DUOCUC ESCUELA DE INFORMATICA Y TELECOMUNICACIONES

ANALISIS DE IMPLEMENTACION PARA LA ADMINISTRACION DE RECURSO DE ANCHO DE BANDA SEGMENTADO POR TAMAO DE EMPRESA
Trabajo de Titulacin presentado en conformidad a los requerimientos para optar al Ttulo de Ingeniero de Ejecucin en Conectividad y Redes

Profesor Gua: JAIME VALENZUELA A.

JUAN EDUARDO RAMIREZ PASTEN EDUARDO ANDRES SILVA GUTIERREZ

Santiago de Chile, 2010

DUOCUC ESCUELA DE INFORMATICA Y TELECOMUNICACIONES

ANALISIS DE IMPLEMENTACION PARA LA ADMINISTRACION DE RECURSO DE ANCHO DE BANDA SEGMENTADO POR TAMAO DE EMPRESA

JUAN EDUARDO RAMIREZ PASTEN EDUARDO ANDRES SILVA GUTIERREZ

Santiago de Chile, 2010

(A nuestros Padres, y amigos, que nos apoyaron durante estos aos.) (Dedicatoria)

ii

AGRADECIMIENTOS (Nota redactada sobriamente en la cual se agradece a quienes han colaborado en la elaboracion del trabajo.) (Normal)

iii

INDICE GENERAL Pg. DEDICATORIA...........................................................................................................ii AGRADECIMIENTOS...............................................................................................iii INDICE DE TABLAS...............................................................................................xvi INDICE DE FIGURAS ............................................................................................xvii RESUMEN .................................................................................................................xx ABSTRACT ..............................................................................................................xxi 2.1Anlisis De Trafico.......................................................................................27 El anlisis de trafico de red se genera mediante herramientas que nos ayudan a poder monitorear el volumen de transferencia de datos de cualquier conexin de red. Este servicio nos permite conocer con detalle, cuanto ancho de banda se consume en nuestros enlaces ya sea de LAN o de WAN/ADSL, tambin es de alta utilidad en la prevencin y eliminacin de ataques.......................................................................................27 Protocolos de Aplicacin..........................................................................31 2.1.1IP 32 Internet Protocol (protocolo de internet), es un protocolo no orientado a conexin usado tanto por el origen y destino para realizar la comunicacin de datos a travs de la red, sin ninguna garanta de llegada exitosa.................................................................................32 Todos los datos basados en una red IP son enviados en bloques llamados paquetes o datagramas, IP especficamente no necesita ninguna configuracin antes de que algn dispositivo intente enviar paquetes a otro, con el cual no se haba comunicado anteriormente................32 IP otorga un servicio de datagramas no fiables (mejor esfuerzo), donde realizara dicha labor de la mejor forma posible y baja garanta de llegada exitosa. IP no otorga ningn mecanismo para determinar si un paquete llego a su destino, solamente provee la seguridad de dicho

paquete (a travs de checksum o suma de comprobacin), generado en base a sus cabeceras y no a los datos de dicho paquete. La cabecera de un paquete IP contiene las direcciones de los dispositivos de origen y destino (direccin IP), direcciones utilizadas por los dispositivos enrutadores (routers) para decidir cual ser la ruta optima para reenviar los paquetes.....................................................................................32 IP al no garantizar la llegada exitosa de los paquetes, estos podran llegar daados, no llegar al destino, desordenados (orden de los paquetes) o duplicados, por ello si se necesita brindar fiabilidad de dichos paquetes sern otorgados por los protocolos de la capa de transporte (modelo OSI) como TCP..............................................................................32 Si la informacin que se desea transmitir supera el tamao mximo de paquete o datagrama, podr ser dividido en paquetes mucho ms pequeos que el original, donde sern rearmados cuando sea necesario (por ejemplo rearmado por el receptor). Todos estos fragmentos del paquete podrn viajar a travs de diferentes rutas o caminos hacia el destino, dependiendo de la congestin de las rutas tomadas........................32 2.1.2TCP 33 Transmission control Protocol (Protocolo de control de transmisin), es un protocolo orientado a conexin y fiabilidad en el transporte, protocolo de capa 4 (capa de transporte) del modelo de OSI. Las aplicaciones necesitan fiabilidad al momento de la transmisin de datos, pero dado que la capa IP (capa de red) brinda un servicio no fiable sin ninguna corroboracin de dicha informacin, TCP prever todas aquellas funciones para brindar un servicio libre de errores, sin prdidas y con seguridad en una comunicacin entre distintos dispositivos...........33 33 Para establecer una conexin entre dos dispositivos uno de ellos debe abrir un socket en un determinado puerto TCP, escuchando nuevas conexiones (servidor). El cliente realiza una apertura activa de un puerto enviando un paquete SYN como parte de la negociacin. Por el lado del servidor se comprueba si el Puerto esta efectivamente abierto, en caso contrario si no lo est, se enva al cliente un paquete de respuesta con el bit RST

activado, rechazando el intento de conexin. Si se encuentra abierto el puerto, el servidor responder con una peticin SYN valida con un paquete SYN/ACK. Una vez recibido esto por parte del cliente este responder al servidor con un ACK completando la negociacin...33 TCP brinda las siguientes funciones:.........................................................34 Orientado a conexin: dos dispositivos establecen la conexin para realizar la labor de intercambiar datos entre ellos, sincronizndose para manejar el flujo de paquetes y adaptarse en caso que hubiera congestin en la red. 34 Operacin Full-Duplex: una conexin TCP posee dos circuitos virtuales, cada uno de ellos en una sola direccin (origen-destino y destino-origen), los cuales solo sern usados por los dispositivos que utilizan dicha conexin..........................................................................................34 Chequeo de error: Tcnica de checksum utilizada para verificar la integridad de los paquetes y que estos no estn corruptos (daados o intervenidos)...................................................................................34 Confirmacin: por cada paquete recibido, el receptor enva un acknowledgement (acuse de recibo) al emisor indicando que recibi los paquetes satisfactoriamente. En el caso de que los paquetes no sean confirmados, el emisor podra reenviar los paquetes o terminar la sesin..............................................................................................34 Control de flujo: si el buffer del receptor se desborda (no posee ms espacio para recibir paquetes), este descarta aquellos paquetes, y aquellos acknowledgement fallidos que llegan al transmisor lo alertan para bajar la tasa de transferencia o dejar de transmitir...................................34 Recuperacin de paquetes: si un paquete no es notificado (ack = acknowledgement), el transmisor enva nuevamente dicho paquete o dicho receptor puede pedir la retransmisin de este.......................35 2.1.3UDP 35 User datagram protocol (protocolo de datagramas de usuario), protocolo de la capa 4 (capa de transporte) del modelo OSI, basada en el intercambio de datagramas. Permite enviar datagramas a travs de la red sin haber establecido alguna conexin previa, ya que dicho

datagrama provee de informacin suficiente de direccionamiento en su cabecera, no provee de control de flujo ni de confirmacin como lo realiza TCP, por lo cual los paquetes pueden adelantarse unos a otros y no se sabe si realmente llegaron de forma exitosa al destino, ya que no posee confirmacin (acuse de recibo) de entrega o recepcin. UDP al ser un modelo simple de transmisin, no proporciona un servicio fiable y los datagramas pueden llegar fuera de orden, aparecer duplicados o perdidos sin previo aviso, por lo cual asume que la comprobacin y correccin de errores no es necesario para realizarla en la aplicacin. Su uso principal recae en protocolos como DHCP, DNS, NFS, TFTP, algunos juegos online y usado en la transmisin de video y voz a travs de la red, la base de esto es que principalmente no hay tiempo para reenviar aquellos paquetes perdidos ya que se est escuchando a alguien o vindolo a travs de algn video en tiempo real. ............35 + 35 Bits 0 - 15 35 16 - 31 35 0 36 Puerto Origen............................................................................................36 Puerto Destino...........................................................................................36 32 36 Longitud del Mensaje................................................................................36 Suma de Verificacin................................................................................36 64 36 Datos 36 2.1.4VoIP 36 VoIP (Voz sobre IP), es una serie de recursos que brindan la posibilidad de transmitir una seal de voz a travs de Internet empleando el protocolo IP (Protocolo de internet). De esta forma se enviara la seal de voz de forma digital (paquetes), en vez de enviarla en su forma original (analgica), a travs de una compaa telefnica PSTN (Red telefnica pblica conmutada).........................................................................36

El trafico de Voz sobre IP puede circular a travs de cualquier red IP, incluyendo aquellas conectadas a internet, como lo son las redes de rea local (LAN), comprimiendo y descomprimiendo de manera eficiente los paquetes de datos (datagramas), para as brindar comunicacin entre dos o ms clientes a travs de una red, brindando servicios como telefona y videoconferencia...................................37 La utilizacin de codecs para dicha comunicacin, como lo son aLaw, G.729, G.711, G.723, etc. Brindan la gran particularidad de codificar la voz para minimizar el tamao de los paquetes de datos, obteniendo una disminucin en la utilizacin del ancho de banda en las comunicaciones de VoIP...........................................................................................38 La gran ventaja que posee esta tecnologa es evitar las altas sumas de dinero invertidas en una telefona tradicional, como lo son los altos cargos producidos en las llamadas internacionales, por ello el gran atractivo de esta tecnologa recae en la utilizacin de la red no solo para transmitir datos sino voz, generando altos ahorros en dichas cuentas, utilizando de manera ms eficiente los recursos actuales de las redes, ya que las llamadas de VoIP a VoIP entre cualquier proveedor son totalmente gratis en contraste de las llamadas de VoIP a PSTN que poseen un costo................................................................................................38 La gran diferencia entre Telefonia IP y VoIP:...........................................38 Telefonia IP, garantiza una alta disponibilidad en la utilizacion de los recursos y la calidad de la voz (bajos indicadores de errors, retardos, ecos, etc.) 38 VoIP, no se garantiza la comunicacion, por ello se producen algunos retardos u otros inconvenientes en una llamada............................................38 2.1.5P2P 39 2.1.6MI 40 2.1.7Gestor de Descargas..........................................................................41 Son programas creados para gestionar descargas de archivos a travs de internet, brindando una amplia gama de caractersticas, entre ellas descarga mltiple de ficheros, pausar descargas, gestionar la capacidad de descarga, evitar que una descarga sea corrompida por algn fallo

de conexin, etc. Algunos ejemplos de gestores de descarga: Rdesc, FlashGet, Jdownloader, etc.............................................................41 41 Figura 9: Programa Gestor de descargas, lista de descargas en cola (archivos en espera de ser descargados).........................................................41 2.1.8Streaming Video................................................................................42 Este mtodo consiste en almacenar en un buffer lo que se desea ver, sin la necesidad de descargar dicho archivo previamente, visualizando el video de forma continua y sin interrupciones, para ello se debe poseer una serie de cdec (para poder visualizar videos), un buffer lo suficientemente grande para almacenar la informacin y un adecuado ancho de banda para as evitar retardos en la visualizacin del video (lag (retardo)), siendo ampliamente utilizados los programas de flash, xvideo, etc, para poder visualizarlos...............................................42 2.1.9Streaming Audio...............................................................................43 Este mtodo es idntico al steaming de video, consiste en almacenar en un buffer lo que se desea reproducir, sin la necesidad de descargar dicho archivo previamente, reproducindolo de forma continua y sin interrupciones, para ello se debe poseer una serie de cdec (para poder reproducirlos), un buffer lo suficientemente grande para almacenar la informacin y un adecuado ancho de banda para as evitar retardos en la reproduccin (lag (retardo)), utilizando programas de radio los cuales brindan una amplia gama de variadas alternativas de msica.43 2.1.10HTTP..............................................................................................44 Hypertext transfer protocol (Protocolo de transferencia de hypertexto), este protocolo es usado en cada accin hacia internet, orientado a conexin utilizando el esquema cliente-servidor, donde los usuarios realizan alguna peticin a travs de algn navegador (internet explorer, firefox, safari, etc.), accediendo a alguna base de datos, archivos, algn resultado de alguna ejecucin de un programa, etc. A toda esta informacin transmitida se le conoce como recurso y es identificada mediante un localizador uniforme de recursos (URL)....................44 Figura 12: Visualizacin de una pgina web a travs de un navegador.....45

2.1.11HTTPS............................................................................................46 Hypertext transfer protocol secure (Protocolo seguro de transferencia de hypertexto), protocolo basado en el protocolo http, desarrollado para transferir los datos de forma segura. Este protocolo utiliza un cifrado basado en SSL/TLS (cuyo nivel de cifrado depende del servidor remoto y el navegador del cliente), asegurando as la informacin que sea sensible (usuario y contraseas), no sea entendible por algn atacante, ya que todo trfico que se transfiera ser cifrado e imposible de descifrar..........................................................................................46 Figura 13: Visualizacin de una pgina web segura a travs de un navegador. 47 2.1.12POP3...............................................................................................47 Post office protocol (Protocolo de oficina de correos), utilizado por los clientes locales de correo para obtener los mensajes de correo electrnico almacenados en el el servidor remoto. Este protocolo fue diseado para recibir correo y no para enviarlo, brindando una ventaja a los usuarios con conexiones lentas, ya que ellos pueden descargar su correo electrnico y posteriormente puden revisarlo, pop3 una ves que se conecta al servidor de correo y descarga todos los correos almacenndolos en la maquina local del cliente, los elimina del servidor y procede a desconectarse. .............................................................47 Figura 14: Diagrama de red segn recepcin de correo a travs POP3....48 2.1.13SMTP..............................................................................................48 Simple mail transfer protocol (Protocolo simple de transferencia de correo), protocolo basado en el modelo cliente-servidor donde el cliente enva un mensaje a uno o varios destinatarios. La comunicacin que existe entre el cliente y servidor es netamente en lneas de texto compuesta por caracteres ASCII, el tamao mximo permitido es de 1000 caracteres, dicho protocolo es utilizado tanto para enviar y recibir los correos electrnicos, pero algunos softwares de correo solo lo utilizan para enviar y utilizan pop3 para recibirlos......................................48 Figura 15: Diagrama de red segn envo de correo a travs de SMTP.....49 2.1.14IMAP...............................................................................................49

