... 11

MARCO TEORICO ........................................................................................................ 11

ANTECEDENTES .......................................................................................................... 11

FUNDAMENTACIÓN TEÓRICA .................................................................................. 17

FUNDAMENTACION LEGAL ....................................................................................... 27

XI

PREGUNTA CIENTÍFICA A CONTESTARSE .......................................................... 31

DEFINICIONES CONCEPTUALES ............................................................................ 32

CAPITULO III .................................................................................................................. 33

FACTIBILIDAD OPERACIONAL.................................................................................. 33

FACTIBILIDAD TÉCNICA ............................................................................................. 34

FACTIBILIDAD LEGAL ................................................................................................. 35

FACTIBILIDAD ECONÓMICA ...................................................................................... 35

ETAPAS DE LA METODOLOGÍA DEL PROYECTO ............................................... 37

Fase 1.- Análisis de la red inalámbrica actual. .......................................................... 38

Fase 2.- Propuesta de diseño ...................................................................................... 43

Fase 3: Simulación de proyecto ................................................................................... 50

Fase 4.- Pruebas y mejoras ......................................................................................... 53

Fase 5.- Documentación ............................................................................................... 59

ENTREGABLES DEL PROYECTO ............................................................................. 60

FreeRadius ...................................................................................................................... 64

Proxy Transparent (Squid & SquidGuard).................................................................. 77

CRITERIOS DE VALIDACIÓN DE PROYECTOS .................................................. 101

PROCESAMIENTO Y ANÁLISIS ............................................................................... 101

METODOLOGIA DE LA INVESTIGACION .............................................................. 101

DISEÑO DE LA INVESTIGACION ............................................................................ 101

MODALIDAD DE LA INVESTIGACION .................................................................... 102

TIPO DE INVESTIGACIÓN ........................................................................................ 102

CAPITULO IV ................................................................................................................ 104

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ........................ 104

CONCLUSIONES......................................................................................................... 105

RECOMENDACIONES ............................................................................................... 105

BIBLIOGRAFÍA ............................................................................................................. 106

ANEXOS ........................................................................................................................ 109

XII

ABREVIATURAS

CINT Carrera de Ingeniería en Networking y Telecomunicaciones

CISC Carrera de Ingeniería en Sistemas Computacionales

HTTP Protocolo de Transferencia de Hiper Texto

HTTPS Protocolo de Transferencia de Hiper Texto seguro

URL Localizados de Fuente Uniforme

DB Base de datos

XIII

ÍNDICE DE CUADROS

CUADRO 1

Causas y consecuencias del Problema ........................................................... 6

CUADRO 2

Cantidad estimado de equipos y materiales para la instalación. ................. 34

CUADRO 3

Herramientas tecnológicas para administración ........................................... 35

CUADRO 4

Presupuesto Estimado .................................................................................... 36

CUADRO 5

Fases del Proyecto de Tesis ........................................................................... 37

CUADRO 6

Lista de servicios prioritarios para configurar QoS ...................................... 41

CUADRO 7

Comparación de herramientas open source ................................................. 43

CUADRO 8

Comparación de access point ........................................................................ 48

XIV

INDICE DE GRÁFICOS

GRÁFICO 1

Ubicación de la Carrera de Ingeniería en Sistemas y Networking ................. 5

GRÁFICO 2

Esquema general Sistema de autenticación hotspot y uso de sistema

operativo del Router Mikrotik ......................................................................... 13

GRÁFICO 3

Topología de gestión inalámbrica: Elaboración propia basada en Inventario

departamento TIC’s del GAD-Ibarra ............................................................... 15

GRÁFICO 4

Inicio de ClarkConnect 5.0 .............................................................................. 17

GRÁFICO 5

Componentes de Infraestructura de una red inalámbrica ............................ 19

GRÁFICO 9

Switch Catalyst 3750-E .................................................................................... 38

GRÁFICO 10

Pruebas del monitoreo de red ........................................................................ 39

GRÁFICO 11

Pruebas de ancho de banda CNT ................................................................... 40

GRÁFICO 12

Status de evaluación de popularidad firewall/router ..................................... 42

GRÁFICO 13

Diseño de la red inalámbrica CNT .................................................................. 44

GRÁFICO 14

Diseño de la implementación del firewall/router ........................................... 45

GRÁFICO 15

Conexión física ................................................................................................ 46

GRÁFICO 6

Netgate XG-7100 .............................................................................................. 47

GRÁFICO 7

Access Point Ubiquiti UniFi AC Pro AP ......................................................... 49

XV

GRÁFICO 8

Switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots

SFP ................................................................................................................... 49

GRÁFICO 16

Servicios .......................................................................................................... 50

GRÁFICO 17

Herramienta IDS ............................................................................................... 51

GRÁFICO 18

Visualizacion de flujos de datos activos de hosts conectado a la red ........ 52

GRÁFICO 19

Herramienta Monitoreo .................................................................................... 52

GRÁFICO 20

Apreciación del tráfico en forma gráfica ........................................................ 53

GRÁFICO 21

Portal cautivo ................................................................................................... 54

GRÁFICO 22

Credenciales para el ingreso del portal cautivo ............................................ 54

GRÁFICO 23

Usuarios conectados....................................................................................... 55

GRÁFICO 24

Bloqueo de sitios web ..................................................................................... 56

GRÁFICO 25

Bloqueo de puertos de Aplicaciones de juego .............................................. 56

GRÁFICO 26

Autenticación por vouchers............................................................................ 57

GRÁFICO 27

Usuarios conectados usando vouchers ........................................................ 57

GRÁFICO 28

Status vouchers en uso .................................................................................. 58

GRÁFICO 29

Registro de acceso al portal cautivo por credenciales ................................. 58

GRÁFICO 30

Registro de acceso al portal cautivo por voucher ........................................ 59

XVI

ÍNDICE DE ANEXOS

ANEXO 1

Monitoreo de la red ........................................................................................ 110

ANEXO 2

Entrevista 1 .................................................................................................... 111

ANEXO 3

Entrevista 2 .................................................................................................... 112

ANEXO 4

Entrevista 3 .................................................................................................... 113

ANEXO 5

Documento de aprobación de la Carrera de Sistemas Computacionales . 114

ANEXO 6

Documento de aprobación de la Carrera de Networking y

Telecomunicaciones...................................................................................... 115

ANEXO 7

Ubicación de conexión de la planta baja ..................................................... 116

ANEXO 8

Ubicación de conexión del primer piso........................................................ 117

ANEXO 9

Ubicación de conexión del segundo piso .................................................... 118

ANEXO 10

Ubicación de conexión del tercer piso ......................................................... 119

ANEXO 11

Netgate XG-7100 pfSense Security Gateway ............................................... 120

ANEXO 12

Especificaciones de Access Point Ubiquiti UniFi AC Pro AP ..................... 121

ANEXO 13


SFP ................................................................................................................. 122

XVII








Autor: Linda Inés Andrade Cayambe

Tutor: Ing. Christian Omar Picón Farah.

RESUMEN

El proyecto tiene como objetivo diseñar una propuesta con ambiente controlado

de herramientas administrativas y portal cautivo para el ingreso de la red

inalámbrica en la carrera de Networking y Sistemas de la Universidad de

Guayaquil mediante el uso de software open source para el manejo y

administración de la red wireless, a través de políticas de seguridad para prevenir

problemas en la red, mediante autenticación, monitoreo, bloqueo de contenido

malicioso, acceso a páginas web, calidad de servicio, utilizando procesos como:

análisis, propuesta de diseño, simulación de proyecto, pruebas y mejoras,

documentación con herramientas del tipo freeradius, ntopNG, pfblockerNG, squid,

squidguard, IDS/IPS (Suricata), Traffic Shaper.

XVIII








Author: Linda Inés Andrade Cayambe

Advisor: Ing. Christian Omar Picón Farah

ABSTRACT

The project aims to design a proposal with controlled environment of administrative

tools and captive portal for the entry of the wireless network in the Networking and

Systems career of the University of Guayaquil through the use of open source

software for the management and administration of the wireless network, through

security policies to prevent network problems, through authentication, monitoring,

blocking of malicious content, access to web pages, quality of service, using

processes such as: analysis, design proposal, project simulation, tests and

improvements, documentation with tools such as freeradius, NtopNG,

pfblockerNG, squid, squidguard, IDS / IPS (Meerkat), Traffic Shaper.

1

INTRODUCCIÓN

La administración de una red inalámbrica gestiona el aumento de la fiabilidad,

debido a QoS (Calidad de Servicio), seguridad y monitoreo constante. Cada vez,

las empresas o instituciones presentan conflictos en la red, y el uso indiscriminado

de los recursos de la red. Por esto, se busca mejorar la calidad de internet y

seguridad ante cualquier tipo de problema o amenaza. Actualmente, el sondeo de

la red brinda información como: la intensidad de la señal inalámbrica, anomalía,

entre otros. Con esta solución, nos permitirá realizar las respectivas

configuraciones para establecer políticas de seguridad y administración según las

necesidades de la institución.

La congestión se debe al uso excesivo de este recurso, por ello los usuarios

pierden conexión o presentan lentitud en la red. Generalmente, las causas de la

saturación de la red se presentan por aumento de usuarios u operaciones en

internet. Casi siempre, sucede en redes abiertas debido que no se limita el ancho

de banda, ni define la importancia de las solicitudes al equipo. Como solución, la

herramienta tecnológica QoS (Calidad de Servicio) de preferencia establece la

prioridad a servicios importantes como: correo electrónico, páginas de

investigación, para beneficio de la institución. Finalmente, el objetivo es mejorar el

rendimiento de la red y no interrumpir las operaciones diarias.

La aplicación de herramientas a nivel de open source gestiona la seguridad y

administración de una red. Con la instalación de los servicios establecidos se

convierte en un equipo UTM; por consiguiente, es robusto, escalable y presenta

alta disponibilidad. Se implementa políticas de seguridad a través de filtrado de

contenido malicioso, inapropiado, no deseado y el uso del monitoreo constante en

la red. Se ofrece funciones de administración centralizada a través de la

instalación de la herramienta tecnológica para enfrentar conexiones ilícitas que

perjudiquen a la institución.

2

El monitoreo de la red analiza equipos o dispositivos conectados de forma diaria

y constante. Con él, se controla y detecta cualquier comportamiento anormal en

el tráfico de red. Por esta razón, el sondeo de la red informa de sobrecargas y

fallos. La monitorización nos facilita datos sobre del uso excesivo del ancho de

banda. Casi siempre, el colapso y fallas en la red ocurren en momentos de máximo

trabajo o flujo de datos (horas pico). Por lo cual, se detecta posibles

inconvenientes antes de que ocurra una saturación o caída de las redes.

El portal cautivo es una página especial, el cual nos permite ingresar las

respectivas credenciales antes de acceder a la red. Adicionalmente, se

personaliza los parámetros que debe completar el usuario o aceptar un acuerdo

para navegar por internet y se configura para establecer un tiempo permanente o

temporal. En este caso, en la simulación del proyecto cada usuario deberá

ingresar con sus credenciales que se enviarán al correo institucional. Por lo cual,

si algún usuario no tiene acceso a internet en ese momento, se da la opción de

acceder temporalmente a la red mediante un voucher hasta que obtenga sus

credenciales para ingresar, es válido para los usuarios que pertenecen a la

institución.

El firewall/router vigila el tráfico y realiza el enrutamiento de paquetes de datos.

Además, con la instalación de otros servicios se convierte en un equipo UTM de

tal manera que garantiza la seguridad y escalabilidad de la red. Por esto, se

determina realizar las configuraciones necesarias para la implementación de

varias herramientas tecnológicas como:

• Portal cautivo, Gestor de autenticación

• Monitoreo de manera exhaustiva de la red, se define el comportamiento de

los dispositivos conectados a la red.

• IDS (Sistema de Detección de Intrusión) Sistema que monitorea el tráfico

de la red y genera alertas hacia anomalías en la transmisión de datos.

• QoS (Control de Calidad) se controla el ancho de banda estableciendo

prioridades según las necesidades de la institución.

3

• Proxy. - Permite o bloquea el contenido de sitios web.

La herramienta open source ofrece servicios con funciones de seguridad y

administración realizando sus respectivas configuraciones adecuadas según las

necesidades que se establezca. Pfsense es un software libre con funcionalidad de

firewall/router basado en la distribución de Linux: FreeBSD.

Primer capítulo, presenta los inconvenientes de la conexión de la red inalámbrica

como: el colapso de la red y problemas de seguridad. Por esto, se brinda

soluciones de administración y prevención en la red de la Carrera de Ingeniería

en networking y sistemas del centro.

Segundo capítulo, se centra en escenarios similares como ocurre en la institución.

Además, se determina la importancia del uso de herramientas tecnológicas que

solventan la red y se define conceptos importantes del proyecto.

Tercer capítulo, se establece la factibilidad del proyecto basándose en las

entrevistas abiertas, monitoreo de la red. Aparte, se desarrolla el rediseño de la

red inalámbrica para solventar los inconvenientes establecidos. Por este motivo,

se define la instalación de las herramientas tecnológicas. Además, se plantea un

manual de las configuraciones realizadas y la descripción de las fases del

proyecto.

Cuarto capítulo, define los resultados óptimos mediante la instalación de Pfsense

con la implementación de herramientas tecnológicas realizando la configuración

adecuada se determina las conclusiones y recomendaciones para la

administración y seguridad de la red Wireless de manera correcta

4

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

La Facultad de Ciencias Matemáticas y Físicas del centro se encuentra situado en

Víctor Manuel Rendón 429 entre Baquerizo Moreno y Córdova como se visualiza

en el gráfico 1, fue creado con el objetivo de formar profesionales en el campo de

la tecnología informática, a fin de estar al frente de grandes proyectos innovadores

debido a los conocimientos tecnológicos y científicos que hemos adquirido a lo

largo de años de estudio. Por tanto, se ha utilizado los recursos brindados por la

institución para el aprendizaje. Dicho esto, existen problemas de conexión, no

existe control de acceso y no presenta mecanismos de seguridad contra ataques

informáticos que protejan la integridad de la información o las actividades diarias

de la institución.

Los alumnos constantemente hacen sus proyectos, tareas, prácticas en sus

laptops, celulares. Debido a eso, se da importancia que ingresen a una red de

forma segura y estable, con la prioridad de que los usuarios cumplan con sus

tareas.

5

GRÁFICO 1

Ubicación de la Carrera de Ingeniería en Sistemas y Networking

Víctor Manuel Rendón 429 entre Baquerizo Moreno y Córdova

Fuente: Google Maps

Elaborado por: Linda Inés Andrade Cayambe

La institución académica de nivel superior tiene brechas de seguridad debido a

que usuarios que no pertenecen a la carrera se conectan a la red. Como resultado,

se satura la red por gran cantidad de peticiones innecesarias y no presenta

medidas de seguridad para prevenir, gestionar y acceder a la red. Por este motivo,

el Departamento de Coordinación de Software debe tomar sugerencias y

recomendaciones.

La CISC-CINT necesita un rediseño e implementación de infraestructura de red

inalámbrica que garantice la conectividad segura y estable. Por tanto, se instala

herramientas de código abierto, para establecer políticas de seguridad y acceso,

con la intención de enfrentar diferentes situaciones de riesgos que no genere

inconvenientes para los usuarios.

6

SITUACIÓN CONFLICTO NUDOS CRÍTICOS

La CISC-CINT no maneja un plan de prevención de congestionamiento o de una

red segura debido a que cualquier usuario puede ingresar porque su sistema de

seguridad y administración de red es bajo. En la actualidad, no es posible detectar

y prevenir algún problema, ni controlar el acceso a la red como se muestra en el

cuadro 1. El inconveniente de no contar con un diseño administrativo que

establezca las respectivas medidas de prevención como: el monitoreo,

seguimiento y control. Los ataques informáticos se pueden suscitar en cualquier

momento. Por ese motivo, se busca brindar una conexión segura y estable,

detectar las vulnerabilidades con anticipación actuando de manera oportuna y

garantizar buena calidad y estabilidad de conexión o internet en las instalaciones

del centro.

CUADRO 1

Causas y consecuencias del Problema

Causas Consecuencias

Sin herramientas de acceso y políticas de seguridad.

Acceso anónimo sin seguimiento, uso inapropiado de los recursos del internet

La institución no cuenta con un sistema de gestión de ancho de banda.

Sobrepasar el ancho de banda y que no responda de inmediato ya que sus recursos se usan para programas no indispensables: juegos, páginas indebidas, etc.

No monitorear la red No detectar los equipos inactivos y anomalías

No establecer un proxy para restringir páginas web.

Páginas no útiles y no autorizadas.

Fuente: Datos de la investigación


7

DELIMITACIONES DEL PROBLEMA

DELIMITACIÓN DE LA INVESTIGACIÓN

Campo: Tecnológica.

Área: Administración de la red Wireless de la CISC-CINT.

Aspecto: Red abierta y no dispone de políticas de seguridad.

Tema: Diseño y simulación de portal cautivo, que permita: autenticación,

aplicación de herramientas, políticas de seguridad, QoS y filtrado de contenido

mediante equipo UTM en la CISC-CINT.

FORMULACIÓN DEL PROBLEMA

En el análisis de la actual infraestructura de red de la CISC-CINT se estableció

que la seguridad de red que debería manejar el Departamento de Coordinación

de Software como anticipar, detectar y prevenir inconvenientes de lentitud de la

red o pérdida de conexión. En consecuencia, no presenta políticas de seguridad

y administración. Por ese motivo, es difícil combatir con los problemas de la red,

sobre todo en horas pico donde no se define la prioridad de banda ancha como

correo, investigaciones, sistemas virtuales, navegación en internet, según las

necesidades que requiera la carrera. Generalmente es utilizada para ocio como

juegos, videos y esto consume el ancho de banda, debido a eso los alumnos y

profesores no pueden gestionar para asuntos académicos.

Este diseño de red garantiza mayor estabilidad, escalabilidad, confiabilidad,

implementando servicios para soluciones administrativas y así extender sus

funcionalidades para los usuarios que se conectan a la red wireless.

8

EVALUACIÓN DEL PROBLEMA

Delimitado: El análisis se realiza en la CISC-CINT ubicada en las instalaciones

del centro, se define las falencias que tiene la red wireless en dichas instalaciones,

en las cuales cabe recalcar que no existe ni un medio de administración. Como

objetivo es proponer la forma y metodología correcta para llevar a cabo dicha red.

Claro: Del análisis realizado se llega a la conclusión que no hay la adecuada

administración de la red Wireless así que los ataques y el uso indiscriminado de

la red es inevitable, ya que no lleva ningún método de monitoreo.

Evidente: El acceso libre hacia la red wireless provoca una congestión abismal

de los recursos de internet y de la red en general.

Concreto: Se tiene claro los problemas de conectividad y seguridad en la red

donde se establece mejoras en su infraestructura de red con las herramientas

open source.

Relevante: Resolver la pérdida de conectividad y congestión de red que pueden

ocurrir en momentos críticos.

Factible: La tecnología wireless con sus métodos de autenticación y políticas de

seguridad han tenido una gran evolución para la correcta administración de una

red, gracias al software open source es posible la administración de una red.

Identifica los productos esperados: Los administradores controlan el acceso

mediante el uso de herramientas tecnológicas.

9

OBJETIVOS DEL PROBLEMA

OBJETIVO GENERAL

Diseñar una red inalámbrica administrable para supervisar y gestionar el acceso

de los recursos de la CISC-CINT mediante el uso de una herramienta tecnológica

open source garantizando una conexión estable y segura a los usuarios al ingresar

a la red.

OBJETIVOS ESPECÍFICOS

• Recolectar información de la situación actual de la red y sus recursos.

• Analizar la red inalámbrica actual de la carrera.

• Diseñar propuesta de red inalámbrica basado en buenas prácticas.

• Investigar posibles equipos de comunicación a ser usado en propuesta de

diseño.

• Realizar simulación de herramienta de gestión en ambiente controlado.

ALCANCE DEL PROBLEMA

Se define un plan de diseño en un escenario de prueba mediante el uso de

herramientas tecnológicas open source para poder dar solución de administración

a la institución de manera segura, confiable y escalable. Para determinar las

condiciones de la red actual de la institución, se realizará monitoreo de la red para

poder obtener gráficas de uso, solicitudes, puertos usados, etc.

Se establecerá métodos de autenticación para el ingreso de los usuarios

autorizados, utilizando los recursos de la CISC-CINT dando así una conexión

restringida, segura y confiable.

10

Se implementará reglas de seguridad para el bloqueo de conexión, puertos o

direcciones IP no autorizadas en el que se podrá detectar y prevenir ataques de

cualquier tipo que puedan perjudicar a la institución.

Se implementará métodos de filtrado web para bloqueo de contenido malicioso y

páginas web innecesarias, así como se establecerá políticas de prioridad para la

navegación como correo electrónico, paginas académicas, que son más usados

en la institución.

JUSTIFICACIÓN E IMPORTANCIA

Debido que la red es abierta y no está protegida es necesario tomar medidas de

seguridad, ya que usuarios no autorizados pueden introducir virus o ataques en el

sistema, o robar nuestros datos y hacer uso indebido de ello.

Se ha establecido realizar un previo análisis de la red donde se determina que

herramientas tecnológicas serán implementadas para un software personalizado

según las necesidades de la institución, proporcionar los más altos niveles de

seguridad, confianza, rendimiento y escalabilidad. El software libre se instala,

configura y gestiona herramientas, donde se garantiza la seguridad en un alto nivel

para proteger la integridad de los activos conectados a la red.

La solución permitirá proteger nuestro sistema administrativo de red donde se va

a gestionar los recursos, de tal forma que permita uso exclusivamente académico,

donde los usuarios que pertenezcan en la CISC-CINT puedan autenticarse (login).

Los administradores de red realicen el monitoreo de la red Wireless para el control

y administración del uso de recursos informáticos para garantizar la

funcionabilidad y eficacia de la red.

11

CAPITULO II

MARCO TEORICO

ANTECEDENTES

El 7 del mes de diciembre del año 2017 José Vicente Núñez Noboa en la Facultad

de Ciencias Físicas y Matemáticas de la Carrera de Ingeniería en Networking y

Telecomunicaciones de la Universidad de Guayaquil previo de la obtención del

título de Ingeniero en Networking y Telecomunicaciones plantea en su tema de

tesis diseño e implementación de seguridad perimetral para la infraestructura de

la empresa FASAKO S.A. usando herramientas open source. Se destaca en su

estudio sobre el uso de una herramienta tecnológica de código abierto de

prevención, control y gestión para mejoras en la infraestructura de red brindando

mejor calidad en el servicio de Internet e incrementar el ancho de banda por

motivos laborales, realizando su respectiva instalación y configuración de cada

servicio en la cual se garantiza un mayor nivel de protección de integridad de datos

de los usuarios, así como mitigar cualquier tipo de ataque o daño que puede

ocasionar en el sistema de seguridad. Se debe gestionar problemas de prevención

y monitoreo para anticipar cualquier problema y evitar que sea más grande o más

fuerte, con la finalidad proteger la red frente amenazas de seguridad. (Núñez

Noboa, 2017)

Tiene como objetivo administrar la red Wireless donde la implementación del

equipo de frontera es robusto, escalable y seguro, en el cual su función es realizar

la inspección, control y filtrado de tráfico usando listas de control y acceso, las

cuales autorizan o rechazan todo el tráfico de datos de la red de FASAKO S.A. La

12

herramienta tecnológica deberá anticipar y responder ante problemas de

prevención, estableciendo políticas de seguridad y gestionar el uso del ancho de

banda sobre todo en horas críticas para evitar la lentitud o pérdida de la red.

(Núñez Noboa, 2017)

El 26 de Febrero del año 2016 Jaime Fernando Santillán Cazares y Carlos Patricio

Villalta Cedeño en la Facultad de Ciencias Administrativas de la Universidad de

Guayaquil previo a la obtención del título de Ingeniero en Networking y

Telecomunicaciones presenta como propuesta de implementación de un portal

cautivo hotspot, para brindar el servicio de internet inalámbrico en negocios pymes

y soho (small office home office) de la ciudad de Guayaquil. Se establece

beneficios en el costo de esta tecnología donde se instala en un equipo y se

convierte en un router con herramientas: firewall, access point, routing, VPN, etc.