Internet Message Access Protocol (protocolo de acceso a mensajes de internet), protocolo utilizado para la obtencin de correo electrnico como lo es POP3, que permite a los clientes acceder a sus mail desde un servidor remoto..........................................................................49 IMAP soporta ambos modos de operacin en lnea y fuera de lnea (conectado o desconectado) ya que tpicamente los usuarios suelen estar conectados al servidor de correo solo para descargar aquellos nuevos mensajes, un cliente que utiliza IMAP generalmente deja los mensajes hasta que el los borra definitivamente, tambin proporciona mecanismos de bsqueda de mensajes, evitando as la descarga de todos ellos del buzn......................................................................50 50 El protocolo IMAP permite el acceso simultneo de mltiples clientes a una casilla de correo y provee mecanismos los cuales permiten detectar los cambios hechos por otros cuando estn conectados de forma simultnea.......................................................................................50 Usualmente todos los correos de internet son enviados en formato MIME, lo cual permite a IMAP recuperar por separados las partes, de forma individual o alguna parte en particular o todo el mensaje. Esto permite a los usuarios recuperar texto de un mensaje sin recuperar los archivos adjuntos o evitar transmitir contenido que se ha recuperado..........51 2.1.15FTP 51 File transfer protocol (Protocolo de transferencia de archivos), protocolo utilizado para transferir archivos basado en la arquitectura clienteservidor. Un cliente que se conecte a dicho servidor podr descargar y subir archivos desde o hacia el servidor. El gran problema de dicho servicio es la inseguridad que este provee, ya que fue diseado para brindar mxima velocidad de conexin, desde la autenticacin hasta la transferencia de archivos se realiza en texto plano sin ningn cifrado, por lo cual cualquier atacante puede aduearse de los archivos o del usuario............................................................................................51 Figura 17: Transferencia de un archivo a travs de un cliente ftp.............51 2.1.16TFTP...............................................................................................51

Trivial file transfer protocol (Protocolo de transferencia de archivos trivial), protocolo utilizado para transferir pequeos archivos entre computadores, donde no existen mtodos de autenticacin ya que este protocolo se utiliza principalmente en redes locales. Algunas utilizaciones ms conocidas, son la utilizacin de un servidor TFTP para almacenar el IOS de un router que no posea algn mtodo de almacenamiento o cargar las configuraciones de dicho router, pequeos datos entre computadoras, algn firmware de algn telfono IP, etc.52 Figura 18: Esquema de una red, donde existe el acceso a un servidor TFTP para acceder a ciertos archivos dentro del servidor........................52 2.1.17Sistema de nombre de dominio.......................................................53 DNS (Sistema de nombre de dominio), sistema de nombrado jerrquico para equipos, servicios o cualquier recurso que se encuentre conectado a travs de internet o una red privada. La funcin de este sistema es asociar (traducir) nombres entendibles por los hombres en identificadores binarios asociados a los equipos que se encuentran conectados a la red, asignndoles un nombre de dominio para poder localizar y direccionar estos equipos. Este sistema consta de una base de datos distribuida y jerrquica, la cual almacena la asociacin de los nombres de dominios en las redes, siendo la ms comn de las funciones, la asociacin de nombres de dominio a una IP, siendo ms fcil el recordatorio de un nombre que una direccin IP, que en muchos casos puede cambiar pero el nombre no se ve alterado, siendo transparente para los usuarios que utilizan el servicio....................53 Figura 19: Esquema de una red donde existe un servidor DNS para resolver nombres, para as agilizar el proceso de asociacin (Nombre del dominio = IP)..................................................................................54 2.1.18Firewall............................................................................................54 Cortafuegos, es un dispositivo o un conjunto de ellos configurados para permitir comunicaciones autorizadas, limitarlas, cifrarlas, descifrarlas o denegar el acceso no autorizado a base de un conjunto de reglas y criterios. Estos dispositivos pueden ser implementados bajo hardware o software, todo el trafico de la red o el trafico entrante pasa por este

sistema, el cual deniega o acepta el trafico, analizando los mensajes, bloqueando aquellos que no cumplan con las polticas establecidas, brindando el acceso necesario a segmentos de la red a maquinas autorizadas, permite establecer distintos niveles de acceso a la informacin definiendo de esta manera los grupos de usuarios que tengan acceso a los servicios e informacin necesaria. ..................55 2.1.19QoS 55 QoS (Quality of service (Calidad de servicio)), es la capacidad de brindar un buen servicio, garantizando la transmisin de cierta cantidad de datos en un tiempo establecido, especialmente en servicios de transmisin de sonido y video. En las redes tpicas existen una amplia gama de trficos, donde ciertas aplicaciones no se ven afectadas por el retardo de las transmisiones versus las otras que se ven afectadas por ellas. La calidad de servicio puede operar en tres o ms niveles. Mejor esfuerzo, donde no existe garanta de fiabilidad y retardo en dicha transmisin por ello se utiliza en la transferencia de archivos y correo electrnico, utilizando una velocidad y tiempo variable, dependiendo del trafico actual y disponible de la red. Servicios diferenciados (Diffserv), los paquetes son marcados acorde al tipo de servicio, priorizando estos paquetes a otros, para ello se pude especificar la clase de servicio con IP Precedence, el cual utiliza 3bits de la celda ToS de un paquete IP, donde se pueden especificar 8 clases de servicios:..........................56 56 Figura 21: IP Precedence segn prioridad de clases..........................................56 0 = Mejor esfuerzo, los cuales sern enviados cuando tenga la posibilidad de hacerlo.......................................................................................................56 1=Prioritario......................................................................................................56 2=Inmediatamente..............................................................................................56 3=Flash...............................................................................................................56 4=Flash-Override...............................................................................................56 5=Critico, trafico de relevancia (voz)................................................................57 6=Internet, utilizado para trafico de red (protocolos de enrutamiento).............57 7=Control de Red..............................................................................................57

Los paquetes que posean alguna prioridad sern ser enviados segn prioridad ms alta a la ms baja (6-7 son prioridades reservadas). En el caso de DSCP utiliza la celda completa de ToS de un paquete IP utilizando los 6 bits de dicha celda, al conservar IP precedence puede generar nuevas caractersticas de control de dichos paquetes, otorgndoles un bajo nivel de dropeo, mediano nivel de dropeo y un alto nivel de dropeo generando as 64 clases para gestionar. 57 Servicios integrados (Intserv), sistema basado en el aprovechamiento parametrizado, donde las aplicaciones utilizan el protocolo de reservacin de recursos (RSVP) para requerir y reservar los recursos para un trfico especfico...................................................................................................57 Figura 22: Esquema de red la cual preferencia ciertos protocolos de aplicacin (calidad de servicio), para as brindar una optima accesibilidad a las aplicaciones deseadas......................................................................58 2.1.15Cloud Computing.....................................................................................58 Iaas infraestructure as a service infraestructura como servicio...........58 Paas platform as a service plataforma como servicio..........................58 Saas software as a service software como servicio.............................58 2.1.16 Virtualizacin.................................................................................59 2.2Sistemas Operativos......................................................................................60 BIBLIOGRAFIA ........................................................................................................82 Anexo A : Caracteristicas TCSS.................................................................................83 A N E X O S...............................................................................................................83 Anexo B : Caracteristicas BrazilFW............................................................................84 ADD-ONs (Agregados):..........................................................................85 Anexo C : Caracteristicas Packetshaper......................................................................87 Anexo D : Caracteristicas Cyberoam..........................................................................93 Anexo E : Numeros de puertos...................................................................................99 AGRADECIMIENTOS...............................................................................................iii

INDICE DE TABLAS...............................................................................................xvi INDICE DE FIGURAS ............................................................................................xvii RESUMEN .................................................................................................................xx ABSTRACT ..............................................................................................................xxi BIBLIOGRAFIA ........................................................................................................82 Anexo A : Caracteristicas TCSS.................................................................................83 A N E X O S...............................................................................................................83 Anexo B : Caracteristicas BrazilFW............................................................................84 Anexo C : Caracteristicas Packetshaper......................................................................87 Anexo D : Caracteristicas Cyberoam..........................................................................93 Anexo E : Numeros de puertos...................................................................................99

INDICE DE TABLAS Pg. Tabla 1: Campos de una cabecera UDP......................................................................36 Tabla 2: Caractersticas control de trfico TCSS........................................................83 Tabla 3: Caractersticas Routing y Servicios de red BrazilFW....................................84 Tabla 4: Add-on Monitoreo y Administracin BrazilFW. ..........................................85 Tabla 5: Add-on Internet BrazilFW. ..........................................................................85 Tabla 6: Add-on Hardware BrazilFW. .......................................................................86 Tabla 7: Add-on Otros BrazilFW. ..............................................................................86 Tabla 8: Caractersticas de supervisin del trfico PacketShaper...............................89 Tabla 9: Caractersticas de conformacin del trfico PacketShaper............................90 Tabla 10: Caractersticas de aceleracin del trfico PacketShaper..............................91 Tabla 11: Caractersticas y Especificaciones Hardware PacketShaper.......................92 Tabla 12: Caractersticas CyberoamCR25i..................................................................93 Tabla 13: Caractersticas Cyberoam CR50i.................................................................97

xvi

INDICE DE FIGURAS Pg. Figura 1: Anlisis de trfico, Colasoft Capsa 7 Free seleccin de interfaz para el anlisis de un host. .........................................................................................................28 Figura 2: Grafico de trafico y de aplicaciones mas utilizadas por los usuarios ademas de las direcciones mas accedidas............................................................................29 Figura 3: Tabla de estadsticas, muestra tanto el total de los paquetes enviados como la cantidad en bytes del trfico del host analizado, adems de la cantidad de broadcast. 30 Figura 4: Tabla de estadsticas graficas, segn interfaz, segn aplicacin y cantidad en bytes segn cada una de ellas.............................................................................31 Figura 5: Negociacin en tres pasos en una conexin TCP........................................33 Figura 6: Esquema basico de VoIP, donde existen varias localizaciones las cuales se conectan a traves de internet para comunicarse entre ellas................................37 Figura 7: Transferencia de un archivo a travs de un cliente P2P...............................40 Figura 8: Cliente de mensajera instantnea, realizando una conversacin..................40 Figura 9: Programa Gestor de descargas, lista de descargas en cola (archivos en espera de ser descargados)................................................................................................41 Figura 10: Carga de un video, descarga de dicho video en el buffer para poder ser visualizado.........................................................................................................43 Figura 11: Carga de audio, descarga de audio en el buffer para poder reproducirlo.. 44 Figura 12: Visualizacin de una pgina web a travs de un navegador.......................45 Figura 13: Visualizacin de una pgina web segura a travs de un navegador...........47

xvii

Figura 14: Diagrama de red segn recepcin de correo a travs POP3......................48 Figura 15: Diagrama de red segn envo de correo a travs de SMTP.......................49 Figura 16: Diagrama de red segn recepcin de correo a travs IMAP.....................50 Figura 17: Transferencia de un archivo a travs de un cliente ftp...............................51 Figura 18: Esquema de una red, donde existe el acceso a un servidor TFTP para acceder a ciertos archivos dentro del servidor................................................................52 Figura 19: Esquema de una red donde existe un servidor DNS para resolver nombres, para as agilizar el proceso de asociacin (Nombre del dominio = IP)..............54 Figura 20: Esquema de red el cual posee un firewall realizando las respectivas polticas establecidas dentro de la red (Bloqueo, Acceso o Reenvo)..............................55 Figura 21: IP Precedence segn prioridad de clases...................................................56 Figura 22: Esquema de red la cual preferencia ciertos protocolos de aplicacin (calidad de servicio), para as brindar una optima accesibilidad a las aplicaciones deseadas. 58 Figura 23: Cloud Computing, servicios provistos para el acceso de ellos en cualquier lugar del mundo.................................................................................................59 Figura 24: VirtualBox virtualizando un sistema operativo Windows sobre Linux......60 Figura 25: Caratula Windows 7 Ultimate....................................................................61 Figura 26: Serie de distribuciones Linux.....................................................................62 Figura 27: Administracin va Web de TCSS, administrando ancho de banda segn protocolo de aplicacin......................................................................................67 Figura 28: Diagrama de red implementado con TCSS/Firewall (Firewall necesario para realizar el bypass de dicho trafico).....................................................................68

xviii

Figura 29: Logo BrazilFW, mini-distribucin de Linux..............................................69 Figura 30: Localizacin dentro de una implementacin real, en la figura izquierda se puede implementar tanto BrazilFW como ArgentoBriedge/CoS.......................70 Figura 31: Modelos de hardware PacketShaper y logo de la compaa de dicha solucion. 71 Figura 32: Ubicacin de PacketShaper dentro de las redes de las sucursales que necesiten administrar el trfico..........................................................................................72 Figura 33: Logo de la empresa desarrolladora y creadora de los dispositivos............73 Figura 34: Diagrama de red, implementada con Cyberoam........................................73 Figura 35: Diagrama de red Mipymes.........................................................................75 Figura 36: Diagrama de red Pequeas Empresas........................................................76 Figura 37: Diagrama de red Medianas Empresas........................................................77 Figura 38: Diagrama de red Grandes Empresas..........................................................78 Figura 39: Carta Gantt de proyecto de implementacin de software, tiempo estimado de duracin quince das..........................................................................................81 Figura 40: Carta Gantt de proyecto de implementacin de hardware, tiempo estimado de duracin diecinueve das....................................................................................81 Figura 41: Cyberoam modelo CR25i...........................................................................94 Figura 42: Cyberoam modelo CR50i...........................................................................98

xix

RESUMEN

Los problemas actuales en las empresas llevan a generar nuevas medidas de administracin de los recursos, en este caso el ancho de banda. Este recurso es escaso y bastante costoso por ende se debe gestionar de la mejor manera posible. Todas las medidas que se implementan son para obtener el mayor provecho al menor costo posible. Todas las opciones aplicadas, ya sea, a travs de software o hardware tienen un objetivo claro, el cual conlleva a la administracin de nuestros enlaces. Dicha administracin posee grandes problemas, cmo gestionar nuestros enlaces?, cmo aplicar polticas para mejorar el desempeo de nuestro recurso?, etc. Por ello se deben tener en cuenta todas las alternativas del mercado, logrando la mejor decisin para el negocio.

xx

ABSTRACT The next proyect is oriented to identified the problems genereated on the correct use of bandwidth. This resource is limited and very expensive , so its critical lo administrate it in the best way posible. All this metures that could be implemented are used to get the best benefits at a low price. All the options via software or hardware available, are going to be discuss on this inform, with there respective data and correct application to specific markets. Our proyect its going to be based on a possible solution for a medium enterprise, showing all the process, starting with a traffic analize to determinate the critical services, then we need to define an administration policy and install a software to administrate efficiently the bandwith.

xxi

CAPITULO 1 INTRODUCCION 1.1 Introduccin El siguiente proyecto est orientado a identificar los problemas que afectan a empresas con respecto al aprovechamiento eficiente de los recursos de ancho de banda, las cuales invierten grandes sumas de dinero para satisfacer sus necesidades y estos son mal utilizados. Debido a esto las empresas se ven forzadas a seguir invirtiendo en ancho de banda, siendo que los problemas seguirn estando presentes, para solucionar este problema se mencionaran variadas formas de administrar correctamente el ancho de banda. A travs de anlisis de trfico se pueden identificar las posibles fallas o mala administracin, realizada por los usuarios de los servicios analizados, como descargas masivas de archivos de gran tamao, servicios de chat, ingreso a pginas con altos streams de datos, video y audio como YouTube, interfiriendo con la utilizacin del ancho de banda para lo realmente necesario. Luego de esta recoleccin de datos mediante el anlisis de trfico, se brindaran soluciones ya sea mediante software especializado y/o herramientas de hardware. Que facilitan el trabajo de enrutamiento o discriminan el tipo de trfico de forma restrictiva o flexible segn las polticas de la empresa analizada. Se especificara cada una de las soluciones a realizar segn los mercados actuales, ya sea para pequeas, medianas o grandes empresas, con sus respectivas ventajas y desventajas, aterrizndolas a las necesidades de cada una de estas. Ya que los datos transportados pueden ser correos electrnicos, pginas web, ficheros de audio y video e incluso telefona ip. Cada uno de estos utiliza de distintas formas los recursos de ancho de banda, asignar prioridades segn la importancia de cada uno de estos, puede ser crucial para la empresa. Uno de los puntos mencionados, puede ser ms crtico que otro para el manejo eficiente de los recursos de ancho de banda, generando los dems posibles problemas que afecten el funcionamiento de la empresa, incurriendo en prdidas econmicas considerables.

22

El proceso de restringir los recursos mal utilizados en las empresas, son limitar y/o prohibir el uso de software y el acceso a pginas, mediante administradores de los sistemas operativos se limita el uso de software no autorizado, y la implementacin de servidores proxy o listas de acceso para el caso de las pginas web. Las soluciones a implementar dentro de esta tesis tienen el fin de proporcionar una eficaz administracin y no realizar restricciones, como las mencionadas anteriormente.

1.2 Administracin del Ancho de Banda. 23

Internet surgi como un proyecto desarrollado por los Estados unidos para brindar una red de comunicacin a sus fuerzas militares establecidas tanto dentro como fuera de sus fronteras. Luego este concepto fue masificado, causando una revolucin al unificar a pases mediante una globalizacin de la informacin. En chile y alrededor del mundo se ha creado una alta dependencia de internet, ya que cada vez aumentan exponencialmente el numero de conexiones, servicios, y a su vez se exige cada vez mas velocidad, que van de la mano de los avances tecnolgicos realizados durante los aos de existencia de internet, ya sea mediante hardware que ayuden a suministrar correctamente las conexiones, software para monitorear su flujo, e incluso mejoras en los sistemas de cableado, que han permitido pasar de velocidades a sus inicios de 64-128 kbps1, a los 4 mbps2 en hogares y conexiones dedicadas para empresas o instituciones que llegan a los 100 mbps. La alta dependencia del ancho de banda 3se genera debido a que se ha convertido en una herramienta indispensable y muy beneficiaria para variados sectores y actividades. Ya sean empresas que obtienen beneficios de esta al incrementar sus ingresos, al hacerse conocer a mayor cantidad de personas mediante una pagina web, realizar comercio electrnico, mantener su cadena de proveedores y clientes actulaizadas segn las necesidades de la empresa, e incluso generar trabajadores (tele-workers)4. A su vez pueden ser beneficiados sectores como la educacin , ya que el acceso libre a informacin a cualquier hora y lugar, proporciona una herramienta de aprendizaje que no se limita a la posicin social o geogrfica de los alumnos, y que complementa los conocimientos adquiridos en sus hogares, escuelas, institutos profesionales y universidades.
1

Es una unidad de medida que se usa en telecomunicaciones para calcular la velocidad de transferencia de informacin a travs de una red. Equivale a 1000 bits por segundo. Equivale a 1000 kbps Es la cantidad de informacin o de datos que se puede enviar a travs de una conexin de red en un perodo de tiempo dado.

2 3

Personas que trabajan desde sus hogares.

24

La banda ancha5 a entregado tambin nuevas formas de entretenimiento mediante videos y televisin de alta definicin , servicios de radio, comunicacin ya sea mediante chats y foros, adems de juegos en lnea, que han sido un mercado que cuenta con millones de usuarios alrededor del mundo y que cada vez suma mas compaas que buscan explotar este mercado. Tambien a permitido el surgimiento de nuevos sistemas de seguridad, como las cmaras de vigilancia que funcionan en tiempo real, conectando los hogares a sus trabajos o a los servicios de emergencia, permitiendo a estos actuar de una manera mas rpido ante las amenazas. Por esto la correcta administracion del ancho de banda es indispensable, ya que permite que los usuarios no hagan un uso incorrecto o mal intencionado de los recursos de ancho de banda, que se disponen para los servicios que se deben prestar. Para esto es correcto definir polticas de administracin, que dejen claros los servicios permitidos y el comportamiento que deben seguir los empleados para respetar el uso de estos. Asignar cuotas de ancho de banda para cada servicio realizado por la empresa es otra practica efectiva de administracin, de esta manera cada servicio contara con una limitada cantidad de ancho de banda para realizar sus tareas, permitiendo suministrar eficientemente los recursos, ya que se asignan segn el grado de importancia de este servicio para la empresa. La administracin debe ser realizada luego de identificar cuales son los servicios utilizados y la cantidad de usuarios que participan de la empresa, para brindar una solucin acorde a las necesidades que sean requeridas, se utilizaran herramientas de anlisis de trafico.

Acceso de alta velocidad a internet a travs de diferentes tecnologas existentes, ya sea a travs de DSL (Lnea digital de del suscriptor), cable modem, fibra, inalmbrica, satlite o banda ancha a travs de lneas elctricas (BPL).

25

Objetivos 1.3 Objetivo General

Generar una va libre en las redes convencionales, logrando el adecuado aprovechamiento del recurso, mejorando la calidad de nuestro ancho de banda a travs de tcnicas, las cuales ayudan ampliamente al desarrollo del negocio, del cual se encargan las compaas que adquieren de estos servicios.

1.4 Objetivos Especficos

Generar una administracin eficiente del ancho de banda Implementar polticas adecuadas al negocio del cliente Denegar servicios inadecuados Administrar mltiples enlaces Reservar Ancho de Banda Anlisis exhaustivo del trfico

26

CAPITULO 2 ASPECTOS TEORICOS 2.1 Anlisis De Trafico

El anlisis de trafico de red se genera mediante herramientas que nos ayudan a poder monitorear el volumen de transferencia de datos de cualquier conexin de red. Este servicio nos permite conocer con detalle, cuanto ancho de banda se consume en nuestros enlaces ya sea de LAN o de WAN/ADSL, tambin es de alta utilidad en la prevencin y eliminacin de ataques. Para analizar el trafico en una maquina existen varias herramientas para visualizarlo, como WireShark6, la cual, es la versin nueva de Ethereal7. Este sniffer8 es bastante til, pero para la aplicacin que se quiere realizar no ser de mucha ayuda, ya que este programa, solo muestra los paquetes en tiempo real en que la maquina enva o recibe paquetes, pero no los clasifica o muestra el uso de los servicios ms utilizados. Para esta labor contamos con una herramienta libre, Colasoft Capsa 7 Free, la cual es un sniffer, con caractersticas bastante peculiares, entre ellas la clasificacin de los servicios ms utilizados, flujos de paquetes por segundo, grficos, etc. Basado en plataforma Windows. Para dicha explicacin se presentara una secuencia de anlisis de un trfico normal de una maquina de trabajo. Como todo programa se debe conseguir dicho software, en este caso Calasoft Capsa 7 Free, el cual se encuentra en la pgina de su autor http://www.colasoft.com/, y rellenar los datos solicitados para as lograr una licencia que es totalmente gratis.

Una vez que est totalmente instalado se podr analizar el trafico que enva y recibe la maquina analizada, para ello se selecciona la tarjeta de red, y hacer click en el botn Play.
6 7 8

Ultima versin de Ethereal. Programa encargado de sniffear paquetes. Sniffer traducido sig. Olfatear, siendo de utilidad en la captura de paquetes.

27

Figura 1: Anlisis de trfico, Colasoft Capsa 7 Free seleccin de interfaz para el anlisis de un host.

28

Una ves realizado el inicio del sniffer se podra visualizar una amplia gama de informaciones, tales como el uso del enlace, trafico en bytes 9 de las ips mas utilizadas, trafico de los protocolos de aplicacin,etc. Ademas de aplicaciones graficas, podemos visualizar la utilizacion de la interfaz de red, cantidad de paquetes por segundos y la cantidad de paquetes en el buffer10.

Figura 2: Grafico de trafico y de aplicaciones mas utilizadas por los usuarios ademas de las direcciones mas accedidas.

Secuencia de bits continuos equivalentes a 8 bits, en la transferencia de informacin a travs de la red. Memoria que posee la tarjeta de red para almacenar paquetes de forma temporal, para luego ser enviadas a su destinatario.

10

29

Otra de las grandes caractersticas de esta herramienta, es el sumario que genera, dando informacin muy til de la cantidad de paquetes enviados, trafico total, cantidad de multicast11 y broadcast12, Estas informaciones pueden ser bastante crticas, puede que algn host en la red genere una gran cantidad de broadcast, por las malas condiciones de la tarjeta de red, mala calidad del cableado, mala calidad de los dispositivos de acceso, etc. Generando trfico innecesario, degradando la utilizacin de la red.

Figura 3: Tabla de estadsticas, muestra tanto el total de los paquetes enviados como la cantidad en bytes del trfico del host analizado, adems de la cantidad de broadcast.

11 12

Envo de informacin a travs de la red a mltiples destinatarios. Envo de informacin a toda la red.

30

En la siguiente figura se pueden ver la cantidad exacta en megas envidas por cada aplicacin, adems del sin fin de informacin que recauda este software, entregando un reporte detallado de los protocolos ms usados, Mac13 destino/origen, etc. Siendo de gran utilidad para todo aquel que desee hacer un diagnostico de cmo administra su ancho de banda.

Figura 4: Tabla de estadsticas graficas, segn interfaz, segn aplicacin y cantidad en bytes segn cada una de ellas. Protocolos de Aplicacin

13

Direccin fsica (nica) de la tarjeta de red, equivalente a 48 bits.