Pueden trabajar con dos proveedores de internet sin perder la conexión,

ofreciendo servicios de calidad. La implementación de un portal cautivo hotspot

como se muestra en el gráfico 2 trata de un dispositivo que permite el ingreso a

internet mediante una red Wireless. Tiene una cobertura amplia que cambia

dependiendo de la clase de antena, y de factores externos como interferencias,

barreras, canal saturado, etc; que deterioran la recepción de la señal. Establece

políticas de conexión gratis sin necesidad de autenticarse u horarios de

conectividad, entre otros. Un punto importante para mitigar cualquier ataque de

los hackers es establecer encriptación de seguridad WAP y WEP como medida

de protección a la información sensible ya que su finalidad es robar, modificar los

datos con el fin de perjudicar o arruinar la reputación de la empresa, ya que los

usuarios decidirán que no presenta la seguridad adecuada y no es confiable dar

sus datos. Se emplea métodos para autenticarse como validación de sus

credenciales utilizando el servicio RADIUS, y administración del ancho banda

estableciendo prioridad de navegación utilizando hotspot. (Santillán Cazares &

Villalta Cedeño, 2016)

Se establece políticas de seguridad sobre el acuerdo que los usuarios deben

aceptar para acceder a la red inalámbrica, donde se protege la información no sólo

13

del usuario sino de la empresa. La administración de la red WIFI mediante el portal

cautivo permite el uso fácil de su interfaz donde los usuarios deben ingresar sus

datos para su validación al acceso de la red, se recopila información necesaria

para el control del uso de internet. (Santillán Cazares & Villalta Cedeño, 2016)

GRÁFICO 2

Esquema general Sistema de autenticación hotspot y uso de sistema

operativo del Router Mikrotik

Fuente: (Santillán Cazares y Villalta Cedeño, 2006)


Mikrotik RouterOS se convierte en un router donde tiene implementado un sistema

operativo y funciona como access point. El portal cautivo hostpot redirecciona a

una página particular donde recoge los datos de los usuarios al momento de

autenticarse y validar sus credenciales para poder navegar por internet. Se

almacena la información en una base de datos, y es un sistema centralizado de la

administración de la red inalámbrica. (Santillán Cazares & Villalta Cedeño, 2016)

14

El día 25 de Mayo del año 2015 Myriam Paola Ipiales Túquerres en la Facultad de

Ingeniería en Ciencias Aplicadas de la Universidad Técnica del Norte previo a la

obtención del título de Ingeniera en Electrónica y Redes de Comunicación

presenta como tema de tesis administración de la red inalámbrica del Gobierno

Autónomo Descentralizado de San Miguel de Ibarra a través de La plataforma

Mikrotik basada en el Modelo de gestión FCAPS de la ISO, plantea la

administración centralizada de la red wifi a través de la herramienta tecnológica

open source The dude de Mikrotik como se muestra en el gráfico 3, se determina

políticas de administración para optimizar la técnica FCAPS (Fallos,

Configuración, Contabilidad, prestaciones y seguridad) de la ISO: monitorear la

red de forma constante obteniendo en tiempo real el debido informe del estado de

los dispositivos con el fin de mejorar el servicio, en caso de alguna anomalía

generar alertas y actuar sobre el mismo. Se presta los servicios necesarios para

su debida administración optimizando los recursos de la red donde los usuarios

pueden conectarse de forma eficiente. Las herramientas implementadas son

firewall, servidor DHCP, servidor DNS, hotspot o portal cautivo, user manager

(paquete del sistema RouterOS, presenta una administración avanzada para

controlar quienes se conectan a la red), Thunder Cache (sistema web cache

almacena contenidos de acceso en la red, con actualizaciones de Windows y

antivirus), Modulo Ups (supervisa el Sistema de Alimentación Ininterrumpida y la

configuración respectiva del router en el manejo de cualquier corte eléctrico y se

restablezca sin ningún daño) y Servidor de Tiempo (sincronización de tiempo de

la mayoría de los equipos conectados en la red). (Ipiales Túquerres, 2015)

15

GRÁFICO 3

Topología de gestión inalámbrica: Elaboración propia basada en Inventario

departamento TIC’s del GAD-Ibarra

Fuente: Ipiales Túquerres, 2015


El modelo de gestión The dude se centra en los requerimientos a nivel de

hardware y software, en el monitoreo, control y procedimiento correcto. La

administración de la red Wireless consta de un servidor local y el manejo se

gestiona en una interfaz gráfica en una laptop. Además, se podrá conectar a través

de una VPN para el constante monitoreo. (Ipiales Túquerres, 2015)

Requerimientos a nivel de software, se enfoca en la red wifi y el modelo de gestión

FCAPS de ISO, incluye el software de Gestion The dude de Mikrotik es la parte

fundamental para la administración wifi, donde la mayoría de los equipos es de

marca Mikrotik y permite el acceso remoto para el monitoreo continuo. Se añade

las herramientas de gestión donde el wireshard analizador de tráfico detalla el

16

rendimiento de la red, se usa VPN y herramientas Mikrotik que permiten controlar

la red: winbox (configuración), entre otros. (Ipiales Túquerres, 2015)

Requerimientos a nivel de hardware, es necesario saber la ubicación del cuarto

de telecomunicaciones y aplicar las buenas prácticas para un equipo robusto.

Además, se realiza el monitoreo de la red, el ingreso de manera remota para el

manejo y control del servidor. La finalidad de todo es brindar una red confiable y

segura. Para los ciudadanos de la Ciudad de Ibarra y los turistas se ofrece un

buen servicio de internet mediante navegación gratuita en sitios estratégicos,

estableciendo la prioridad de ancho de banda a determinados paquetes de datos.

(Ipiales Túquerres, 2015)

En el año 2010 Patricio Esteban Ávila Santacruz en la Facultad de Facultad de

Ingeniería en Sistemas e Informática previo a la obtención del título de Ingeniero

en Sistemas e Informática presenta como tema de tesis Optimización y

administración para el uso del Internet en la red de Policía de Migración a nivel

nacional utilizando herramientas bajo Linux, se basa en el uso del software

ClarkConnect para gateway como se muestra en el gráfico 4 en el ingreso

simultáneo a varios a clientes en una conexión, y su administración es centralizada

para el manejo de los recursos informáticos. Se usa el balanceo que distribuye la

carga de tareas para mejorar el rendimiento de la red en tiempo crítico. También,

se utiliza el filtrado de contenido web con el fin de evitar cualquier anomalía

estableciendo políticas de seguridad para el bloqueo de páginas web, un rango de

direcciones IP como servidores, puertos, países peligrosos, paginas indebidas, de

ocio. Otra herramienta informática que usa es proxy donde almacena memoria

caché de sitios de internet que ha visitado anteriormente, y si vuelve a realizar la

búsqueda accederá de inmediato. Como solución, se administra el ancho de

banda para limitar la capacidad de carga y descarga de archivos ya que en horas

críticos presenta lentitud en internet. Por este motivo, se realiza el manejo y

rapidez de respuesta mediante QoS para optimizar los recursos de la red mediante

Bandwith Management. (Ávila Santacruz, 2010)

17

GRÁFICO 4

Inicio de ClarkConnect 5.0

Fuente: Ávila Santacruz, 2010


FUNDAMENTACIÓN TEÓRICA

Introducción a las Redes Inalámbricas

La conexión de una red nos permite acceder y utilizar los recursos, sus beneficios

es la inmediata instalación, implementación en precios bajos y movilidad, se utiliza

en áreas públicas, empresas, en cualquier lugar del mundo con el fin de acceder

a internet, ya que la tecnología va cada vez evolucionando, y continuamente

extendiendo sus innovaciones para el beneficio del usuario. (Mena Flores & Jara

Llumigusín, 2013)

18

Definición de Red inalámbrica

Las redes inalámbricas son aquellas que usan ondas electromagnéticas para que

los dispositivos electrónicos puedan conectarse a la red sin necesidad de utilizar

algún cable, dentro de un área determinada. (Salazar, 2016)

Características de la red inalámbrica

Inmediata instalación. – Tiempo corto de implementación, no arruina la estética

del sitio. (Mena Flores & Jara Llumigusín, 2013)

Implementación en precios bajos. - El costo al principio de una red Wireless

puede ser más alta que la red cableada, pero presenta un gran provecho en un

tiempo extendido. (Mena Flores & Jara Llumigusín, 2013)

Movilidad. - Los usuarios pueden conectarse en cualquier lugar dentro de la

cobertura de red, sin ir a un sitio especifico. (Mena Flores & Jara Llumigusín, 2013)

Escalabilidad. – El aumento de nuevos usuarios no necesita grandes reformas

en la red inalámbrica y puede ser instalado en cualquier tipo de topología. (Mena

Flores & Jara Llumigusín, 2013)

Componentes de una red inalámbrica

Puntos de acceso. – Es el medio de comunicación de datos inalámbricos y

cableadas.

Estaciones. – Son equipos o dispositivos que pueden navegar en la red

inalámbrica (Solano Jimenéz & Oña Garcés, 2009)

19

GRÁFICO 5

Componentes de Infraestructura de una red inalámbrica

Fuente: (Mena Flores & Jara Llumigusín, 2013)


Seguridades inalámbricas

El peligro de la información sensible siempre será el objetivo de los hackers, en

las cuales pueden receptarlo y utilizarlo para un propósito de robo, manipulación,

chantaje o averiguar el conocimiento de sus habilidades sobre vulnerabilidades

encontradas, sea cual fuese el caso es una violación a nuestra privacidad, donde

los ataques pueden producirse por personas contratadas para desestabilizar la

seguridad de la red, o por aquellos que no tienen experiencia y tratan de probar

sus conocimientos en temas de hacking, o por el personal autorizado la cual es

más peligroso y logra exponer las brechas de seguridad que tiene la red. (Mena

Flores & Jara Llumigusín, 2013)

Seguridad Física

Proteger todos los equipos y dispositivos conectados a la red, utilizando las

buenas prácticas en normas e instalación que garantice el largo periodo útil,

evitando fallas y proteger ante catástrofes naturales, uso indebido y acceso no

autorizado. (Mena Flores & Jara Llumigusín, 2013)

20

Portal Cautivo

Es aquella que vigila el tráfico de datos y fuerza al usuario ir a una página especial

para acceder a los recursos informáticos. El cliente al conectarse a la red se le

asigna una IP a través del servidor DHCP. (Asencio Cevallos, 2016)

Es utilizada en las redes inalámbricas como método de seguridad, ya que los

usuarios que deseen acceder a la red para utilizar los recursos informáticos deben

brindar cierta información o aceptar condiciones de uso. (Mena Flores & Jara

Llumigusín, 2013)

Es aquella que obliga al usuario a usar una página especial de autenticación para

ingresar a la red.

Características

• Limitar las conexiones de cuantos usuarios pueden acceder a la red.

• Limitar el tiempo de conexión.

• Sitio de la página web del portal cautivo del tipo https.

• Al autenticarse se redirecciona a una página configurada por el

Administrador de red.

• Varios mecanismos de autenticación:

✓ Transparente. - No se completa ningún dato

✓ Usuarios base de datos locales/remotos. – En la base de datos

están definidos que usuarios pueden autenticarse

✓ RADIUS. – Usado para numerosos servidores RADIUS y sus

capacidades son:

➢ Obliga a la re- autenticación

➢ Actualiza cuentas de usuarios

➢ Se autentica utilizando MAC, usuario y contraseña.

Portales Cautivos por Software

Esta implementado en programas, para su funcionamiento se instalan y se

realizan las respectivas configuraciones en un servidor local de la red. Ejemplo:

PfSense (FreeBSD) (Mena Flores & Jara Llumigusín, 2013)

21

Ventajas de los Portales Cautivos

Presentar publicidad y encuestas

Definir políticas de uso

Administración de autenticación

Estadísticas de empleo (Mena Flores & Jara Llumigusín, 2013)

Protocolo AAA

Autenticación

Se identifica al usuario, verificando las credenciales facilitados por el cliente con

el servidor AAA, si es correcto accede a la red, en caso contrario se bloquea el

ingreso a la red. (Asencio Cevallos, 2016)

Autorización

Determina los permisos de acceso de los recursos que tiene cada cliente. (Asencio

Cevallos, 2016)

Contabilidad

Registro de datos sobre la cantidad de uso de los recursos en la red. (Asencio

Cevallos, 2016)

Autenticación

Usuario: Se identifica en tiempo real si el cliente es quien asegura ser.