31

2.1.1 IP Internet Protocol (protocolo de internet), es un protocolo no orientado a conexin usado tanto por el origen y destino para realizar la comunicacin de datos a travs de la red, sin ninguna garanta de llegada exitosa. Todos los datos basados en una red IP son enviados en bloques llamados paquetes o datagramas, IP especficamente no necesita ninguna configuracin antes de que algn dispositivo intente enviar paquetes a otro, con el cual no se haba comunicado anteriormente. IP otorga un servicio de datagramas no fiables (mejor esfuerzo), donde realizara dicha labor de la mejor forma posible y baja garanta de llegada exitosa. IP no otorga ningn mecanismo para determinar si un paquete llego a su destino, solamente provee la seguridad de dicho paquete (a travs de checksum o suma de comprobacin), generado en base a sus cabeceras y no a los datos de dicho paquete. La cabecera de un paquete IP contiene las direcciones de los dispositivos de origen y destino (direccin IP), direcciones utilizadas por los dispositivos enrutadores (routers14) para decidir cual ser la ruta optima para reenviar los paquetes. IP al no garantizar la llegada exitosa de los paquetes, estos podran llegar daados, no llegar al destino, desordenados (orden de los paquetes) o duplicados, por ello si se necesita brindar fiabilidad de dichos paquetes sern otorgados por los protocolos de la capa de transporte (modelo OSI15) como TCP. Si la informacin que se desea transmitir supera el tamao mximo de paquete o datagrama, podr ser dividido en paquetes mucho ms pequeos que el original, donde sern rearmados cuando sea necesario (por ejemplo rearmado por el receptor). Todos estos fragmentos del paquete podrn viajar a travs de diferentes rutas o caminos hacia el destino, dependiendo de la congestin de las rutas tomadas.

14

Dispositivo utilizado para la interconexin de red, decide la mejor ruta que debe tomar un paquete Modelo de interconexin de sistemas abiertos, la cual es una referencia para la definicin de arquitecturas de interconexin de sistemas comunicacionales.

15

32

2.1.2 TCP Transmission control Protocol (Protocolo de control de transmisin), es un protocolo orientado a conexin y fiabilidad en el transporte, protocolo de capa 4 (capa de transporte) del modelo de OSI. Las aplicaciones necesitan fiabilidad al momento de la transmisin de datos, pero dado que la capa IP (capa de red) brinda un servicio no fiable sin ninguna corroboracin de dicha informacin, TCP prever todas aquellas funciones para brindar un servicio libre de errores, sin prdidas y con seguridad en una comunicacin entre distintos dispositivos.

Figura 5: Negociacin en tres pasos en una conexin TCP. Para establecer una conexin entre dos dispositivos uno de ellos debe abrir un socket en un determinado puerto TCP, escuchando nuevas conexiones (servidor). El cliente realiza una apertura activa de un puerto enviando un paquete SYN 16 como parte de la negociacin. Por el lado del servidor se comprueba si el Puerto esta efectivamente abierto, en caso contrario si no lo est, se enva al cliente un paquete de respuesta con el bit RST17 activado, rechazando el intento de conexin. Si se encuentra abierto el puerto, el servidor responder con una peticin SYN valida con un paquete
16

SYN es un bit de control que se utiliza para sincronizar los nmeros de secuencia inciales

33

SYN/ACK18. Una vez recibido esto por parte del cliente este responder al servidor con un ACK completando la negociacin

TCP brinda las siguientes funciones:

Orientado a conexin: dos dispositivos establecen la conexin para realizar la labor de intercambiar datos entre ellos, sincronizndose para manejar el flujo de paquetes y adaptarse en caso que hubiera congestin en la red. Operacin Full-Duplex: una conexin TCP posee dos circuitos virtuales, cada uno de ellos en una sola direccin (origen-destino y destino-origen), los cuales solo sern usados por los dispositivos que utilizan dicha conexin. Chequeo de error: Tcnica de checksum utilizada para verificar la integridad de los paquetes y que estos no estn corruptos (daados o intervenidos). Confirmacin: por cada paquete recibido, el receptor enva un

acknowledgement (acuse de recibo) al emisor indicando que recibi los paquetes satisfactoriamente. En el caso de que los paquetes no sean confirmados, el emisor podra reenviar los paquetes o terminar la sesin. Control de flujo: si el buffer del receptor se desborda (no posee ms espacio para recibir paquetes), este descarta aquellos paquetes, y aquellos acknowledgement fallidos que llegan al transmisor lo alertan para bajar la tasa de transferencia o dejar de transmitir.

17

Es un bit ubicado en el campo del cdigo del protocolo TCP y se utiliza para reiniciar una conexin.

18

Acknowledgement (ACK, acuse de recibo), mensaje enviado para confirmar que un paquete ha sido recibido satisfactoriamente.

34

 Recuperacin de paquetes: si un paquete no es notificado (ack = acknowledgement), el transmisor enva nuevamente dicho paquete o dicho receptor puede pedir la retransmisin de este.

2.1.3 UDP User datagram protocol (protocolo de datagramas de usuario), protocolo de la capa 4 (capa de transporte) del modelo OSI, basada en el intercambio de datagramas. Permite enviar datagramas a travs de la red sin haber establecido alguna conexin previa, ya que dicho datagrama provee de informacin suficiente de direccionamiento en su cabecera, no provee de control de flujo ni de confirmacin como lo realiza TCP, por lo cual los paquetes pueden adelantarse unos a otros y no se sabe si realmente llegaron de forma exitosa al destino, ya que no posee confirmacin (acuse de recibo) de entrega o recepcin. UDP al ser un modelo simple de transmisin, no proporciona un servicio fiable y los datagramas pueden llegar fuera de orden, aparecer duplicados o perdidos sin previo aviso, por lo cual asume que la comprobacin y correccin de errores no es necesario para realizarla en la aplicacin. Su uso principal recae en protocolos como DHCP19, DNS, NFS20, TFTP, algunos juegos online y usado en la transmisin de video y voz a travs de la red, la base de esto es que principalmente no hay tiempo para reenviar aquellos paquetes perdidos ya que se est escuchando a alguien o vindolo a travs de algn video en tiempo real. +
19

Bits 0 - 15

16 - 31

Protocolo de configuracin dinmica de host, permite a los clientes obtener de forma automtica Sistema de archivos de red, permite acceder a ficheros remotos (archivos) como si fueran locales.

una direccin IP.

20

35

0 3 2 6 4

Puerto Origen Longitud del Mensaje

Puerto Destino Suma de Verificacin

Datos

Tabla 1: Campos de una cabecera UDP. La cabecera UDP posee 4 campos entre ellos dos opcionales (color anaranjado), asignando as el puerto de origen (si no es utilizado debe ser 0) y puerto destino, largo en bytes del datagrama completo, checksum para chequear si el datagrama posee errores (si no es utilizado debe ser 0) y finalmente los datos del datagrama. 2.1.4 VoIP VoIP (Voz sobre IP), es una serie de recursos que brindan la posibilidad de transmitir una seal de voz a travs de Internet empleando el protocolo IP (Protocolo de internet). De esta forma se enviara la seal de voz de forma digital (paquetes), en vez de enviarla en su forma original (analgica), a travs de una compaa telefnica PSTN (Red telefnica pblica conmutada).

36

Figura 6: Esquema basico de VoIP, donde existen varias localizaciones las cuales se conectan a traves de internet para comunicarse entre ellas.

El trafico de Voz sobre IP puede circular a travs de cualquier red IP, incluyendo aquellas conectadas a internet, como lo son las redes de rea local (LAN), comprimiendo y descomprimiendo de manera eficiente los paquetes de datos

37

(datagramas), para as brindar comunicacin entre dos o ms clientes a travs de una red, brindando servicios como telefona y videoconferencia.

La utilizacin de codecs para dicha comunicacin, como lo son aLaw, G.729, G.711, G.723, etc. Brindan la gran particularidad de codificar la voz para minimizar el tamao de los paquetes de datos, obteniendo una disminucin en la utilizacin del ancho de banda en las comunicaciones de VoIP.

La gran ventaja que posee esta tecnologa es evitar las altas sumas de dinero invertidas en una telefona tradicional, como lo son los altos cargos producidos en las llamadas internacionales, por ello el gran atractivo de esta tecnologa recae en la utilizacin de la red no solo para transmitir datos sino voz, generando altos ahorros en dichas cuentas, utilizando de manera ms eficiente los recursos actuales de las redes, ya que las llamadas de VoIP a VoIP entre cualquier proveedor son totalmente gratis en contraste de las llamadas de VoIP a PSTN que poseen un costo.

La gran diferencia entre Telefonia IP y VoIP:

Telefonia IP, garantiza una alta disponibilidad en la utilizacion de los recursos y la calidad de la voz (bajos indicadores de errors, retardos, ecos, etc.)

VoIP, no se garantiza la comunicacion, por ello se producen algunos retardos u otros inconvenientes en una llamada.

38

2.1.5 P2P Peer-to-Peer (persona-a-persona o punto-a-punto), se refiere a una red de computadoras, donde no existen clientes o servidores fijos, siendo una serie de nodos21 que actan de igual manera entre s, actuando de simultneamente (clienteservidor o servidor-cliente). Estos tipos de redes permiten el intercambio directo de informacin en cualquier formato entre las computadoras que estn interconectadas, administrando y optimizando el uso del ancho de banda de los dems usuarios de la red por medio de la conectividad entre los mismos, obteniendo ms rendimiento en las conexiones y transferencias. La transferencia de archivos puede variar segn la configuracin local ya sea a travs de firewall22, Nat23, velocidad de proceso, disponibilidad de ancho de banda y capacidad de espacio en disco. Estas redes tienen muchos propsitos, generalmente se usan para compartir archivo entre usuarios (video, audio, software, VoIP, etc.), sujetos a las leyes de copyright. Ejemplos de software P2P (Bitcomet, Utorrent, Ares, etc.).

21 22 23

En una red un nodo equivale a una computadora o servidor en caso de internet. Cortafuegos, software especializado para permitir o denegar comunicaciones. Traduccin de direcciones de red, convierte en tiempo real direcciones utilizada en los paquetes y los traduce a una nueva direccin.

39

Figura 7: Transferencia de un archivo a travs de un cliente P2P. 2.1.6 MI

Mensajera instantnea, es una forma de comunicacin entre personas en tiempo real basada en texto. Para realizar dicha comunicacin se debe poseer un cliente de mensajera instantnea (Windows live Messenger, Skype, etc.), todos aquellos programas brindan una amplia gama de funcionalidades, las cuales ayudan a gestionar, visualizar contactos, contactos conectados, etc., manteniendo la conectividad entre los usuarios que utilizan dichos softwares.

Figura 8: Cliente de mensajera instantnea, realizando una conversacin.

40

2.1.7 Gestor de Descargas Son programas creados para gestionar descargas de archivos a travs de internet, brindando una amplia gama de caractersticas, entre ellas descarga mltiple de ficheros, pausar descargas, gestionar la capacidad de descarga, evitar que una descarga sea corrompida por algn fallo de conexin, etc. Algunos ejemplos de gestores de descarga: Rdesc, FlashGet, Jdownloader, etc.

Figura 9: Programa Gestor de descargas, lista de descargas en cola (archivos en espera de ser descargados). 41

2.1.8 Streaming Video Este mtodo consiste en almacenar en un buffer24 lo que se desea ver, sin la necesidad de descargar dicho archivo previamente, visualizando el video de forma continua y sin interrupciones, para ello se debe poseer una serie de cdec 25 (para poder visualizar videos), un buffer lo suficientemente grande para almacenar la informacin y un adecuado ancho de banda para as evitar retardos en la visualizacin del video (lag26 (retardo)), siendo ampliamente utilizados los programas de flash, xvideo, etc, para poder visualizarlos.

24

Memoria reservada para el almacenamiento temporal de la informacin, en el caso de los navegadores una direccin dentro del disco duro. Codificador-Decodificador codifica los datos o los descifra para poder manipularlo en el formato ms apropiado. Retardo que se producen en las comunicaciones fluidas.

25

26

42

Figura 10: Carga de un video, descarga de dicho video en el buffer para poder ser visualizado. 2.1.9 Streaming Audio Este mtodo es idntico al steaming de video, consiste en almacenar en un buffer lo que se desea reproducir, sin la necesidad de descargar dicho archivo previamente, reproducindolo de forma continua y sin interrupciones, para ello se debe poseer una serie de cdec (para poder reproducirlos), un buffer lo suficientemente grande para almacenar la informacin y un adecuado ancho de banda para as evitar retardos en la reproduccin (lag (retardo)), utilizando programas de radio los cuales brindan una amplia gama de variadas alternativas de msica.

43

Figura 11: Carga de audio, descarga de audio en el buffer para poder reproducirlo.

2.1.10

HTTP

Hypertext transfer protocol (Protocolo de transferencia de hypertexto), este protocolo es usado en cada accin hacia internet, orientado a conexin utilizando el esquema cliente-servidor, donde los usuarios realizan alguna peticin a travs de algn navegador (internet explorer, firefox, safari, etc.), accediendo a alguna base de datos, archivos, algn resultado de alguna ejecucin de un programa, etc. A toda 44

esta informacin transmitida se le conoce como recurso y es identificada mediante un localizador uniforme de recursos (URL).

Figura 12: Visualizacin de una pgina web a travs de un navegador.

45

2.1.11

HTTPS

Hypertext transfer protocol secure (Protocolo seguro de transferencia de hypertexto), protocolo basado en el protocolo http, desarrollado para transferir los datos de forma segura. Este protocolo utiliza un cifrado basado en SSL/TLS 27(cuyo nivel de cifrado depende del servidor remoto y el navegador del cliente), asegurando as la informacin que sea sensible (usuario y contraseas), no sea entendible por algn atacante, ya que todo trfico que se transfiera ser cifrado e imposible de descifrar.

27

Son protocolos de cifrado que proporcionan una conexin segura a travs de la red.

46

Figura 13: Visualizacin de una pgina web segura a travs de un navegador.