En conocimiento: Es algo que el cliente y el sistema sabe. (Hernández López,

2013)

En pertenencia: Se asocia a dispositivos físicos, donde se guarda datos únicos,

para identificar al usuario. (Hernández López, 2013)

22

Políticas de seguridad

Se administra para evitar o mitigar ataques de seguridad, se integra políticas y

privilegios que tiene cada usuario las cuales son manejados por el administrador

de red. Las políticas de seguridad se definen de acuerdo con las necesidades de

la empresa u organización utilizando herramientas tecnológicas para la protección

de la red. (Jadán Montero, 2013)

Mecanismos de seguridad

Prevención. – Se define la información cifrada, control de accesos, donde actúa

o protege ante un posible ataque.

Detección. – es aquella que avisa o alerta de algún ataque.

Recuperación. – Detección de algún daño en la red y restablecer la operación de

forma correcta. (Álvarez Rincón, 2014)

Creación de Políticas de Seguridad

Almacenamiento de Contraseñas

Los usuarios tienen asignado un usuario y contraseña, y cualquier uso indebido

será reportado y notificado en nuestro sistema. (Álvarez Rincón, 2014)

Control de acceso

Acceso a la red. – Solo los usuarios autorizados pueden ingresar a la red

mediante mecanismos de autenticación. (Álvarez Rincón, 2014)

Lista de usuarios. – En la base de datos estará almacenada los usuarios que

están registrados. (Álvarez Rincón, 2014)

Registro de actividades. -Para detectar cualquier uso indebido o dañino que

pueda perjudicar en la red. (Álvarez Rincón, 2014)

23

Acceso a Internet. -Las personas autorizadas tendrán acceso a navegar por

internet. (Álvarez Rincón, 2014)

Restricción a sitios web. -Se bloquea el acceso a páginas inseguras que pueda

perjudicar a la empresa. (Álvarez Rincón, 2014)

Control de tráfico

Ancho de banda

No sobrecargar la red por el uso indebido, para evitar pérdidas o lentitud de

conexión ya sea por visitas a sitios web como videos no adecuados, entre otros,

solo dar prioridad a fines de estudio. (Álvarez Rincón, 2014)

Herramientas Tecnológicas

PfSense

Es una herramienta tecnológica open source, su sistema operativo es FreeBSD,

El firewall/router se gestiona por completo a través de la interfaz web, se realiza

las configuraciones necesarias para establecer servicios de DNS, DHCP, VPN,

entre otros. Además, realiza funciones como monitoreo de red, administración del

ancho de banda, filtrado de contenido, etc. Demostrando que es un sistema

completo para combatir vulnerabilidades y administración de la red, brindando

calidad de internet al usuario. (Gutierrez Zea, 2014)

Squid

Es un proxy caché de páginas guardadas que son usadas de forma recurrentes y

filtrado de sitios web, permite el manejo de acceso y realiza bloqueo de páginas

web, por dirección IP, entre otros. (Guills, 2015)

Características

• Posee caché de HTTP, FTP y URL

24

• Realiza peticiones HTTP, HTTPS y FTP a usuarios que deseen conectarse

a alguna página web y se guarda de manera local los sitios visitados por

los usuarios mediante el caché. (ecured, 2019)

• Acceso de inmediato a las páginas que ha visitado anteriormente. (ecured,

2019)

Squidguard

Filtrado de contenido web, un plugin de Squid de políticas establecidas por el

administrador de red para el bloqueo o redirección de sitios web, extensas

características según lo requiera la empresa. (Guills, 2015)

Características

• Limita el acceso de clientes a ciertos servidores web o URL

• Bloquea ciertas páginas web o URL utilizando una lista negra

• Redirecciona las páginas que no son autorizadas a una página de

información. (Pfsense Squid, 2019)

• Se puede configurar por bloqueo de dominios

• Se puede bloquear por expresiones como “sexo” y “porno” (Guills, 2015)

Firewall

Es aquella que autoriza o bloquea el tráfico de red al mismo tiempo.

Características

• Filtrado de contenido

• Políticas de enrutamiento

• Creación de aliases para realizar la configuración sencilla que se

encuentran agrupados con varias IP públicas o servidores, redes o

puertos. (firewallhardware, 2019)

• Las reglas del firewall son aquellos que permiten o deniegan el acceso de

conexiones, especificando el tipo de red o protocolos de comunicaciones,

entre otros. (firewallhardware, 2019)

25

Freeradius

Es de código abierto, donde se autentican los usuarios a través de una base de

datos creado en Freeradius o se enlaza con un gestor de base de datos.

• Admite todo tipo de autenticación EAP.

• Se conectan con gestores de base de datos como MySQL, PostgreSQL,

etc.

• Cuenta con su propio certificado SSL/TLS.

Ntopng

Es aquella que sondea el tráfico de paquetes en tiempo real y presenta datos

históricos.

Características

• Se clasifica el tráfico de red según sus criterios (dirección IP, puertos,

sistemas autónomos, entre otras). (ntop, 2019)

• Presenta la información en tiempo real.

• Sondea y realiza un informe de todo lo que ocurre en la red, como su

rendimiento, latencias, etc. (ntop, 2019)

• Muestra información de protocolos de aplicación

• Soporte para IPV4, IPV6, Capa 2, SNMP.

• Informe de hosts sospechosos y maliciosos, etc. (ntop, 2019)

pfBlockerNG

Es aquella que bloquea sitios no confiables de diferentes niveles por medio de

descargas de listas y se establece en las reglas del firewall para prevenir ataques

en la red. (linuxmanr4, 2019)

Características

• Uso de la base de datos GEOIP

• Bloqueo de direcciones IP:

✓ Malware

26

✓ spammers

✓ Entre otros ataques

✓ Bloqueo de sitios no seguros a nivel mundial

Traffic Shaper

Modelado de tráfico y Calidad de servicio (QoS) se usa para el control del uso del

ancho de banda de cada dispositivo conectado en la red. (Guills, 2015).

Se utiliza políticas de gestión de tráfico para que el rendimiento de la red sea

eficiente y veloz. (Pfsense Traffic Shapper, 2019)

Características

• Se realiza configuraciones para establecer que ciertos paquetes se de

mayor prioridad y utilicen un alto ancho de banda. (Pfsense Traffic

Shapper, 2019)

• Limita el acceso por HTTPS.

• Limita el ancho de banda a una IP específica.

• Creación de limitadores de subida y bajada de paquetes.

• Uso de wizard para crear colas y reglas automáticamente.

IDS/IPS Suricata

Suricata es un open source, IDS (Sistema de Detección de Intrusos) aquella que

alerta si hay ataques o paquetes sospechosos e IPS (Sistema de Prevención de

Intrusos) actúa ante un ataque o abuso.

Características

• Multi-threading, es aquella que procesa bastantes hilos (que inspecciona

la red, compara firmas y se ejecutan las alertas), maneja un conjunto de

procesos que se ejecutan al mismo tiempo a la vez. (alienvault, 2019)

• Muestra estadísticas de rendimiento.

• Detección de Protocolos automáticos. (semanticscholar, 2018)

27

FUNDAMENTACION LEGAL

UTILIZACION DE SOFTWARE LIBRE EN LA ADMINISTRACION PUBLICA

Decreto Ejecutivo 1014

Rafael Correa Delgado

PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA

Considerando:

Que en el apartado g) del numeral 6 de la Carta Iberoamericana de Gobierno

Electrónico, aprobada por la IX Conferencia Iberoamericana de Ministros de

Administración Pública y Reforma del Estado, realizada en Chile el 1 de junio del

2007, se recomienda el uso de estándares abiertos y software libre, como

herramientas informáticas;

Que es el interés del Gobierno alcanzar soberanía y autonomía tecnológica, así

como un significativo ahorro de recursos públicos y que el software libre es en

muchas instancias un instrumento para alcanzar estos objetivos;

Que el 18 de julio del 2007 se creó e incorporó a la estructura orgánica de la

Presidencia de la República la Subsecretaría de Informática, dependiente de la

Secretaría General de la Administración, mediante Acuerdo No. 119, publicado en

el Registro Oficial No. 139 de 1 de agosto del 2007;

Que el numeral 1 del artículo 6 del Acuerdo No. 119, faculta a la Subsecretaría de

Informática a elaborar y ejecutar planes, programas, proyectos, estrategias,

políticas, proyectos de leyes y reglamentos para el uso de software libre en las

dependencias del Gobierno Central; y, En ejercicio de la atribución que le confiere

el numeral 9 del artículo 171 de la Constitución Política de la República.

Decreta:

Art. 1.- Establecer como política pública para las entidades de la Administración

Pública Central la utilización de software libre en sus sistemas y equipamientos

informáticos.

28

Art. 2.- Se entiende por software libre, a los programas de computación que se

pueden utilizar y distribuir sin restricción alguna, que permitan su acceso a los

códigos fuentes y que sus aplicaciones puedan ser mejoradas.

Estos programas de computación tienen las siguientes libertades:

a) Utilización del programa con cualquier propósito de uso común;

b) Distribución de copias sin restricción alguna;

c) Estudio y modificación del programa (Requisito: código fuente disponible); y,

d) Publicación del programa mejorado (Requisito: código fuente disponible).

Art. 3.- Las entidades de la Administración Pública Central previa a la instalación

del software libre en sus equipos, deberán verificar la existencia de capacidad

técnica que brinde el soporte necesario para el uso de este tipo de software.

Art. 4.- Se faculta la utilización de software propietario (no libre) únicamente

cuando no exista una solución de software libre que supla las necesidades

requeridas, o cuando esté en riesgo la seguridad nacional, o cuando el proyecto

informático se encuentre en un punto de no retorno.

Para efectos de este decreto se comprende como seguridad nacional, las

garantías para la supervivencia de la colectividad y la defensa de patrimonio

nacional. Para efectos de este decreto se entiende por un punto de no retorno,

cuando el sistema o proyecto informático se encuentre en cualquiera de estas

condiciones:

a) Sistema en producción funcionando satisfactoriamente y que un análisis de

costo beneficio muestre que no es razonable ni conveniente una migración a

software libre; y,

b) Proyecto en estado de desarrollo y que un análisis de costo - beneficio muestre

que no es conveniente modificar el proyecto y utilizar software libre.

29

Periódicamente se evaluarán los sistemas informáticos que utilizan software

propietario con la finalidad de migrarlos a software libre.

Art. 5.- Tanto para software libre como software propietario, siempre y cuando se

satisfagan los requerimientos, se debe preferir las soluciones en este orden:

a) Nacionales que permitan autonomía y soberanía tecnológica;

b) Regionales con componente nacional;

c) Regionales con proveedores nacionales;

d) Internacionales con componente nacional;

e) Internacionales con proveedores nacionales; y,

f) Internacionales.

Art. 6.- La Subsecretaría de Tecnologías de la Información como órgano regulador

y ejecutor de las políticas y proyectos informáticos en las entidades del Gobierno

Central deberá realizar el control y seguimiento de este decreto.

Para todas las evaluaciones constantes en este decreto la Subsecretaría de

Tecnologías de la Información establecerá los parámetros y metodologías

obligatorias.

Art. 7.- Encárguese de la ejecución de este decreto los señores ministros

coordinadores y el señor Secretario General de la Administración Pública y

Comunicación.

30

Código Orgánico de Economía Social de los Conocimientos, Creatividad e

Innovación.

Apartado Segundo

De las tecnologías libres y formatos abiertos.

Artículo 142.-Tecnologías libres

Se entiende por tecnologías libres al software de código abierto, los estándares

abiertos, los contenidos libres y el hardware libre. Los tres primeros son

considerados como Tecnologías Digitales Libres.

Se entiende por software de código abierto al software en cuya licencia el titular

garantiza al usuario el acceso al código fuente y lo faculta a usar dicho software

con cualquier propósito. Especialmente otorga a los usuarios, entre otras, las

siguientes libertades esenciales:

• La libertad de ejecutar el software para cualquier propósito;

• La libertad de estudiar cómo funciona el software, y modificarlo para

adaptarlo a cualquier necesidad. El acceso al código fuente es una

condición imprescindible para ello;

• La libertad de redistribuir copias; y,

• La libertad de distribuir copias de sus versiones modificadas a terceros.

Se entiende por código fuente, al conjunto de instrucciones escritas en algún

lenguaje de programación, diseñadas con el fi n de ser leídas y transformadas por

alguna herramienta de software en lenguaje de máquina o instrucciones

ejecutables en la máquina.