2.1.12 POP3 Post office protocol (Protocolo de oficina de correos), utilizado por los clientes locales de correo para obtener los mensajes de correo electrnico almacenados en el el servidor remoto. Este protocolo fue diseado para recibir correo y no para enviarlo, brindando una ventaja a los usuarios con conexiones lentas, ya que ellos pueden descargar su correo electrnico y posteriormente puden revisarlo, pop3 una ves que se conecta al servidor de correo y descarga todos los correos almacenndolos en la maquina local del cliente, los elimina del servidor y procede a desconectarse.

47

Figura 14: Diagrama de red segn recepcin de correo a travs POP3.

2.1.13 SMTP Simple mail transfer protocol (Protocolo simple de transferencia de correo), protocolo basado en el modelo cliente-servidor donde el cliente enva un mensaje a uno o varios destinatarios. La comunicacin que existe entre el cliente y servidor es netamente en lneas de texto compuesta por caracteres ASCII 28, el tamao mximo permitido es de 1000 caracteres, dicho protocolo es utilizado tanto para enviar y recibir los correos electrnicos, pero algunos softwares de correo solo lo utilizan para enviar y utilizan pop3 para recibirlos.

28

Codigo de caracteres basados en el alfabeto latino para el intercambio de informacion. Representando de forma numerica algun character A bianraio 0100 0001, para poder ser representados por la computadora.

48

Figura 15: Diagrama de red segn envo de correo a travs de SMTP. 2.1.14 IMAP Internet Message Access Protocol (protocolo de acceso a mensajes de internet), protocolo utilizado para la obtencin de correo electrnico como lo es POP3, que permite a los clientes acceder a sus mail desde un servidor remoto.

49

IMAP soporta ambos modos de operacin en lnea y fuera de lnea (conectado o desconectado) ya que tpicamente los usuarios suelen estar conectados al servidor de correo solo para descargar aquellos nuevos mensajes, un cliente que utiliza IMAP generalmente deja los mensajes hasta que el los borra definitivamente, tambin proporciona mecanismos de bsqueda de mensajes, evitando as la descarga de todos ellos del buzn.

Figura 16: Diagrama de red segn recepcin de correo a travs IMAP.

El protocolo IMAP permite el acceso simultneo de mltiples clientes a una casilla de correo y provee mecanismos los cuales permiten detectar los cambios hechos por otros cuando estn conectados de forma simultnea.

50

Usualmente todos los correos de internet son enviados en formato MIME 29, lo cual permite a IMAP recuperar por separados las partes, de forma individual o alguna parte en particular o todo el mensaje. Esto permite a los usuarios recuperar texto de un mensaje sin recuperar los archivos adjuntos o evitar transmitir contenido que se ha recuperado.

2.1.15 FTP File transfer protocol (Protocolo de transferencia de archivos), protocolo utilizado para transferir archivos basado en la arquitectura cliente-servidor. Un cliente que se conecte a dicho servidor podr descargar y subir archivos desde o hacia el servidor. El gran problema de dicho servicio es la inseguridad que este provee, ya que fue diseado para brindar mxima velocidad de conexin, desde la autenticacin hasta la transferencia de archivos se realiza en texto plano sin ningn cifrado, por lo cual cualquier atacante puede aduearse de los archivos o del usuario.

Figura 17: Transferencia de un archivo a travs de un cliente ftp. 2.1.16 TFTP

29

Extensiones multipropsito de correo de internet, especificaciones dirigidas al intercambio a

travs de internet de todo tipo de archivos de forma transparente al usuario.

51

Trivial file transfer protocol (Protocolo de transferencia de archivos trivial), protocolo utilizado para transferir pequeos archivos entre computadores, donde no existen mtodos de autenticacin ya que este protocolo se utiliza principalmente en redes locales. Algunas utilizaciones ms conocidas, son la utilizacin de un servidor TFTP para almacenar el IOS de un router que no posea algn mtodo de almacenamiento o cargar las configuraciones de dicho router, pequeos datos entre computadoras, algn firmware de algn telfono IP, etc.

Figura 18: Esquema de una red, donde existe el acceso a un servidor TFTP para acceder a ciertos archivos dentro del servidor. 52

2.1.17 Sistema de nombre de dominio DNS (Sistema de nombre de dominio), sistema de nombrado jerrquico para equipos, servicios o cualquier recurso que se encuentre conectado a travs de internet o una red privada. La funcin de este sistema es asociar (traducir) nombres entendibles por los hombres en identificadores binarios asociados a los equipos que se encuentran conectados a la red, asignndoles un nombre de dominio para poder localizar y direccionar estos equipos. Este sistema consta de una base de datos distribuida y jerrquica, la cual almacena la asociacin de los nombres de dominios en las redes, siendo la ms comn de las funciones, la asociacin de nombres de dominio a una IP, siendo ms fcil el recordatorio de un nombre que una direccin IP, que en muchos casos puede cambiar pero el nombre no se ve alterado, siendo transparente para los usuarios que utilizan el servicio.

53

Figura 19: Esquema de una red donde existe un servidor DNS para resolver nombres, para as agilizar el proceso de asociacin (Nombre del dominio = IP).

2.1.18

Firewall

54

Cortafuegos, es un dispositivo o un conjunto de ellos configurados para permitir comunicaciones autorizadas, limitarlas, cifrarlas, descifrarlas o denegar el acceso no autorizado a base de un conjunto de reglas y criterios. Estos dispositivos pueden ser implementados bajo hardware o software, todo el trafico de la red o el trafico entrante pasa por este sistema, el cual deniega o acepta el trafico, analizando los mensajes, bloqueando aquellos que no cumplan con las polticas establecidas, brindando el acceso necesario a segmentos de la red a maquinas autorizadas, permite establecer distintos niveles de acceso a la informacin definiendo de esta manera los grupos de usuarios que tengan acceso a los servicios e informacin necesaria.

Figura 20: Esquema de red el cual posee un firewall realizando las respectivas polticas establecidas dentro de la red (Bloqueo, Acceso o Reenvo).

2.1.19

QoS

55

QoS (Quality of service (Calidad de servicio)), es la capacidad de brindar un buen servicio, garantizando la transmisin de cierta cantidad de datos en un tiempo establecido, especialmente en servicios de transmisin de sonido y video. En las redes tpicas existen una amplia gama de trficos, donde ciertas aplicaciones no se ven afectadas por el retardo de las transmisiones versus las otras que se ven afectadas por ellas. La calidad de servicio puede operar en tres o ms niveles. Mejor esfuerzo, donde no existe garanta de fiabilidad y retardo en dicha transmisin por ello se utiliza en la transferencia de archivos y correo electrnico, utilizando una velocidad y tiempo variable, dependiendo del trafico actual y disponible de la red. Servicios diferenciados (Diffserv), los paquetes son marcados acorde al tipo de servicio, priorizando estos paquetes a otros, para ello se pude especificar la clase de servicio con IP Precedence, el cual utiliza 3bits de la celda ToS de un paquete IP, donde se pueden especificar 8 clases de servicios:

Figura 21: IP Precedence segn prioridad de clases.

0 = Mejor esfuerzo, los cuales sern enviados cuando tenga la posibilidad de hacerlo. 1=Prioritario. 2=Inmediatamente. 3=Flash 4=Flash-Override 56

5=Critico, trafico de relevancia (voz). 6=Internet, utilizado para trafico de red (protocolos de enrutamiento). 7=Control de Red. Los paquetes que posean alguna prioridad sern ser enviados segn prioridad ms alta a la ms baja (6-7 son prioridades reservadas). En el caso de DSCP utiliza la celda completa de ToS de un paquete IP utilizando los 6 bits de dicha celda, al conservar IP precedence puede generar nuevas caractersticas de control de dichos paquetes, otorgndoles un bajo nivel de dropeo, mediano nivel de dropeo y un alto nivel de dropeo generando as 64 clases para gestionar. Servicios integrados (Intserv), sistema basado en el aprovechamiento parametrizado, donde las aplicaciones utilizan el protocolo de reservacin de recursos (RSVP) para requerir y reservar los recursos para un trfico especfico.

57

Figura 22: Esquema de red la cual preferencia ciertos protocolos de aplicacin (calidad de servicio), para as brindar una optima accesibilidad a las aplicaciones deseadas.

2.1.15 Cloud Computing Es una herramienta virtualizada robusta, segura y escalable con costo reducido, que permite brindar servicios computacionales a travs de la web. No necesita instalar ningn tipo de hardware y puede ser utilizado para las ms diversas situaciones como en bases de datos, aplicaciones web, etc. Cloud Computing o computacin en nube, se divide en tres niveles en funcin de los servicios que actualmente estn ofreciendo las empresas. Desde el ms interno hasta el ms externo nos encontramos: Iaas infraestructure as a service infraestructura como servicio. En este nivel se incluye el, CPU y el almacenamiento en disco y tambin los servicios de almacenamiento en bases de datos permitiendo la posibilidad de acceder a mquinas y a almacenamiento a travs de Internet en cuestin de minutos. Paas platform as a service plataforma como servicio. Conjunto de plataformas compuestas por uno o varios servidores de aplicaciones y una base de datos que ofrecen la posibilidad de ejecutar aplicaciones, encargndose el proveedor de escalar los recursos en caso de que la aplicacin lo requiera. Adems el proveedor velar por el rendimiento ptimo de la plataforma, actualizaciones de software, seguridad de acceso, etc. Saas software as a service software como servicio. Suele tener como objetivo al cliente final que utiliza el software para ayudar, mejorar o cubrir algunos de los procesos de su empresa. Saas son aplicaciones a travs de Internet, casi siempre a travs del navegador, donde los datos residen en la plataforma del proveedor. En contadas ocasiones se instala alguna pequea aplicacin a modo de interface para que el usuario pueda interactuar con el sistema. La flexibilidad o escalabilidad de este parte del cloud computing se suele refleja en la facilidad para aadir o quitar usuarios que hacen uso de la aplicacin.

58

Figura 23: Cloud Computing, servicios provistos para el acceso de ellos en cualquier lugar del mundo. 2.1.16 Virtualizacin. Es la tecnologa que a partir de hardware fsico permite ofrecer mquinas y/o almacenamiento virtual en cuestin de minutos y por lo tanto ofrece la flexibilidad de aadir o disminuir recursos en una infraestructura segn las necesidades, el software crea una capa de abstraccin entre el hardware de la mquina fsica y el sistema operativo de la mquina virtual, para crear una versin de un dispositivo o recurso, como un servidor, un dispositivo de almacenamiento, una red o incluso un sistema operativo, donde se divide el recurso en uno o ms entornos de ejecucin. La mquina virtual en general es un sistema operativo completo que corre como si estuviera instalado en una plataforma de hardware autnoma. Tpicamente muchas mquinas virtuales son simuladas en un computador central.

59

Figura 24: VirtualBox virtualizando un sistema operativo Windows sobre Linux.

2.2 2.2.1

Sistemas Operativos Microsoft Windows

Es el nombre de una serie de sistemas operativos desarrollados por Microsoft desde 1981, siendo la empresa lder del mercado de sistemas operativos para computadores personales, siendo altamente amigable (intuitivo) con los usuarios por las grandes caractersticas que este sistema provee. Este sistema operativo es propietario, licenciado y de cdigo cerrado, esto quiere decir que el cdigo fuente de dicho sistema no se encuentra disponible para cualquier usuario, siento propiedad total del autor. 60

Figura 25: Caratula Windows 7 Ultimate.

2.2.2 Linux

61

Sistema operativo libre y de cdigo abierto, todo el cdigo fuente puede ser utilizado, modificado y distribuido libremente bajo licencias libres. La gran estabilidad y acceso al cdigo fuente (lo que permite personalizar el funcionamiento), la independencia del proveedor, la seguridad, la rapidez con que aaden nuevos adelantos tecnolgicos, la escalabilidad y la gran cantidad de desarrolladores que se encuentran en el mundo, o la gran cantidad de documentacin que se encuentra relacionada con los procedimientos, y a la gran cantidad de distribuciones que se encuentran hoy en da por ejemplo (Ubuntu, Red Hat, etc.), las cuales se enfocan en determinado grupo de usuarios, siendo altamente utilizado en supercomputadoras (servidores).

Figura 26: Serie de distribuciones Linux.