Los estándares abiertos son formas de manejo y almacenamiento de los datos en

los que se conoce su estructura y se permite su modificación y acceso no

imponiéndose ninguna restricción para su uso. Los datos almacenados en

formatos de estándares abiertos no requieren de software propietario para ser

utilizados. Estos formatos estándares podrían o no ser aprobados por una entidad

internacional de certificación de estándares.

31

Contenido Libre es el acceso a toda la información asociada al software,

incluyendo documentación y demás elementos técnicos diseñados para la entrega

necesarios para realizar la configuración, instalación y operación del programa,

mismos que deberán presentarse en estándares abiertos.

Se entiende por hardware libre a los diseños de bienes o materiales y demás

documentación para la configuración y su respectiva puesto en funcionamiento,

otorgan a los usuarios las siguientes libertades otorgan a los usuarios las

siguientes libertades:

• La libertad de estudiar dichas especificaciones, y modificarlas para

adaptarlas a cualquier necesidad;

• La libertad de redistribuir copias de dichas especificaciones; y

• La libertad de distribuir copias de sus versiones modificadas a terceros.

El Estado en la adquisición de bienes o servicios incluidos los de consultoría de

tecnologías digitales, preferirá la adquisición de tecnologías digitales libres. Para

el caso de adquisición de software se observará el orden de prelación previsto en

este código.

PREGUNTA CIENTÍFICA A CONTESTARSE

¿Es posible crear una red wireless administrable, estable y segura a través de

softwares open source, en las que se pueda solventar las necesidades para el

acceso a internet?

32

DEFINICIONES CONCEPTUALES

FreeBSD

Es un sistema operativo de la distribución de Linux.

GEOIP

Se trata de base de datos de geolocalización IP para el bloqueo de las direcciones

IP de gran parte de los países peligrosos, brinda información actualizada y de

forma gratuita. (MAXMIND, 2019)

DHCP

Asigna las direcciones IP de manera dinámica a usuarios.

Proxy

Es aquella que se encuentra entre el servidor y cliente. El cliente quiere conectarse

fuera de la red y el proxy permite o no recibir datos, y si es así se encarga de

conectarse con el servidor estableciendo su conexión y entrega la información que

solicito el cliente. (pfSense Proxy, 2019)

Proxy transparente

Es un servidor intermediario entre el usuario y la página web que quiere ir. Se

realiza en nivel de red y no es necesario realizar la configuración en cada usuario,

ni siquiera sabrá que lo está usando. (Servidor proxy, 2019)

Aliases

Especificaciones de grupos de puertos, direcciones IP y URL, definidos bajo un

nombre característico.

33

CAPITULO III

PROPUESTA TECNOLÓGICA

ANÁLISIS DE FACTIBILIDAD

Se realiza un determinado estudio y desarrollo para cumplir con los requerimientos

solicitados para obtener nuestros objetivos. Al inicio se plantea el problema y

cuáles son las razones de la situación actual de la infraestructura de la red en la

CISC-CINT. Se define cuáles son los inconvenientes que presenta, lo siguiente es

buscar la solución ante un análisis factible para establecer los recursos

tecnológicos que se necesita en la implementación de la herramienta open source

en la administración de la red de servicios para mejoras en su rendimiento y

seguridad en la red.

FACTIBILIDAD OPERACIONAL

La carrera de ingeniería en networking y sistemas ubicado en las instalaciones del

centro ha dado su total autorización para realizar las respectivas entrevistas y

levantamiento de información para cumplir con las fases del proyecto planteando

un rediseño de la red inalámbrica mediante la instalación del software open source

pfSense para el beneficio de los profesores, alumnos y personal administrativo de

la carrera y mejorar la calidad de internet. De acuerdo con los documentos se

establecen lo expuesto en el anexo 5 y 6.

34

FACTIBILIDAD TÉCNICA

De acuerdo con el estudio realizado sobre que recursos necesita las instalaciones

del centro CISC-CINT, se recomienda la instalación del proyecto de tesis a partir

del cuarto de telecomunicaciones utilizando los racks y rejilla de cableado aéreo,

lo que nos permitirá implementar la herramienta tecnológica pfSense con sus

funcionalidades sin mayores contratiempos debido que su instalación no presenta

ningún costo con la finalidad de solventar todas las necesidades de la institución.

Se establece instalar equipos robustos que solventen las necesidades de la

institución como se muestra en el cuadro 2.

CUADRO 2

Cantidad estimado de equipos y materiales para la instalación.

Equipo Descripción Cantidad

Router/firewall Netgate XG-7100 1

Switch administrable Switch JetStream Gestionable L2

PoE+ de 8 Puertos Gigabit con 2

Slots SFP. (Anexo 9)

4

Rollo cable UTP Rollo Cable F/utp Cat 6a Blindado

305m Panduit

4

Conector Jack rj45 + Caja

para Jack rj45

Kit Caja Sobrepuesta 40mm + 1 X

Jack Cat6 + Face Plate Simple.

14

Patch cord Red Patch Cord 1 Pie Cat 6 14

Patch cord Cable De Red Utp Patch Cord

Nexxt Cat6 Certificado 3 Pies

21

Patch panel Patch Panel categoría 6 UTP 12

puertos linkedpro

4

AP UAP-AC-PRO-Unifi Access Point

AC PRO (Ver Anexo 7 y 8)

14

Total 76

Fuente: Linda Inés Andrade Cayambe


35

FACTIBILIDAD LEGAL

Con respecto al diseño y simulación de la administración de la red wireless en la

instalación de la herramienta tecnológica pfSense, no habría inconveniente

realizar la implementación de acuerdo con la ley ecuatoriana debido que el

software libre puede ser instalada en los sistemas informáticos, se puede utilizar

para modificar su código abierto, y ofrecer servicios con la respectiva

personalización para realizar mejoras en beneficio de la institución.

FACTIBILIDAD ECONÓMICA

El software pfSense de código abierto para la instalación no presenta un costo,

pero si solicita el pago para el encargado de realizar la implementación de la

herramienta tecnológica. Además, como toda persona o empresa que ofrece sus

servicios, presenta propuesta y prototipo, una vez aceptado se realiza la

instalación y el periodo de prueba como cualquier proyecto después de su

implementación. Se detalla las herramientas que se va a implementarán en el

cuadro 3:

CUADRO 3

Herramientas tecnológicas para administración

Herramienta Servicio Licencia

PfSense Firewall/router Código abierto

NtopNG Network traffic Código abierto

Suricata IDS/IPS Código abierto

Dhcpd DHCP Service Código abierto

Freeradius Base de datos Código abierto

Traffic shapper QoS Código abierto

Squid Proxy Código abierto

SquidGuard Plugin de Squid Código abierto

pfBlockerNG Bloquear GeoIP, publicidad y otros. Código abierto

DNSBL Bloqueo de dominio Código abierto



36

Aunque este software open source nos brinda todas las posibilidades de solventar

las solicitudes y las necesidades, se aconseja ubicarlo en un clon o appliance. En

el caso de instalación, se recomienda equipos tecnológicos robustos que se

adaptan a las características necesarias para la administración inalámbrica, sobre

todo en términos de conexiones concurrentes que pueda gestionar todas estas

solicitudes simultáneamente. Para una infraestructura proyectada a 10 años se

determina equipos como se muestra en el cuadro 4.

CUADRO 4

Presupuesto Estimado

Equipo Cant. Descripción Valor Unitario

Costo

Router/firewall 1 Netgate XG-7100 $ 999,00 $ 999,00

Switch administrable

4 Switch JetStream Gestionable L2 PoE+ de 8

Puertos Gigabit con 2 Slots SFP (Anexo 9)

$ 155,19 $ 620,76

Cable UTP 4 Rollo Cable F/utp Cat 6a Blindado 305m Panduit

$ 298,00 $ 1192,00

Conector Jack rj45 + Caja

para Jack rj45

14 Kit Caja Sobrepuesta 40mm + 1 X Jack Cat6 +

Face Plate Simple

$ 8,30 $ 116,20

Patch cord 14 Red Patch Cord 1 Pie Cat 6

$ 1,74 $ 24,36

Patch cord 21 Cable De Red Utp Patch Cord Nexxt Cat6 Certificado 3 Pies

$ 3,50 $ 73,50

Patch panel 4 Patch Panel categoría 6 UTP 12 puertos linkedpro

$ 23,47 $ 93,88

AP 14 UAP-AC-PRO- Unifi Access Point AC PRO

(Ver Anexo 7 y 8)

$ 200,00 $ 2.800,00

Total $ 5.919,70



37

ETAPAS DE LA METODOLOGÍA DEL PROYECTO

Según el estudio realizado se determina utilizar la metodología de proyecto

PPDIOO (Preparar, Planificar, Diseñar e Implementar), se contempla las cuatro

primeras fases debido que se ha planteado un diseño y una simulación del

prototipo de cómo sería al instalar pfSense con sus funcionalidades para la

administración de la red Wireless. El método se basa en satisfacer las

necesidades de la institución mediante un sistema centralizado que permite el

desarrollo de las actividades estableciendo parámetros de administración y

seguridad. Se describe las fases para el rediseño y simulación de la administración

de la red wireless como se visualiza en el cuadro 5.

CUADRO 5

Fases del Proyecto de Tesis

Fase Objetivo Función Metodología

Análisis de la red inalámbrica actual

-Análisis de la infraestructura de la red actual. -Análisis de software.

-Determinar falencias en la red. -Análisis de Entrevistas. -Realizar monitoreo de la red. -Comparación de software.

Exploratorio

Propuesta de diseño

Plantear un diseño que mejore el servicio de la red.

-Obtener diseño de red anterior. -Diseño que mejore el servicio de la red. -Descripción de equipos.

Descriptivo

Simulación de proyecto

Instalación y configuración de herramientas open source.

- Servicios instalados y activos dentro del ambiente controlado.

Experimental

Pruebas y mejoras

Realizar la verificación y ajustes para la mejora del rendimiento de la red.

-Ingreso a la red inalámbrica. -Bloqueo de páginas innecesarias y maliciosas.

Experimental

Documentación Proporcionar manuales configuración de herramientas tecnológicas.

-Desarrollo de manual

técnico dentro de las

configuraciones de la

simulación planteada.

Exploratoria y Descriptiva



38

Fase 1.- Análisis de la red inalámbrica actual.

Análisis de la infraestructura de la red.

Para el análisis de la infraestructura anterior de la institución se realizó entrevistas

abiertas con el docente encargado de la administración de informática donde se

visualiza en el anexo 2, en la cual se concluyó que no hay un diseño de

infraestructura confiable. Además, se determina que hay libre acceso para

ingresar a cualquier página de internet, como se muestra en el anexo 1. Se realizó

un estudio de los equipos que cuenta la institución para la instalación del software

open source y se determinó que se debe innovar con equipos robustos para evitar

problemas al implementar el nuevo diseño de red inalámbrica, porque se

encuentran operativos o no hay soporte como se muestra en él gráfico 9.

GRÁFICO 6

Switch Catalyst 3750-E

Fuente: cisco.com


39

Se realizó el monitoreo de cómo trabaja la red de la institución como se muestra

en el gráfico 10. La sonda demostró que tienen dos redes conectadas al router

más cercano, y de ser posible tener acceso al mismo, que por cuestiones legales

me limite a solo saber que se podía visualizar.

GRÁFICO 7

Pruebas del monitoreo de red

Fuente: Red de la Carrera de Ingeniería en Networking y Sistemas


Según lo investigado la conexión de internet es brindado por el ISP a través de

fibra óptica desde el cuarto de telecomunicaciones de la ciudadela universitaria

donde se encuentra la matriz hasta la carrera de Ingeniería en Networking y

Sistemas en las instalaciones del centro.

La CISC-CINT tiene personal administrativo, alumnos, profesores conectándose

diariamente a internet. El uso excesivo de consumo de ancho de banda en

paquetes de datos referente a ocio o juegos es debido que no hay filtrado de

contenido, por lo cual hay resultados críticos en el momento de navegación, por

eso el rendimiento disminuye y en ciertas horas presenta saturación en la red.

40

Se realizó pruebas del consumo de ancho de banda a través de la herramienta

SPEEDTEST como se puede mostrar en el gráfico 11 en la cual nos permite

evaluar el ancho de banda, saber la velocidad de carga y descarga que se realiza

en la red.

GRÁFICO 8

Pruebas de ancho de banda CNT

Fuente: SPEEDTEST


Se plantea dar mayor prioridad de ancho de banda a fines académicos y disminuir

paquetes innecesarios obteniendo como resultado el acceso a internet sin

inconvenientes. En el cuadro 6 podremos observar los servicios más utilizados por

parte de los usuarios.

41

CUADRO 6

Lista de servicios prioritarios para configurar QoS

Prioridad

SIUG

Office 365

Páginas académicas

Whatsapp

Youtube



Análisis de software

Cada trimestre se hacen evaluaciones, a nivel de comunidad como firewall/router,

ámbitos administrativos y seguridad, donde ocupa en tercer lugar pfsense, pero a

nivel open source gracias por sus funcionalidades, su gratuidad y estabilidad

ocupa el primer lugar como se visualiza en el gráfico 12.

42

GRÁFICO 9

Status de evaluación de popularidad firewall/router

Fuente: https://www.itcentralstation.com/categories/firewalls


Pfsense es una de las mejores herramientas debido a sus funcionalidades, tanto

que otras herramientas open source copian cierto porcentaje del código de

desarrollo como se muestra en el cuadro 7.

43

CUADRO 7 Comparación de herramientas open source

Características PFsense OPNsense

Código Propio 10% de pfsense

Licencia Código abierto Código abierto

Costo Gratis Gratis

Instalación de

paquetes de

terceros

Si No

Interfaz grafica De 2.3 migrado a

Bootstrap

Bootstrap basado

en Phalcon PHP

Framework

Equilibrio de carga

de entrada del

servidor

Si Si (configuración

del servidor

virtual)

Configurar y filtrar

/aislar múltiples

Si -

RRD Graphs Si No

Sotfware de

incursión

Si totalmente

compatible

No todos

oficialmente

compatible

Fuente: https://www.firewallhardware.it/en/pfsense-vs-opnsense-technical


Fase 2.- Propuesta de diseño

Diseño anterior de la red inalámbrica

En la última milla se conectaba al router del ISP, daba internet al switch de

Excelencia UG que alimentaba a los AP y no contaba con restricción de

navegación y acceso libre en la cual cualquier usuario podría ser partícipe de la

red, donde se muestra en el gráfico 13.

44

GRÁFICO 10

Diseño de la red inalámbrica CNT

Fuente: Carrera de ingeniería en networking y sistemas


Rediseño de la red inalámbrica

Se define el cableado backbone, desde el segundo piso segregando hacia los

demás pisos con destino a los switchs PoE de cada piso, de ahí en adelante la

conexión se especificará dependiendo de los requerimientos de la institución

teniendo en cuenta que los APs nos brindan varias opciones posibles para su

configuración como se define en el gráfico 14.

45

GRÁFICO 11

Diseño de la implementación del firewall/router



Cada AP será ubicado en sectores estratégicos de difusión en el momento de

implementación; en la planta baja, primer piso y segundo piso se ubicarán 4 APs

y en el tercer piso 2 APs, se considera que las paredes nos debilitarán el alcance

de la zona de la facultad de Ciencias Físicas y Matemáticas, pero los APs

abastecerán toda la cobertura, este equipo maneja un rango de 122 metros y su

transmisión máxima de 22 dBm. Se recomienda como sería las conexiones e

instalaciones por piso en el gráfico 15.

El cableado estructurado y los equipos se ubicarán en la planta baja de la

Dirección de Carrera de Sistemas Computaciones como se visualiza en el anexo

7, en el primer piso estará ubicado en el Departamento de Vinculación como se

muestra en el anexo 8, en el segundo piso en el Departamento de Coordinación

46

de Software como se encuentra en el anexo 9 y en el tercer piso se ubicará en la

biblioteca como se especifica en el anexo 10.

GRÁFICO 12

Conexión física



47

Descripción de equipos

El equipo Netgate XG-7100 como se puede observar en el gráfico 6 está asociada

al desarrollo de pfSense, el hardware es robusto y escalable para conexiones

simultáneas, que brinda funcionalidades de firewall, enrutador LAN o WAN,

DHCP, DNS, IDS/IPS, VPN se detalla las características principales en el gráfico

6. Para sus especificaciones técnicas dirigirse al anexo 11.

GRÁFICO 13

Netgate XG-7100

Fuente: https://www.netgate.com/solutions/pfsense/xg-7100-1u.html


Ubiquiti UAP-AC-PRO es uno de las mejores access point en el mercado, presenta

conexión PoE, velocidades altas, antena interna de doble banda 3dBi con

tecnología 3 × 3 MIMO, como se muestra en el cuadro 8.

48

CUADRO 8

Comparación de access point

Ubiquiti UAP-AC-

PRO Linksys LAPAC1750

TP-link EAP320

Tecnología wifi

Doble banda AC1750 Doble banda AC1750

Doble banda AC1200

Velocidades Hasta 1300Mbps en 5Ghz

Hasta 450Mbps en 2.4Ghz

Hasta 1300Mbps en 5Ghz

Hasta 450Mbps en 2.4Ghz

Hasta 867 Mbps en 5 GHz Hasta 300Mbps

en 2.4Ghz

Diseño de la antena

Antenas de doble banda 3 × 3

tecnología MIMO 3dBi cada banda

Antenas de doble banda 3 × 3

tecnología MIMO 1.7dBi @ 2.4G,

1.9dBi @ 5G

Omni 2.6dBi cada tecnología de banda MIMO

Equidad de tiempo y dirección de banda

Si Dirección de la banda

Si

Colocación Exterior Interior Interior Interior

Puerto Ethernet

2 puertos Gigabit Ethernet

1 x puerto LAN Gigabit con IEEE

802.3at PoE +

1x puerto Gigabit Ethernet

Gestión wifi Unifique el software del controlador v4 para ayudarlo a

administrar clientes de alta densidad en

todos los sitios

Control de punto único para

agrupamiento

Software de controlador

EAP gratuito: gestión sencilla

de hasta cientos de EAP

Fuente: https://wifi-lifestyle.com/ubiquiti-vs-linksys-vs-tp-link-wireless-ac-

access-point


Ubiquiti UAP-AC-PRO como se muestra en el gráfico 7, presenta el manejo

centralizado mediante el software UniFi Controller, en el cual nos ayuda en la

gestión de red inalámbrica para administrar todos los puntos de acceso. Para sus

especificaciones técnicas se encuentra en el anexo 12.

49

GRÁFICO 14

Access Point Ubiquiti UniFi AC Pro AP

Fuente: https://aire.ec/tienda/ubiquiti/unifi/unifi-access-point-uap-ac-pro/


El switch JetStream Gestionable L2 PoE+ de 8 Puertos Gigabit con 2 Slots SFP

es administrable, y presenta el estándar PoE donde el mismo cable ethernet

incorpora alimentación de energía con la conexión de datos. Favorables para

administración y seguridad. Estos dispositivos son una solución económica. Para

más información visualizar el anexo 13.

GRÁFICO 15


SFP

Fuente: https://www.tp-link.com/es/business-networking/managed-

switch/t2500g-10mps/


50

Fase 3: Simulación de proyecto

Se muestra los servicios instalados junto a otros que se crearon por defecto que

nos permitirá administrar la red inalámbrica con la herramienta pfSense definidos

en el gráfico 16.

GRÁFICO 16

Servicios



51

Se visualiza las alertas que genera IDS (Sistema de Detección de Intrusos) de

Suricata de todo lo que pasa a través de la red como algún malware y todas las

peticiones solicitadas al firewall.

GRÁFICO 17 Herramienta IDS



El ntopNG nos va a permitir llevar el siguimiento de los hosts conectados a la red

como se visualiza en el gráfico 18.

52

GRÁFICO 18

Visualizacion de flujos de datos activos de hosts conectado a la red



En el monitoreo muestra los dispositivos de los usuarios que se conectan a la red

con sus direcciones IP, el tiempo de conexión, la tasa de transferencia, la cantidad

de megas que han usado hasta el momento desde que empezó analizar la red


GRÁFICO 19

Herramienta Monitoreo



53

Visualizar el tráfico de la interfaz WIFI en el gráfico 20.

GRÁFICO 20

Apreciación del tráfico en forma gráfica



Fase 4.- Pruebas y mejoras

Realizar la verificación y ajustes para la mejora del rendimiento de la red.

Se comenzó a probar cada una de las herramientas tecnológicas instaladas y se

realiza pruebas con la finalidad de corregirlo o mejorarlo en nuestro sistema

centralizado, desde la conexión WIFI que se conectarán los usuarios por lo cual

será manejado por el docente encargado de la administración de informática.

Una vez terminado todas las configuraciones, vamos a acceder a la red, pero

antes visualizamos el portal cautivo como se muestra en el gráfico 21.

54

GRÁFICO 21

Portal cautivo



Utilizamos las credenciales creadas para acceder a la red, en el cual el tiempo de

desconexión será tras la inactividad de dos horas por parte del usuario, como se

muestra en el grafico 22.

GRÁFICO 22

Credenciales para el ingreso del portal cautivo



55

Se visualiza en el status del portal cautivo a los usuarios que están conectados

mediante el uso de sus credenciales como se muestra en el gráfico 23.

GRÁFICO 23

Usuarios conectados



Vemos los bloqueos a paginas indebidas definidos en la herramienta SquidGuard,


56

GRÁFICO 24 Bloqueo de sitios web



A través del firewall bloqueamos el acceso no solo a páginas web sino también a

los aplicativos de juegos en línea como, por ejemplo, League of Legends, ver

gráfico 25.

GRÁFICO 25 Bloqueo de puertos de Aplicaciones de juego



57

Se observa que otra forma de autenticarse es a través de los vouchers que tendrá

el tiempo limitado de 2 horas, para que en ese tiempo los usuarios puedan

autenticarse con sus respectivas credenciales como se visualiza en el gráfico 26.

GRÁFICO 26

Autenticación por vouchers



En el status del portal cautivo, en el rol de vouchers, muestra los activos, usados

y los disponibles.

GRÁFICO 27 Usuarios conectados usando vouchers



58

Se visualiza los usuarios conectados a la red mediante el uso de vouchers, como

se visualiza en el gráfico 28.

GRÁFICO 28 Status vouchers en uso



Para la demostración del funcionamiento y registro de acceso a la red verificamos

que se puede realizar hasta 2 conexiones simultáneas en la consola de

administración a como se muestra en el gráfico 29.

GRÁFICO 29

Registro de acceso al portal cautivo por credenciales



59

En esta imagen vemos el registro de acceso a la red mediante el uso de vouchers


GRÁFICO 30 Registro de acceso al portal cautivo por voucher



Fase 5.- Documentación

Proporcionar manuales de instalación y configuración de herramientas

tecnológicas.

Se presenta los oficios de aceptación para realizar el levantamiento de información

de la infraestructura de la red inalámbrica en el anexo 5 y 6. Y se realiza los

manuales de configuración que están definidos en los entregables del proyecto

que serán útiles para el Departamento de Coordinación de Software, en los cuales

se detalla los pasos realizados con el fin de obtener los resultados factibles en el

rediseño de la red inalámbrica de la Carrera de ingeniería en networking y

sistemas.

60

ENTREGABLES DEL PROYECTO

Manual de Configuración

Una vez que se haya instalado pfSense se procederá a configurar la nueva interfaz

para propagar por DHCP a través de los AP dentro de la simulación.

Damos click en , luego en

61

Habilitamos la interfaz y le damos un nombre en nuestro caso WIFI

62

Designamos el tipo de configuración en nuestro caso es IPv4 estático y le damos

el rango según sea necesario.

Se guarda y nos aparecerá este mensaje para aplicar los cambios hechos.

63

A continuación, ingresamos a la pestaña Services para poder configurar el DHCP

Server de la interfaz anteriormente configurada por la cual la llamamos wifi.

Para terminar, ingresamos al firewall y creamos una regla en la cual permitamos

el acceso a internet a través de esta interfaz que posteriormente será delimitada

con los distintos servicios que instalemos y configuremos dentro de nuestro

firewall.

64

FreeRadius

Dentro de la pestaña de Services se encuentra la paquetería FreeRadius donde

se realiza las configuraciones necesarias para verificar autenticaciones en un

repositorio local de base de datos.

Ingresar a la opción de configuraciones y dejamos por defecto.

65

Si encuentra problemas con algunos contadores al usar 'Amount of

Download/Upload/Time', puede verificar esto para deshabilitar el módulo en la

parte final del panel de configuración.