62

CAPITULO 3 ALTERNATIVAS DE SOLUCION 3.1 Enfoque De Mercado

En Chile el Ministerio de Economa define el tipo de empresa segn las ventas realizados durante el ao en Unidades tributarias de fomento (U.F). Estas se clasifican en: 3.1.1 Mipymes Facturan hasta 2.400 U.F (10.000 dlares anuales aproximadamente), que poseen un bajo nivel de inversin y que no cuentan con ms de nueve trabajadores, ni infraestructura sofisticada. Comn mente se relacionan con negocios de carcter familiar, donde el internet es provisto por un I.S.P (proveedor de servicio de internet), que cumple la funcin de proporcionar el servicio tanto como uso domstico, como tambin para la micro empresa. 3.1.2 Pequeas Empresas Facturan entre 2401 U.F. hasta 25.000 U.F. (1.000.000 de dlares anuales aproximadamente), poseen un nivel bajo de inversin, cuentan con entre diez y cuarenta y nueve trabajadores, con una infraestructura bsica. Un I.S.P proporciona el servicio, con un uso por parte de la empresa y domstico en el caso de que la empresa este en un hogar. 3.1.3 Medianas Empresas Facturan entre 25.001 U.F hasta 100.000 U.F. (4.000.000 de dlares anuales aproximadamente), poseen un nivel intermedio de inversin e infraestructura y cuentan con entre cincuenta y doscientos noventa y nueve trabajadores. La mayora de las medianas empresas ya se desarrollan en un ambiente de trabajo de oficina o no instaurados dentro del hogar, dejando el servicio de internet, solo dedicado a labores de la empresa. 3.1.4 Grandes Empresas Las grandes empresas no cuentan con ganancias definidas, ya que estas pueden variar, segn la cantidad de trabajadores que tengan, los cuales pueden ser incluso miles, adems pueden contar con sedes nacionales e internacionales. Cuentan con infraestructura de alta calidad y con recursos para invertir en tecnologas que mejoren el funcionamiento de las tareas realizadas en la empresa. 3.2 Polticas De Administracin Segn Empresas 63

Las polticas de administracin son un conjunto de reglas y/o restricciones que se establecen previamente por la empresa, para asignar los servicios que sern permitidos y a su vez el comportamiento que deben tener los usuarios, para no desperdiciar los servicios o aprovecharse de estos, para bienes personales o que perjudiquen el funcionamiento de las tareas a realizarse dentro de la empresa y generar riesgos de seguridad. 3.2.1 Mipymes. Estas empresas no cuentan con polticas de administracin, ya que se limitan bsicamente a usos bsicos del hogar , como uso de mails para generar contactos, navegacin para obtencin de datos o informacin respectiva a la empresa en cuestin. 3.2.2 Pequeas, Medianas y Grandes Empresas. Con el fin de que las organizaciones puedan garantizar la proteccin de sus redes, de la informacin y el uso correcto del ancho de banda. Las empresas deben adoptar practicas de seguridad mas efectivas y enfocadas a dar solucin a los problemas que puedan causar posibles fallas, mediante polticas de administracin. Cisco en su 2010 Midyear Security Report*, analizo cmo las grandes transformaciones tecnolgicas y econmicas influyeron en la aparicin de dispositivos mviles conectados a la red, la virtualizacin, cloud computing y el avance imparable de las redes sociales, presentan una gran amenaza. Las soluciones que deben ser establecidas en las polticas son:

Aplicar polticas especficas para cada usuario en el acceso a las aplicaciones y los datos sobre sistemas virtualizados. Establecer lmites estrictos en el acceso a la informacin crtica para el negocio. Crear una poltica corporativa oficial de movilidad. Invertir en herramientas para gestionar y monitorizar las actividades en la nube. Proporcionar a los trabajadores guas sobre el uso de los medios sociales en la oficina.

Adicionalmente se han identificado otros puntos de conflicto como : 64

Los juegos interactivos: Cada vez ms usuarios que acceden a Facebook dedican una mayor cantidad de tiempo a juegos interactivos populares, como FarmVille (el 7% de los usuarios globales de Facebook se entretuvo con este juego una media de 68 minutos diarios), Mafia Wars (5% de usuarios globales dedicando hasta 52 minutos de juego diarios) o Caf World (4% y 36 minutos al da) y otros juegos Flash que mal utilizan el ancho de banda. Caso omiso a las polticas corporativas: El 50% de los usuarios finales ha admitido ignorar las polticas corporativas, mientras un 27% reconoce haber cambiado la configuracin de su equipo para acceder a aplicaciones no permitidas. Cloud Computing Permite al usuario acceder a servicios atraves de la red, eliminando las necesidades de hardware. La centralizacin de las aplicaciones y el almacenamiento de los datos en la nube, origina una dependencia de los proveedores de servicios y el constante acceso a esta puede casuar una saturacin del ancho de banda.

65

3.3 3.3.1

Soluciones Practicas Va Software

3.3.1.1 Linux TCSS Traffic Control Super Script (Super Script de Control de Trafico), es una utilidad totalmente gratis (Bash Script), funciona bajo Linux (Funcional bajo cualquier distribucin), la cual permite administrar el ancho de banda a usuarios especficos (IPs pertenecientes a los usuarios o a un segmento IP) en una red convencional, limitando as la velocidad del trafico de origen, destino, puerto de origen y puerto de destino, protocolo y ToS (Tipo de Servicio), limitando as la velocidad de conexin en una sola direccin o ambas. Para ver dichos requerimientos de hardware dirigirse al anexo A.

66

Figura 27: Administracin va Web de TCSS, administrando ancho de banda segn protocolo de aplicacin.

Para implementar dicha solucin se debe poseer un servidor el cual realice la labor de control de trfico y firewall (GNU/Linux) realizando Nat 30 para as bypassear el trfico. Para realizar una solucin ptima se debe estar interconectado de manera que pueda realizar la labor de gestin de trfico en la red deseada, para ello se debe ubicar de la manera ms ptima (dependiendo de las necesidades de dicha empresa o dependiendo de la implementacin que posean): Red Local Router TCSS/FirewallInternet Red Local TCSS/Firewall Router Internet Red Local Router TCSS/FirewallFirewallInternet

30

Traduccin de direcciones de red, mecanismo encargado de convertir una direccin de red en otra para ser trasportada en otro segmento (IP_Origen=10.0.10.10 IP_Nateada=200.15.2.158).

67

Figura 28: Diagrama de red implementado con TCSS/Firewall (Firewall necesario para realizar el bypass de dicho trafico). 3.3.1.2 BrazilFW

BrazilFW31 es una mini-distribucin de Linux, basada en lo que fue el anterior proyecto de Coyote Linux, el cual es totalmente gratis, brindando soluciones de conectividad y gestin en el trafico de una red, obtenidos gracias a la calidad de servicio, las caractersticas de Firewall, Bloqueo de servicios inadecuados o baja prioridad, bloqueo de URLs o bloqueo segn frases, etc. Gracias a la baja necesidad de recursos (hardware) se podr lograr obtener un alto rendimiento en un hardware de bajo calibre, disminuyendo los costos de implementacin, sin la necesidad de invertir en un hardware especializado, siendo una solucin viable para aquellas

31

http://www.brazilfw.com.br/forum/

68

empresas que necesiten una solucin accesible a las necesidades de esta (pequeas o medianas empresas). Para ver dichos requerimientos de hardware dirigirse al anexo B. Figura 29: Logo BrazilFW, mini-distribucin de Linux. Para la implementacin ptima de esta solucin, debe estar interconectado de manera que administre el trfico dentro de la red, para dicha solucin existen varias maneras de interconectarlo (dependiendo de las necesidades de dicha empresa o dependiendo de la implementacin que posean): Red LocalBrazilFWRouterInternet Red Local BrazilFW Router/FirewallInternet Red Local BrazilFWRouterFirewallInternet Red LocalRouterBrazilFWInternet Red LocalRouterArgentoQoS ArgentoBriedgeInternet Red LocalRouterArgentoQoS/ArgentoBriedgeInternet BrazilFW puede ser reeamplazado por complementos (Addon) para brindar caractersticas mas potentes y flexibles, llamados: ArgentoQoS Provee calidad de servicio a las aplicaciones que lo necesiten. A diferencia de la versin nativa de BrazilFW que solo tiene 3 niveles de prioridad para dicha adminsitracion, vesus las 7 que ArgentoQoS posee. Dependiendo de las necesidades que la empresa necesite se debe seleccionar esta medida, para asi brindar una mejor gestin en la administracin de dicho trafico, actualemente BrazilFW fusiono ambas caractersticas en un solo dispositivo (ArgentoQos y argentoBriedge). ArgentoBriedge

69

Este va localizado entre la red local y ArgentoQoS, siendo el administrador de las tasas mximas y minimas de subida/descarga, segn IP, rangos de direcciones o subredes. Gracias a dicha implementacion ArgentoBriedge brinda un control optimo de la red y de usuarios, siendo totalmente transparente, ayudadndo asi a no sobrecargar Argento QoS

Figura 30: Localizacin dentro de una implementacin real, en la figura izquierda se puede implementar tanto BrazilFW como ArgentoBriedge/CoS. 3.3.2 Va Hardware 3.3.2.1 PacketShaper PacketShaper32 es un hardware especializado desarrollado por Packeteer, actualmente adquirida por Blue Coat, especialmente diseado para gestionar el trafico de aplicaciones y la gran cantidad de problemas que se encuentran en una empresa mal gestionada, el correo electrnico, las descargas de par a par (peer-topeer) y el uso de Internet compiten por los recursos y pueden afectar al rendimiento de aplicaciones crticas, PacketShaper supervisa, controla y acelera el trfico en la red, proporcionando
32

http://www.bluecoat.com/

70

as una elevada calidad de servicio a las aplicaciones crticas basadas en el negocio. Beneficios: Realiza un mejor aprovechamiento de los recursos de red y del ancho de banda actuales. Limita la necesidad de ampliaciones de ancho de banda y en infraestructuras. Protege las inversiones en aplicaciones crticas para su negocio, como por ejemplo SAP, Oracle, VoIP y Citrix. Asegura que el ancho de banda y otras inversiones relacionadas con la red son utilizados por aplicaciones de negocio - no por

trfico indeseado. Figura 31: Modelos de hardware PacketShaper y logo de la compaa de dicha solucion. La gran ventaja de utilizar este dispositivo, es el aprovechamiento exclusivo que brinda en la gestin del trafico a travs de la red, con esto se evita que algn dispositivo caiga en una congestion exesiva, por la gran cantidad de acciones que debe realizar (router, firewall, gestin de trafico, etc.), por ello se debe instalar entremedio de la red, ya sea en el caso: Red LocalPacketshaperRouterInternet Red LocalPacketshaper Router/FirewallInternet Red LocalPacketshaperRouterFirewallInternet

71

Obteniendo un mejor aprovechamiento en los dispositivos de la red, dado a la descongestion de acciones realizadas, previniendo una sobrecarga de todos estos, logrando una gran estabilidad y recursos libres para futuros crecimientos, para mas informacin diriguirse al Anexo C.

Figura 32: Ubicacin de PacketShaper dentro de las redes de las sucursales que necesiten administrar el trfico.

3.3.2.2 Cyberoam Cyberoam33 es un hardware diseado especialmente para proveer un sin fin de caractersticas en un solo dispositivo, asegurando la conectividad, seguridad y productividad para aquellas oficinas en casa, oficinas remotas o empresas que necesiten una solucin integrada basadas en polticas de control.
33

http://www.cyberoam.com/

72

Estos dispositivos trabajan con identidad de usuario, permitiendo restaurar la seguridad o proveer alguna seguridad proactiva a los efectos que los usuarios podran tener con respecto a la decadencia del ancho de banda, manteniendo asi una gestin ordenada y activa segn las necesidades de dicha compaa basada en sus operarios.

Figura 33: Logo de la empresa desarrolladora y creadora de los dispositivos.

Figura 34: Diagrama de red, implementada con Cyberoam. Ambos diagramas de red se pueden implementar con este dispositivo, tanto la gestin del trfico de la red de forma nica (dependiendo del modelo, ya que el primer modelo solo realiza esta accin), o realizar varias labores como se visualiza en el segundo diagrama, entre ellas Firewall, router, gestin del trfico, gestin de varios enlaces hacia internet, etc. Se debe tener cuidado con el ultimo diagrama ya que dicho dispositivo tendr una carga bastante mayor que un dispositivo dedicado a una labor. Para ms informacin con respecto a dichas caractersticas dirigirse a Anexo D.

73

3.3.3 Recomendaciones Para seleccionar el tipo de implementacin a utilizar en cada empresa utilizaremos un enfoque costo - eficiencia mediante la observacin conjunta de dos factores: El costo: involucra la implementacin de la solucin informtica, adquisicin y puesta en marcha del sistema hardware / software y los costos de operacin asociados. La eficiencia: se entiende como la relacin entre bienes y servicios finales (resultados) y los insumos requeridos para ello. As se trata de medir en qu grado el gasto de recursos se justifica por los resultados, minimizando costos u optimizando insumos.

74

3.3.4

Mipymes.

Estas empresas no cuentan con las necesidades de implementar una solucin que administre o restringa el ancho de banda, ya que las operaciones que se realizan en la empresa se limitan a trafico bsico, web, mail y descargas de archivos en una pequea cantidad de usuarios.

Figura 35: Diagrama de red Mipymes.

75

3.3.5 Pequeas Empresas. Estas cuentan con una cantidad de usuarios considerables, por lo cual el ancho de banda puede verse comprometido, ya que se deben brindar los servicios que esta requiera y adicionalmente todo el trafico generado por los usuarios.

Figura 36: Diagrama de red Pequeas Empresas. Para este tipo de empresas se recomienda la implementacin de una solucin por software, ya que no es una solucin costosa y permite un uso eficiente de los recursos de la empresa, mediante la implementacin de un servidor con software de administracin de ancho de banda.

76

3.3.6 Medianas Empresas. Estas cuentan con variados servicios que pueden ir desde servidores de mail propietraio, base de datos, telefona, autentificacin de usuarios e incluso pueden contar con cloud computing. Adicionalmente la cantidad de usuarios es alta ya que pueden llegar a superar los quinientos.

Figura 37: Diagrama de red Medianas Empresas. Para este tipo de empresas se recomienda una solucin mediante software (BrazilFW) por la gran cantidad de caractersticas que posse. Ajustadose a las necesidades de la empresa y utilizando todos los beneficios y configuraciones que esta posea, en el caso que nuevas implementaciones se deban realizar, se indicaran dentro del presupuesto y las tareas a realizarse para la completa implementacin.

77

3.3.7

Grandes Empresas

Estas empresas cuentan con una alta cantidad de usuarios los cuales pueden superar los miles, adems de los multiples servicios de los cuales tienen una alta dependencia, ya que cualquier falla en estos pueden significar perdidas millonarias, por lo cual mantener la conectividad sin fallos es una de las prioridades, mas aun si cuenta con servicios compartidos con otras sucursales.