Luego configuramos las interfaces para especificar los puertos escucha de cada

una de las acciones qué admite o genera el freeradius con sus respectivos puertos

1812-1813-1816, que son de autenticación, contador y estatus, respectivamente.

66

Como se muestra en el cuadro, en la sección interfaces se configura el puerto

1813 en el tipo de interfaz contador.

Se visualiza las interfaces creadas de Freeradius.

La interfaz NAS se realiza la siguiente configuración

Creamos una nueva interfaz NAS para hacer la conexión con el repositorio dentro

del pfSense. (Servidor de autenticación)

67

Definimos la interfaz WIFI ubicando la ip y ubicamos las credenciales del mismo y

guardamos.

68

Para la simulación necesitaremos otro servidor de autenticación, para crearlo

ingresamos al administrador de usuarios y daremos clic en servidor de

autenticación el cual nos dejará crear una nueva base de datos enlazada al

freeradius.

System->User Manager->Authentication Servers

69

Creamos una nueva base de datos de tipo RADIUS para la vinculación con

FreeRadius

Después de crear nuestro servidor de autenticación, damos paso a crear los

usuarios disponiéndoles de hasta dos conexiones simultáneas por usuario.

70

Configuración de portal cautivo

El método de autenticación es para el ingreso de usuarios autorizados.

Ingresamos a Services, daremos clic en portal cautivo y agregamos una nueva

zona en la cual saldrá un formulario que tendremos que especificar las

configuraciones del mismo.

71

Las configuraciones serán tanto la descripción como las interfaces en la cual va a

funcionar. Aparte, tendremos un sinnúmero de opciones como tiempo inactivo de

120min el usuario se desconectaría automáticamente y se específica el máximo

número de conexiones concurrentes es hasta 20 dispositivos para ingresar a

través del portal cautivo en nuestra simulación.

Habilitar ventana emergente de cierre de sesión. Si está habilitada, aparecerá una

ventana emergente cuando se permita a los clientes conectarse a través del portal

cautivo. Esto también permite a los clientes desconectarse explícitamente antes

de que ocurra el tiempo de espera inactivo o difícil.

72

En la siguiente imagen veremos una opción para habilitar el uso del portal cautivo

personalizado, daremos clic si deseamos crear un sistema personalizado de

autenticación, en este caso se creó el HTML, hay que tomar en cuenta que esto

solo nos brindará el método de autenticación de usuario y contraseña, pero el

sistema de vouchers se configura en otra pestaña.

73

Especificamos el servidor de autenticación en el cual escogemos el radius.

74

Se habilita el sistema de contador radius. Si está habilitado, se realizará una

solicitud de contabilidad para los usuarios identificados en cualquier servidor

RADIUS. Y seleccionamos "Interino", las solicitudes de "Actualización de

contabilidad" se enviarán regularmente (cada minuto) al servidor RADIUS, para

cada usuario conectado. Una vez terminados seleccionamos guardar.

75

Una vez terminado de configurar el portal damos clic en editar para programar los

vouchers con los cuales daremos acceso de forma temporal durante 2 horas a

internet para que puedan conectarse al correo y conseguir sus credenciales.

Primero generamos una llave para encriptación y le damos el tamaño de bits con

un valor de 8, reserva un rango en cada comprobante para almacenar el número

de rollo al que pertenece.

Definimos los bits por ticket en 10, reserva un rango en cada cupón para

almacenar el número de ticket al que pertenece.

76

Una vez guardado las condiciones de creación de los tickets, procedemos a

crearlos.

Ingrese el número de rollo (0..255) que se encuentra en la parte superior de los

comprobantes generados / impresos.

Se crea un rollo con 400 vouchers para la conexión de 120 minutos.

77

Proxy Transparent (Squid & SquidGuard)

Una vez instalado el paquete procederemos a realizar las siguientes

configuraciones del proxy server donde seleccionaremos la interfaz WIFI, para

restringir acceso a ciertas páginas web.

78

En la siguiente imagen visualizaremos la configuración de proxy transparente eso

nos ayudará que no sea necesario configurar en cada host y funcione como

pasarela. Además, seleccionaremos Bypass Proxy para que los destinos en el

espacio de direcciones privadas (RFC 1918) se pasan directamente a través del

firewall, no a través del servidor proxy.

79

Ya que hoy en día la mayoría de las páginas web manejan certificados SSL/TLS

y no solo se maneja páginas http sino también https, en este caso es necesario

activar la intercepción de certificados. La paquetería freeradius viene con un

certificado autoritativo y lo usaremos para interceptar los certificados de las

páginas bloqueadas.

A continuación, veremos la configuración de un paquete que se encuentra

anexado al Squid que nos ayudará a mantener una lista de acceso agrupada y

ordenada atribuido a nosotros, de manera gratis por páginas qué se dedican a la

organización de direccionamiento y agrupación por el tipo de contenido de página

web con la cual utilizaremos esta ventaja para realizar los bloqueos.

80

Para obtener la lista negra seleccionamos Blacklist y ubicaremos la URL de

descarga del paquete.

Una vez ingresado nos movilizamos a Blacklist y seleccionamos descargar con lo

cual obtendremos el paquete para el respectivo bloqueo.

81

A continuación, veremos una lista de páginas por contenido, aquí seleccionamos

que por defecto todo sea accesible y empezamos a definir las que se bloquearan,

aun así, no tendremos el 100% pero sí un 80% páginas por categoría bloqueadas,

para ese 20% es necesario utilizar otro sistema de bloqueo posteriormente

mencionado.

83

Al final de la configuración habilitamos y damos en Aplicar.

PfBlockerNG

Esta herramienta será el complemento del Proxy Transparente con la finalidad de

bloquear de manera exhaustiva subdominios y dominios con DNSBL, rangos de

direccionamiento en el planeta no aceptados a su conexión, debido a temas de

seguridad se utilizarán el sistema de GeoIP.

Habilitamos el pfBlockerNG.

84

Informes de alertas al ingresar páginas con rango de IP no confiables. DNSBL

forma parte de pfBlockerNG, se recopila la actividad de dominios rechazados.

Hablilitaremos el DNSBL, esto habilitará la lista de bloqueo de DNS para dominios

y subdominios.

85

Se realiza bloqueos manualmente de dominios como redes sociales y páginas

de ocio.

Seleccionamos la accion “Deny Both” de las listas que se escribirán dentro del

firewall.

Especificamos en DNSBL Easylist la lista del agrupamiento de direcciones de las

categorías que se desea bloquear como ventanas emergentes de publicidad y

páginas indebidas.

86

GeoIP

Se encuentra la base de datos de geolocalización IP para el bloqueo de las

direcciones IP de gran parte de los países que efectúan cyber-ataques, brinda

información actualizada y de forma gratuita.

89

Genera las alertas de los bloqueos que se han establecido.

90

Suricata

En las interfaces se configura para el funcionamiento del sistema de detección

de intrusos.

Habilitar las interfaces WAN y WIFI todo por defecto para que se genere solo

alertas.

91

Se instala reglas para alertar anti-malware en ETOpen.

Se establece reglas de Snort donde estan disponibles gratuitamente que han sido

enviados por miembros de la comunidad de codigo abierto Snort.

92

Además se descargará automáticamente las actualizaciones para la base de

datos GeoIP.

93

Se copia los mensajes de Suricata en el registro del sistema de firewall.

Se genera alertas de detección de intrusos, además todas las peticiones al

firewall.

Firewall

NAT Port Forward a Virtual IP del DNSBL para el análisis de las resoluciones de

los dominios y verificación de las reglas de bloqueo (No Editar)

94

Aliases

Configuración sencilla de agrupación de puertos, IP, URL para de esta forma

utilizarlos en los bloqueos.

Reglas del firewall

En la regla de la interfaz LAN se crean automáticamente estas reglas para obtener

navegación y acceso al webconfigurator.

Definimos las reglas de navegación para dejar pasar por el interfaz WIFI de tipo

IPv4 que tenga cualquier protocolo y provenga de la porción de red. Se bloquea

el acceso al firewall desde la red wifi y se deniega el acceso a puertos de juegos

en línea, damos guardar y aplicar cambios.

95

Traffic Shaper

Nos brinda un asistente de configuración

Firewall->Traffic Shaper->Wizard

Seleccionamos LAN/WAN para hacer un sistema general de prioridad.

Especificamos el número de interfaces WAN y LAN a configurar, en nuestro caso

en la simulación manejamos 2 LAN y una de ellas es WIFI.

96

Definimos los tipos de configuración como prioridad.

Ya que no se maneja VoIP no se configura.

Otros protocolos básicos de configuración para establecer la prioridad.

98

Una vez terminados damos click en Finish

99

Y reiniciamos el sistema con las configuraciones actuales.

Y al final verificamos la creación de los filtros por interfaz.

100

ntopNG

Habilitar el paquete y definimos una contraseña para la administración web y

seleccionamos las interfaces que va a analizar. En nuestro caso solo

seleccionaremos la red WIFI.

101

CRITERIOS DE VALIDACIÓN DE PROYECTOS

Tras haber hecho las entrevistas sobre los problemas del diseño de la red actual

y de que existen equipos informáticos viejos, se determina que no existe un diseño

idóneo para una debida administración del sistema Wireless de la carrera. Por lo

cual, se busca innovar el hardware mediante equipos robustos y escalables. Con

respecto al software, se detallan las herramientas tecnológicas que se va a instalar

con sus respectivas configuraciones para mitigar los problemas que se han

presentado, por ejemplo, la asignación DHCP a través de los AP a la red pública

genera demasiado tráfico y el hecho de que los bloqueos y accesos no existen a

las distintas páginas que existen alrededor del mundo. Como resultado, causó una

congestión y uso absurdo, y sin limitaciones de la red, genera un gran malestar

dentro de los usuarios principales que son los alumnos ya que esta red no cuenta

con un medio de autenticación y delimitación de acceso a páginas y distintas

aplicaciones, nos vemos en comentarios como los siguientes. “es demasiado

lento" o como otros más escuchados “me es imposible conectarme" o también “la

señal es muy baja" entre otros factores que los usuarios han determinado como

un sistema demasiado ineficaz.

PROCESAMIENTO Y ANÁLISIS

METODOLOGIA DE LA INVESTIGACION

DISEÑO DE LA INVESTIGACION

Tras la siguiente investigación se realizará un análisis de la problemática mediante

un conjunto de técnicas y procedimientos para acceder a la información necesaria

para resolver los problemas que susciten, donde se plantea una solución que nos

llevará a la ventaja de poder solventar las necesidades de los usuarios de la

carrera proponiendo una solución útil y eficaz. (Robles, 2019)

102

MODALIDAD DE LA INVESTIGACION

La investigación exploratoria realiza un análisis del estudio del problema, no

presenta un conocimiento completo que responda a todas las dudas, pero si busca

obtener la información esencial que nos dará la idea inicial y nos servirá para

proseguir una investigación de manera más profunda. (universia, 2017)

La investigación descriptiva recoge información del estudio de la situación del

problema o tema, buscara ser concreto en presentar los resultados en la

presentación de hipótesis. Se debe tener claro que datos debemos recolectar

como: métodos, hechos, entre otros. Definir donde y a quienes se recolectará

información, etc. (universia, 2017)

La investigación factible, consiste en un análisis profundo donde prueba que la

investigación es realizable y plantea una propuesta efectiva para solucionar los

problemas que subsisten, donde se garantiza su viabilidad. (normasapa, 2019)

TIPO DE INVESTIGACIÓN

La investigación descriptiva se centra en la situación de los usuarios con respecto

a las necesidades de la Carrera de Ingeniería en Networking y Sistemas, se

plantea que soluciones acierta en dar buenos resultados tecnológicos,

estableciendo varios procesos que se va a seguir, para confirmar la hipótesis que

se haya planteado, enfocándonos en un sistema de calidad y cantidad, se debe

de satisfacer las necesidades, requerimientos y número de usuarios dentro de las

instalaciones.

Esta investigación tiene alcance de factibilidad, almacena información de

personas entrevistadas por las cuales han suscitado problemas, dado que son

usuarios directos del mismo servicio el cual son propensos a disfunción sobre las

peticiones de éstos. Para el análisis de la situación se realiza las entrevistas a

usuarios con conocimiento del tema con el fin de entender exactamente las

103

necesidades para la administración de la red inalámbrica dentro de las

instalaciones de la carrera ubicada en el centro en la ciudad de Guayaquil para

manejar los problemas y cambios, con el fin de gestionar la configuración de

acceso a los recursos del sistema de wifi en dichas instalaciones.