Figura 38: Diagrama de red Grandes Empresas. Para este tipo de empresas se recomienda una solucin mediante hardware (PacketShaper o Cyberoam), por la alta cantidad de usuarios y servicios. Ademas proporciona escalabilidad en el caso que se adquieran nuevos servicios o se agregen nuevos usuarios.

78

3.4 Tareas para implementacin de soluciones de software y hardware. 3.4.1 Identificacin y Definicin del Problema. Se debe determinar qu problema se intenta solucionar o qu objetivo se pretende alcanzar mediante el proyecto. Es importante aclarar este punto, para entregar una solucin optima que se ajuste a las necesidades de la empresa. Dentro de este punto se realizara un anlisis de trafico para identificar en que area se deben implementar las polticas y las configuraciones para administrar el ancho de banda. 3.4.2 Organizacin del entorno Afectado por el Proyecto . Esta etapa tiene como objetivo analizar la infraestructura del rea donde se desarrollaran los trabajos, con el fin de identificar los posibles lugares donde se llebaran a cabo cambios si son necesarios, y la instalacin del servidor o hardware segn sea el caso. Se evaluara la necesidad de hacer instalaciones adicionales como, cableado, instalacin de un rack de comunicaciones, etc. 3.4.3 Estimacin de costos, operacin y mantencin para la etapa de ejecucin. La estimacin de los costos de inversin, operacin y mantencin deben estar fundamentados. La idea es presentar claramente como se obtuvieron los valores correspondientes mediante la entrega de una cotizacin, explicando las cifras usadas y describiendo el software, hardware y servicios profesionales que se usaran, despus de analizar los requerimientos. Es importante notar que en informtica se entiende por costos de mantencin los destinados a las configuraciones que requieren los sistemas para mantener su vigencia y utilidad. Dentro de esta etapa se considera el tiempo para la adquisicin de los insumos destinados a la ejecucin del proyecto, una vez ta definidos los costos y las operaciones a realizar. 3.4.4 Etapa de implementacin de hardware. Se entregara un cronograma donde se indicaran las actividades necesarias para realizar la instalacin de todo lo necesario para comenzar la etapa de implementacin de la solucin, ya sea el cableado o la instalacin del hardware y los servidores. A diferencia de la programacin de la planificacin del desarrollo del software propiamente tal, el tiempo planificado para esta actividad debiera ser bastante exacto ya que establece las bases para la implementacion. Este periodo puede ser mas extenso en el caso de usar la implementacin por hardware79

3.4.5 Planificacin del desarrollo del software. En esta etapa se realizara la instalacin del sistema operativo con su respectivo software destinado a administrar el ancho de banda, se proporcionaran las configuraciones correspondientes segn los requerimientos pedidos, mas las soluciones para problemas adicionales identificados en etapas anteriores. Esta etapa solo se desarrollara en la solucin por software. 3.4.6 Marcha blanca. Periodo de prueba donde se realizaran pruebas de funcionamiento a las nuevas implementaciones realizadas, estas pruebas se desarrollan antes de la entrega final del proyecto, con el fin de identificar posibles fallas 3.5 Costos

3.6 Cartas Gantt

80

Cartas Gantt con estimaciones de tiempo para la implementacin de las soluciones por hardware y software. Los tiempos pueden variar segn el tamao de la implementacin a realizarse, ya que la cantidad de usuarios y servicios son distintos para cada una de las empresas. 3.6.1 Software

Figura 39: Carta Gantt de proyecto de implementacin de software, tiempo estimado de duracin quince das. 3.6.2 Hardware

Figura 40: Carta Gantt de proyecto de implementacin de hardware, tiempo estimado de duracin diecinueve das.

81

BIBLIOGRAFIA [Cady90] CADY, J. y HOWARTH, B. (1990) Computer Performance Management and Capacity Planning. Prentice Hall, Sydney. (Bibliografa) [Casa87] CASAS, I. y AURTENECHEA, F. (1987) Evaluacin y Prediccin del Desempeo de Sistemas Computacionales. Actas XIII Conferencia Latinoamericana de Informtica. 9-13 Noviembre, Bogot, Colombia. (Bibliografa) [Unix89] Unisys (1989) U6000 Series System V, Administration Guide Vol 1 . Unisys Corporation. (Bibliografa)

82

ANEXO A : CARACTERISTICAS TCSS Requerimientos mnimos de sistema (Linux):

Procesador: 486 RAM: 128 MB Lector de CD Unidad de Almacenamiento: 2GB Dos tarjetas de red

Dichas tarjetas de red son necesarias para realizar la gestin del trafico de la red administrada. Dependiendo de las distribuciones de Linux, barian las necesidades de hardware para sus respectivos funcionamientos. Requerimientos mnimos instalacin TCSS: SQL instalado (para generar las bases de datos necesaria para dicha gestion). Servidor Web (apache, apache2,etc. Para administracin Web). ANEXOS Control de trfico Soporte de grupos Reglas multipuerto Administracion de velocidad segun tarjetas de red Minimo de velocidad de rafagas (velocidad de dicho trafico) Maximo de velocidad de rafagas (velocidad de dicho trafico) Limitacion de trafico segun origen/destino Priorizacion del trafico Filtrado capa 7 (filtrado segn aplicacin)

Tabla 2: Caractersticas control de trfico TCSS.

83

ANEXO B : CARACTERISTICAS BRAZILFW Requerimientos mnimos de sistema (para poder ser ejecutado):

Procesador: 486 RAM: 12 MB Lector de CD Unidad de Almacenamiento: 2GB Dos tarjetas de red

Dichas tarjetas de red son necesarias para poder realizar los respectivos reenvos del trfico.

Routing y Servicios de Red DHCP (servidor y cliente). DHCP (servidor con reservas de IP) PPPoE (cliente). SSH (server) Modem Dial-up soportado. SSH (Soporte de tuneles) Squid Proxy - Http Cache Web Server (administrativo) GRE (soportado) Soporte (WAN/LAN/DMZ) Firewall (habilitado) Log de sistema remoto QoS (Calidad de Servicio) Soporte a Proxy Clonado Mac WAN Upnp (soportado- para descubrir y utilizar dispositivos de red) Layer 7 (Capa de aplicacion) soportada por firewall Reglas de acceso y administracion. Reglas separadas de configuracion por subred y por interfaz. Reglas personalizables Iptables Firewall. Bridge Firewall (Firewall Puente(reenvio)-Soportado) NAT (Traduccion de direcciones de red/enmascaramiento) Port Forwardingn (Redirecion de puertos)

Tabla 3: Caractersticas Routing y Servicios de red BrazilFW.

84

ADD-ONs (Agregados):

Cutter ettercap p0f RRD2STATS Zebra athsta - WebAdmin front-end athap - WebAdmin front-end bandwidthd - Monitor grfico iptraf - Una utilidad de consola para el monitoreo de redes Comprobacin de balance de carga (load balancing check) NetStrain - Una herramienta de comprobacin de volumen de trfico de red Simon 2.0 -Monitor en tiempo real del consumo del ancho de banda. tcpdump - Monitoreo de red por consola TCPDUMP toptools - Herramienta de monitoreo de sistema y red wavemon - Monitor para dispositivos inalmbricos Tabla 4: Add-on Monitoreo y Administracin BrazilFW.

Monitoreo y Administracin watchdogip 1.0 Natdet Iperf Nmap

IpUpdate Cach DNS en disco duro Actualizacin del IPUPDATE PoPToP (PPTP) - Servidor VPN openvpn - OpenVPN (Servidor VPN) sarg - Squid Analysis Report Generator (Generador de Reportes de Anlisis Squid) TCP Outgoing (redireccin de pginas web's seleccionadas a distintas WAN's) Tabla 5: Add-on Internet BrazilFW.

Internet Tinyproxy squid - Proxy y cach Web

85

Hardware HDPARM ACPID - Soft Power Button Shut-Down Addnic - Automticamente detecta e instala mdulos NIC compatibles. HardwareLister - Provee informacin detallada sobre el hardware. PCI Utilities - Muestra informacin detallada sobre todos los dispositivos PCI. Tabla 6: Add-on Hardware BrazilFW.

Cliente FTP pure-ftpd - Servidor FTP keyboard - Layout config msmtp - email sender: apoyo para Gmail (STARTTLS/SSL) usbserial - Controlador para Mdem USB (Vivo Zap e Tim) Perl addon - Un complemento grande para BFW con Argento Series cative - Redireccionado temporario cative - Redireccionado temporario con autentificacin Tabla 7: Add-on Otros BrazilFW.

Otros Hard Disc Beta (HDB) Addon Samba

86

ANEXO C : CARACTERISTICAS PACKETSHAPER

PacketShaper realiza cuatro acciones para gestionar las aplicaciones y controlar las congestiones que se realizan en los enlaces hacia internet: Clasificacin: Clasifica automticamente el trfico de red en categoras, basndose en criterios de aplicacin, protocolo, subred, URL, etc. Basado en capa 7 para identificar diversas aplicaciones utilizadas en las redes. Anlisis: Almacena ms de 60 mtricas por cada tipo de trfico, a fin de proporcionar un anlisis detallado de la utilizacin de la red, del rendimiento de aplicaciones y de la eficiencia de la red. Control: Protege y acelera las aplicaciones crticas gracias a la asignacin del ancho de banda, el control del trfico y la aceleracin de ste mediante polticas. Distribuyendo dinmicamente el ancho de banda por aplicacin, usuario o cliente. Informes: Ofrece y genera una gran variedad de informacin: informes, grficas y estadsticas va SNMP.

87

Caractersticas de supervisin del trfico: Caracterstica Descripcin Clasificacin del trfico Clasifica el trfico segn aplicacin, por protocolo, por identificador de puerto, URL, nombre del servidor "host", listas de servidores "host" va LDAP (Protocolo de Acceso a Directorios), ajustes de Servicios Diferenciados (Diffserv), ISL, 802.1p/q, etiqueta MPLS, bits de prioridad de IP, direccin IP o MAC (Control de Acceso a Medio), direccin del flujo (hacia dentro/hacia fuera), fuente, destino, rango de velocidad del servidor "host", tipo de codificacin MIME, navegador de Internet, base de datos de Oracle, aplicacin publicada Citrix y LAN Virtual. Detecta asignaciones dinmicas a puertos, rastrea las transacciones con asignaciones a puertos en migracin y diferencia entre aplicaciones que usan el mismo puerto. Anlisis y gestin del tiempo Permite revisar las mediciones de ms de 30 variables: por ejemplo, tiempos de respuesta (divididos en retardos del servidor y de la red), clientes y servidores que sufren los mayores retardos, usuarios que reciben o generan el mayor trfico de un determinado tipo, porcentaje de ancho de banda malgastado en retransmisiones, paquetes perdidos y su relacin con las correspondientes aplicaciones y servidores. Determina las clases que generan la mayor parte del trfico. Esta caracterstica ayuda a los usuarios a localizar los problemas y solucionarlos con rapidez y sin necesidad de un aprendizaje exhaustivo y costoso. Confirme cunto de su ancho de banda se emplea en la navegacin por Internet, en descargas de msica, en MS Exchange, SAP, y otros. PolicyCenter gestiona de un modo centralizado mltiples unidades de PacketShaper va una arquitectura de protocolo LDAP; ReportCenter agrega y realiza correlaciones entre mtricas procedentes de mltiples unidades, a fin de lograr una visin simplificada de grandes despliegues o como parte de un servicio de aplicacin gestionada. 88

Aplicaciones ms utilizadas

Gestin e informacin centralizada

Tabla 8: Caractersticas de supervisin del trfico PacketShaper.

Caractersticas de conformacin del trfico: Caracterstica Descripcin Mnimo por aplicacin Protege el trfico de una clase determinada. Se ha de especificar el tamao reservado al enlace virtual, decidir si se puede exceder dicho tamao y, de un modo opcional, limitar su crecimiento. Por ejemplo, se ha reservado un mnimo del 20% del enlace WAN para MS Exchange. Se podra permitir que Exchange exceda este mnimo si hay ancho de banda disponible, pero al mismo tiempo se podra establecer una limitacin mxima del 60%. Mximo por aplicacin Restringe todo el trfico de una clase determinada. As, incluso si el trfico desborda este lmite, el resto de aplicaciones no se vern afectadas. Por ejemplo, limitar el total transmitido va Protocolo de Transferencia de Archivos (FTP) a 128 Kbps. Protege sesiones sensibles a la latencia. Se establece un flujo mnimo para cada sesin individual de un tipo de trfico determinado, se decide si se otorga a la sesin acceso prioritario para poder exceder el ancho de banda, y se establece el lmite mximo de ancho de banda que puede emplear. Limita el acceso simultneo de sesiones que absorben un gran ancho de banda. Por ejemplo, limitando cada descarga va FTP a 10 Kbps. Controla dinmicamente el ancho de banda por usuario sin necesidad de configuraciones para cada usuario. En este modelo, el ancho de banda no empleado es prestado a otros.