TÉCNICAS E INSTRUMENTOS DE RECOLECCION DE DATOS

RECOLECCIÓN DE DATOS

La investigación de diagnóstico plasma en este proyecto que se realiza en la

CISC-CINT que se encuentra las instalaciones en el centro, la información

recopilada en este desarrollo, en la cual se ha realizado un análisis profundo de lo

más importante y esencial para el planteamiento del diseño y simulación. El

estudio que se basa en esta investigación es el análisis exhaustivo de sucesos en

diferentes ámbitos de la información recopilada para la toma de decisiones.

INSTRUMENTOS

Observación: Interactuar con los usuarios que pertenecen en la institución con la

finalidad de saber los procesos relevantes que realizan en internet de la

infraestructura de la Carrera de Ingeniería en Sistemas y Networking, esta

información se verifica en el anexo No. 4.

Entrevista: Con este método obtenemos la apreciación de los distintos usuarios

de la institución mediante entrevistas abiertas donde nos permite apreciar

respuestas de cómo realizar un análisis profundo, de la lentitud en la red sobre

todo en horas críticas, de plantear una herramienta tecnológica que permita

administrar la red wireless para de las cuales tomaremos en cuenta los anexos

No. del 3 al 5.

104

CAPITULO IV

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O

SERVICIO

1.- Se recolecto información del estado de la red inalámbrica mediante la

autorización por parte de la Carrera de Ingeniería en Networking y Sistemas.

2.- Se realizó pruebas para demostrar los resultados óptimos a través de la

implementación del software open source y utilizar un método de autenticación

para brindar soluciones de seguridad y administración, incluyendo:

• Instalación de herramientas tecnológicas con sus respectivas

configuraciones según las necesidades de la institución.

• Implementación de un portal cautivo que: constará de dos métodos de

autenticación para evitar el acceso fraudulento y el cual manifiesta de un

método adyacente temporal para así obtener el correo institucional y allí

poder encontrar las credenciales del método principal, para el acceso a

través de usuario y contraseña de forma ilimitada.

3- La calidad de internet será elevada debido que se dará a prioridad a páginas

web de estudio, pruebas, proyectos, investigación, todo para beneficios

académicos, incluido youtube aunque también es una forma de distracción, pero

los alumnos usan de principal herramienta para guiarse en temas de talleres o

proyectos.

4.- Se tendrá una constancia de las páginas que ha visitado cada usuario, y así

saber la razón de uso de los recursos de la institución.

5.- La limitación de ingreso de usuarios nos brindará tiempos de respuesta más

cortos, acceso seguro y confiable a los recursos de la institución.

105

6.- Con la instalación de las herramientas tecnológicas se busca combatir la

latencia y salida a la red, sobre todo en hora pico.

CONCLUSIONES

Se determina que el software open source solventa de manera eficaz las

necesidades de la institución para administrar la red wireless, mejora la

funcionabilidad y rendimiento de la red con medidas de seguridad y métodos de

autenticación. Se obtendrá un control total de cada una de las herramientas

tecnológicas y recursos de la institución. La red inalámbrica de la carrera de

ingeniería de networking y sistemas será monitoreada constantemente y

administrada de manera eficaz. Se restringe el acceso a usuarios no autorizados,

se obtiene alertas y bloqueo a páginas web.

RECOMENDACIONES

Para el uso del software open source con todas sus funcionalidades se sugiere

utilizar equipos como puntos de acceso Ubiquiti Unifi AC PRO por su alto

rendimiento, escalabilidad y capacidad de cobertura. Además, un equipo Netgate

XG-7100 1U rackeable y precargado con el software pfSense, que está diseñado

para una larga vida útil de implementación con soluciones de seguridad y

administración.

Se recomienda un correcto uso del servidor que contendrá el firewall/router

pfSense, ya que una mala configuración de este repercutiría en el desarrollo del

presente proyecto de tesis y futuras implementaciones.

106

BIBLIOGRAFÍA

alienvault. (2019). Obtenido de https://www.alienvault.com/blogs/security-

essentials/suricata-ids-threading-capabilities-overview

Álvarez Rincón, W. A. (Septiembre de 2014). Obtenido de

https://repository.usta.edu.co/bitstream/handle/11634/3576/Alvarezwilliam20

14.pdf?sequence=1

Álvarez Rincón, W. A. (Septiembre de 2014). Obtenido de

https://repository.usta.edu.co/bitstream/handle/11634/3576/Alvarezwilliam20

14.pdf?sequence=1

Asencio Cevallos, J. E. (Abril de 2016). Obtenido de

http://repositorio.ug.edu.ec/bitstream/redug/11932/1/B-CINT-PTG-

N.64%20ASENCIO%20CEVALLOS%20JAVIER%20ENRIQUE.pdf

Ávila Santacruz, P. E. (2010). Obtenido de

http://repositorio.espe.edu.ec/handle/21000/347

Documentación de Netgate. (2019). Obtenido de

https://docs.netgate.com/pfsense/en/latest/packages/package-

list.html?highlight=pfblockerng

ecured. (2019). Obtenido de https://www.ecured.cu/Squid#Caracter.C3.ADsticas

Erazo Pancho, J. A. (Junio de 2015). Obtenido de

http://repositorio.ug.edu.ec/bitstream/redug/10325/1/PTG-658-

Erazo%20Pancho%20Jimmy%20Andr%c3%a9s.pdf

Fierro Fierro, M. M., & González Bonifaz, F. A. (3 de Febrero de 2012).

firewallhardware. (2019). Obtenido de http://www.firewallhardware.es/pfsense.html

Freeradius.org. (2018). Obtenido de https://freeradius.org

Guills, S. A. (Septiembre de 2015).

Gutierrez Zea, G. X. (6 de Enero de 2014). Obtenido de

http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/

3041/Tesis.pdf?sequence=1

Hernández López, J. Á. (15 de Noviembre de 2013). Obtenido de

http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/

2644/tesis.pdf?sequence=1

Ipiales Túquerres, M. P. (25 de Mayo de 2015). Obtenido de

http://repositorio.utn.edu.ec/bitstream/123456789/4463/1/04%20RED%20058

%20TESIS.pdf

107

Jadán Montero, A. S. (2013). Obtenido de

https://repositorio.espe.edu.ec/bitstream/21000/7039/1/T-ESPE-047113.pdf

Lancho González, Á. (2017). Obtenido de

http://oa.upm.es/49677/1/TFG_ALVARO_LANCHO_GONZALEZ.pdf

linuxmanr4. (2019). Obtenido de https://linuxmanr4.com/category/linux-y-software-

libre/pfsense/

MAXMIND. (2019). Obtenido de https://dev.maxmind.com/geoip/geoip2/geolite2/

Mena Flores, D. X., & Jara Llumigusín, J. J. (octubre de 2013). Obtenido de

https://dspace.ups.edu.ec/bitstream/123456789/5348/1/UPS-ST001027.pdf

normasapa. (2019). Obtenido de http://normasapa.net/que-es-un-proyecto-factible-y-

como-abordarlo-en-una-tesis/

ntop. (2019). Obtenido de https://www.ntop.org

Núñez Noboa, J. V. (7 de Diciembre de 2017). Obtenido de

http://repositorio.ug.edu.ec/bitstream/redug/23732/1/B-CINT-PTG-

N.210.N%C3%BA%C3%B1ez%20Noboa%20Jos%C3%A9%20Vicente.pdf

Ñique Mozzani, V. A. (2016). Obtenido de

http://repositorio.usil.edu.pe/bitstream/USIL/2481/1/2016_%C3%91ique_Imple

mentacion_de_solucion_de_autenticacion.pdf

ostecblog. (2018). Obtenido de https://ostec.blog/es/seguridad-perimetral/qos-y-sus-

beneficios

pfSense Backup and Restore. (2019). Obtenido de

https://docs.netgate.com/pfsense/en/latest/backup/index.html

pfSense OpenVPN. (2019). Obtenido de

https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/index.html

pfSense Proxy. (2019). Obtenido de https://docs.netgate.com/pfsense/en/latest/cache-

proxy/index.html?highlight=proxy

Pfsense Squid. (2019). Obtenido de https://docs.netgate.com/pfsense/en/latest/cache-

proxy/index.html?highlight=proxy

Pfsense SquidGuard. (2019). Obtenido de

https://docs.netgate.com/pfsense/en/latest/cache-proxy/squidguard-

package.html

Pfsense Traffic Shapper. (2019). Obtenido de

https://docs.netgate.com/pfsense/en/latest/book/trafficshaper/index.html

questionpro. (2019). Obtenido de https://www.questionpro.com/blog/es/investigacion-

exploratoria/

108

Robles, F. (2019). Obtenido de lifeder.com: https://www.lifeder.com/diseno-de-

investigacion/

Salazar, J. (2016). Redes Inalámbricas. Obtenido de

https://upcommons.upc.edu/bitstream/handle/2117/100918/LM01_R_ES.pdf

Santillán Cazares , J. F., & Villalta Cedeño, C. P. (26 de Febrero de 2016). Obtenido de

http://repositorio.ug.edu.ec/bitstream/redug/19639/1/Propuesta%20de%20Im

plementacio%20de%20un%20Portal%20Cautivo%20Hotspot%2C%20para%20bri

ndar%20el%20servicio%20de%20Internet%20Inalambrico%20en%20negocios%2

0Pym~1.pdf

SECURITY ARTWORK. (1 de Junio de 2015). Obtenido de

https://www.securityartwork.es/2015/06/01/bloqueando-trafico-con-

pfblockerng/

Seguridad Informática. (21 de Noviembre de 2009). Obtenido de

https://seguinfo.wordpress.com/2009/11/21/%C2%BFque-es-ipsec/

semanticscholar. (2018). Obtenido de

https://pdfs.semanticscholar.org/f7b4/6651170f46329fd79e18d2168528fb0d41

76.pdf

Servidor proxy. (2019). Obtenido de

https://es.wikipedia.org/wiki/Servidor_proxy#Proxies_transparentes

Solano Jimenéz, J. M., & Oña Garcés, M. B. (2009). Obtenido de

http://dspace.espoch.edu.ec/bitstream/123456789/103/1/18T00381.pdf

Suricata. (2019). Obtenido de https://suricata-ids.org/

universia. (4 de Septiembre de 2017). Obtenido de

https://noticias.universia.cr/educacion/noticia/2017/09/04/1155475/tipos-

investigacion-descriptiva-exploratoria-explicativa.html

xatakamovil. (2019). Obtenido de https://www.xatakamovil.com/conectividad/nat-

network-address-translation-que-es-y-como-funciona

109

ANEXOS

110

ANEXO 1 Monitoreo de la red

Fuente: Carrera de Ingeniería en Networking y Telecomunicaciones


111

ANEXO 2

Entrevista 1

112

ANEXO 3

Entrevista 2

113

ANEXO 4

Entrevista 3

114

ANEXO 5

Documento de aprobación de la Carrera de Sistemas Computacionales

115

ANEXO 6 Documento de aprobación de la Carrera de Networking y

Telecomunicaciones.

116

ANEXO 7 Ubicación de conexión de la planta baja

117

ANEXO 8 Ubicación de conexión del primer piso

118

ANEXO 9 Ubicación de conexión del segundo piso

119

ANEXO 10 Ubicación de conexión del tercer piso

120

ANEXO 11

Netgate XG-7100 pfSense Security Gateway

Fuente: https://www.netgate.com/solutions/pfsense/xg-7100-1u.html

121

ANEXO 12

Especificaciones de Access Point Ubiquiti UniFi AC Pro AP

Fuente: https://aire.ec/tienda/ubiquiti/unifi/unifi-access-point-uap-ac-pro/

https://aire.ec/tienda/ubiquiti/unifi/unifi-access-point-uap-ac-pro/

122

ANEXO 13


SFP

123

Fuente: https://www.tp-link.com/es/business-networking/managed-

switch/t2500g-10mps/

https://www.tp-link.com/es/business-networking/managed-switch/t2500g-10mps/

https://www.tp-link.com/es/business-networking/managed-switch/t2500g-10mps/

Diseño y simulación de portal cautivo, que permita...

Documents

Transcript of Diseño y simulación de portal cautivo, que permita...