Mnimo por sesin

Mximo por sesin

Mnimo y mximo dinmico por usuario

89

Control de flujo en sesiones TCP

Impone un flujo suave y constante que maximiza la capacidad de procesamiento. Reduce la latencia tanto en el trfico de entrada como de salida. Mide el tiempo de retardo de la red; realiza previsiones de tiempos de llegada de paquetes; ajusta el tamao de la ventana de acuerdo con las previsiones; mide el acuse de recibo para asegurar la entrega a tiempo. Restringe el trfico de entrada y de salida a un ritmo determinado, garantiza un ancho de banda concreto y controla el jitter. Por ejemplo, la transferencia de VoIP requiere un ancho de banda mnimo, y proporciona la cantidad precisa para eliminar el jitter y asegurar un comportamiento fiable. Utiliza elementos de clasificacin y control para defenderse contra ataques del tipo DoS. Detecta y detiene los desbordamientos de la Marca de Sincronizacin (SYN) o ataques similares de Negacin del Servicio. Por ejemplo, detecta y bloquea las variantes del Protocolo de Mensajes de Control de Internet (ICMP) que pueden sembrar instrucciones nocivas. Bloquea los flujos hacia el servidor una vez se excede el lmite de 15.000 flujos por minuto.

Control de flujo en sesiones UDP

Proteccin contra Ataques del tipo "Negacin del Servicio" (DoS attacks)

Tabla 9: Caractersticas de conformacin del trfico PacketShaper. Caractersticas de aceleracin del trfico: Caracterstica Descripcin Compresin a nivel de El conocimiento de las aplicaciones y la arquitectura aplicacin plug-in permiten a Xpress aplicar la tcnica ms efectiva. Los algoritmos adaptativos permiten aprender y construir dinmicamente libreras a travs de los diferentes paquetes. La exclusin predecible limita la compresin a los datos susceptibles de ser comprimidos.

90

Gestin activa de tneles ActiveTunnel

Detecta dinmicamente y establece automticamente tneles de compresin que proporcionan un sistema fcil de desplegar y gestionar. La gestin activa del tamao asegura que el enlace virtual se llena basndose en algoritmos predictivos, maximizando de este modo la utilizacin de la red. Se adapta a diferentes flujos de aplicaciones y utiliza tcnicas avanzadas de gestin de trfico para asegurar un rendimiento ptimo de las aplicaciones.

Gestin latencias

Tabla 10: Caractersticas de aceleracin del trfico PacketShaper. Caractersticas y especificaciones:

Modelo Capacidad Throughput mximo Mximo nmero de clases Mximo nmero de particiones dinmicas Mximo nmero de particiones estticas Mximo nmero de polticas Mximo nmero de host IP Mximo nmero de flujos IP(tcp/otros) Interfaces Interfaces de red Mdulos de Expansin de LAN Puerto de consola 2Mbps 256 128 128 256 5.000 5.000/2.500 10Mbps 512 1.024 256 512 15.000 30.000/15.000 1Gbps 2.048 20.000 1.024 2.048 200.000 300.000/150.000 900 1700 10000

10/100Base-T no

10/100/1000Base-T no

10/100/1000Base-T 2x10/100/1000Bas e-T; 2xFibra SFP

Todos disponen del estndar recomendado RS-232 con conectores macho de 9 pins (DB-9)

Dimensiones - Todos pueden montarse en rejillas de 19" (48,25cm) Altura Peso Anchura Profundidad Alimentacion Fuente de alimentacin 100/240 VAC; 50/60Hz, 2A 100/240VAC; 50/60Hz, 2A 100/240VAC; 50/60Hz, 6A 1U 1,75" (4,45cm) 5,90kg 17,20 (43,69cm) 14 (35,56cm) 2U 3,5 (8,89cm) 7,26kg 17,20 (43,69cm) 15,30 (38,74cm) 2U 3,5 (8,89cm) 13kg 17,38 (44cm) 17 (43cm)

91

Adicionales Interfaces XML, XML y APIs de CGI, Base de Informacin de Gestin del Protocolo Simple de Gestin de Red (SNMP MIB), Alertas de eventos SNMP, OpenView de HP, InfoVista, eHealth de Concord, Spectrum de Aprisma, Netcool de Micromuse. Puerto serie de consola tipo DB-9, Interfaz para navegadores Web, Interfaz para Lneas de Comando Telnet, Soporte de SNMP MIB y MIB-II.

Gestin de dispositivo

Tabla 11: Caractersticas y Especificaciones Hardware PacketShaper. Ademas Blue coat proporciona algunas herramientas, por ejemplo PolicyCenter la cual proporciona una gestin de las polticas de administracin centralizada de manera que se puedan administrar varios PacketShaper en una sola localidad gracias a los protocolos SNMP y API XML.

92

ANEXO D : CARACTERISTICAS CYBEROAM Caractersticas CyberoamCR25i: Caracterstica Interfaces

10/100 Puertos Ethernet Puertos COM Puertos configurables Internos/DMZ/WAN Puertos USB

Cantidad 4 1 Si 2 150 100 130.000

30 60

Rendimiento de sistema
Firewall Throughput (UDP) (Mbps) Firewall Throughput (TCP) (Mbps) Sesiones simultaneas Antivirus throughput (Mbps) IPS throughput (Mbps) Dimensiones AltoxAnchoxLargo Peso Alimentacin Voltaje Consumo

5cmx22.5cmx20.5cm 2.1Kg 100-240VAC 24.8W

Tabla 12: Caractersticas CyberoamCR25i.

93

Figura 41: Cyberoam modelo CR25i.

Firewall: Identidad de usuario Zonas multiples de seguridad Criterios de contro de acceso (identidad de usuario, origen y zona de destino, direccin Mac, direccin IP y servicios) IPS, filtrado web, filtrado de aplicaciones, anti-virus, anti-spam y administracin de ancho de banda Polticas basadas en origen/destino Nat Soporte de 802.1q Prevencin de ataques de denegacin de servicios Filtrado MAC/IP

Gateway anti-spyware y anti-virus Deteccin y eliminacin de virus, gusanos y troyanos Actualizacin automtica de las bases de datos de antivirus Escaneo http, FTP, SMTP, POP3, IMAP, IM, tuneles VPN Bloqueo de tipo de archivos

Sistema de prevencin de intrusos (IPS): Politicas multiples o personalizadas Creacin de polticas basadas en usuarios Deteccin de protocolos anmalos Prevencin de ataques de denegacin de servicios 94

Filtrado Web: Url, palabras, bloqueos de archivo por tipo Soporta HTTP, HTTPS Bloqueo de aplicaciones Java, Cookies y Active X

Filtrado de aplicaciones: Base de datos de categoras de aplicacin incorporado Categoras: Gaming, IM, P2P, etc. Proxies annimos Visibilidad de aplicaciones segn identidad de usuario Administracion de ancho de banda: Administracin en base a usuarios o aplicaciones Descubrimiento del trafico basado en usuarios o aplicaciones Restricciones de ancho de banda basado en categorias Conectividad: Balanceo de carga basado en WRR Politicas de ruteo basadas en usuario o aplicacin Asignamiento de IP: estatico,PPoe L2TP, PPTP y cliente DDNS, ARP proxy, DHCP server Soporte de multiples enlaces Wan (internet) Recuperacin automatica en caso de error en algn enlace Wan Redes privadas virtuales (VPN): IPSec, L2TP, PPTP Encryptacion 3DES, DES, AES, Twofish, Blowfish, Serpent Algoritmos de hash MD5 y SHA-1 95

 Autenticacin contrasea compartida (establecida) y certificados digitales Soporta autoridades certificadoras externas Redundancia en la conecion VPN Soporta Hub and Spoke VPN (Vpn central/clientes)

Administracion de sistema: Interfaz de usuario Web Configuracin wizard Actualizacin del firmware via web Interface de lnea de comando (serial, ssh o telnet) SNMP (v1, v2c y v3) Soporte multi lenguaje Soporte NTP Authenticacion de usuario: Base de dato interna Integracin con Active Directory Integracin externa de base de datos LDAP/RADIUS Soporta clientes terminal de servicios Microsoft Windows Server 2003 y Citrix XenApp Autenticacin externa - usuarios y administradores Correlacion usuario/MAC Multiples servers de autenticacion Monitorizacion y Loggin Monitorizacin histrica y en tiempo real Notificacin de reportes via email Soporte de logs de sistema

96

 Visor de logs: IPS, filtros Web, Anti virus, Anti Spam, Autenticacion, sistema y eventos de administracin

Caractersticas Cyberoam CR50i: Caracterstica Interfaces

10/100 Puertos Ethernet Puertos Consola (RJ45/DB9) Puertos configurables Internos/DMZ/WAN Puertos USB

Cantidad 4 1 Si 4 175 220.000

40 100

Rendimiento de sistema
Firewall Throughput (Mbps) Sesiones simultaneas Antivirus throughput (Mbps) IPS throughput (Mbps) Dimensiones AltoxAnchoxLargo Peso Alimentacin Voltaje Consumo

4.4cmx42.7cmx23.5cm 4Kg 100-240VAC 25.9W

Tabla 13: Caractersticas Cyberoam CR50i.

97

Figura 42: Cyberoam modelo CR50i. Ademas de posser todas las caracteristicas de la versin anterior se le incluyen caractersticas nuevas entre ellas las de ruteador ( soportando RIP v1 y v2, OSPF y BGP), brindando asi una solucin completa para las necesidades de los clientes. Gracias a ello no se vern obligados a verlo como un costo (interferir en dicho trafico), sino que ser un dispositivo bastante poderoso en la red.

98

ANEXO E : NUMEROS DE PUERTOS Nmeros de puertos bien conocidos usados por TCP y UDP.
Puerto/proto colo n/d / n/d / n/d / 20/tcp 21/tcp 22/tcp 23/tcp 25/tcp 53/tcp 53/udp 67/udp 68/udp 69/udp 80/tcp 88/tcp 110/tcp 123/udp 123/tcp 137/tcp 137/udp 138/tcp 138/udp 139/tcp 139/udp 143/tcp 161/tcp Descripcin GRE GRE (protocolo IP 47) Enrutamiento y acceso remoto ESP IPSec ESP (protocolo IP 50) Enrutamiento y acceso remoto AH IPSec AH (protocolo IP 51) Enrutamiento y acceso remoto FTP File Transfer Protocol (Protocolo de Transferencia de Ficheros) - datos FTP File Transfer Protocol (Protocolo de Transferencia de Ficheros) - control SSH, scp, SFTP Telnet manejo remoto de equipo, inseguro SMTP Simple Mail Transfer Protocol (Protocolo Simple de Transferencia de Correo) DNS Domain Name System (Sistema de Nombres de Dominio) DNS Domain Name System (Sistema de Nombres de Dominio) BOOTP BootStrap Protocol (Server), tambin usado por DHCP BOOTP BootStrap Protocol (Client), tambin usado por DHCP TFTP Trivial File Transfer Protocol (Protocolo Trivial de Transferencia de Ficheros) HTTP HyperText Transfer Protocol (Protocolo de Transferencia de HiperTexto) (WWW) Kerberos Agente de autenticacin POP3 Post Office Protocol (E-mail) NTP Protocolo de sincronizacin de tiempo NTP Protocolo de sincronizacin de tiempo NetBIOS Servicio de nombres NetBIOS Servicio de nombres NetBIOS Servicio de envo de datagramas NetBIOS Servicio de envo de datagramas NetBIOS Servicio de sesiones NetBIOS Servicio de sesiones IMAP4 Internet Message Access Protocol (E-mail) SNMP Simple Network Management Protocol

99

161/udp 162/tcp 162/udp 389/tcp 389/udp 443/tcp 500/udp 514/udp 520/udp 993/tcp 995/tcp 1352/tcp 1433/tcp 1434/tcp 1434/udp 1494/tcp 1512/tcp 1521/tcp 1701/udp 1723/tcp 1761/tcp 1863/tcp 2049/tcp 3128/tcp 3306/tcp 3306/tcp 4662/tcp 4672/udp 5000/tcp 5060/udp 5190/tcp 5432/tcp 6346/tcp 6347/udp 6348/udp 6349/udp 6350/udp 6355/udp 6881/tcp

SNMP Simple Network Management Protocol SNMP-trap SNMP-trap LDAP Protocolo de acceso ligero a Bases de Datos LDAP Protocolo de acceso ligero a Bases de Datos HTTPS/SSL usado para la transferencia segura de pginas web IPSec ISAKMP, Autoridad de Seguridad Local syslog usado para logs del sistema RIP IMAP4 sobre SSL (E-mail) POP3 sobre SSL (E-mail) IBM Lotus Notes/Domino RCP Microsoft-SQL-Server Microsoft-SQL-Monitor Microsoft-SQL-Monitor Citrix MetaFrame Cliente ICA WINS Oracle listener por defecto Enrutamiento y Acceso Remoto para VPN con L2TP. Enrutamiento y Acceso Remoto para VPN con PPTP. Novell Zenworks Remote Control utility MSN Messenger NFS Archivos del sistema de red HTTP usado por web caches y por defecto en Squid cache MySQL sistema de gestin de bases de datos MySQL sistema de gestin de bases de datos eMule (aplicacin de comparticin de ficheros) eMule (aplicacin de comparticin de ficheros) Universal plug-and-play Session Initiation Protocol (SIP) AOL y AOL Instant Messenger PostgreSQL sistema de gestin de bases de datos Gnutella comparticin de ficheros (Limewire, etc.) Gnutella Gnutella Gnutella Gnutella Gnutella BitTorrent puerto por defecto

100

6969/tcp 8080/tcp 10000/tcp

BitTorrent puerto de tracker HTTP HTTP-ALT ver puerto 80. Tomcat lo usa como puerto por defecto. Webmin (Administracin remota web)

101