Académique Documents
Professionnel Documents
Culture Documents
wsantanar@hotmail.com
2014
DECLARACIÓN
Yo, Wendy Elizabeth Santana Romero, declaro bajo juramento que el trabajo aquí descrito
es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación
profesional; y, que he consultado las referencias bibliográficas que se incluyen en este
documento.
La Universidad Católica de Cuenca puede hacer uso de los derechos correspondientes a este
trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y la
normatividad institucional vigente.
________________________________________
Wendy Elizabeth Santana Romero
- II -
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Wendy Elizabeth Santana Romero, bajo
mi supervisión.
____________________________________
- III -
AGRADECIMIENTO
Agradezco en primer lugar a Dios que gracias a su bondad y amor me ha conducido a cumplir
las metas planteadas en mi vida.
Debo agradecer de manera especial y sincera al Ing. Javier Cabrera por aceptarme para
realizar este trabajo de investigación bajo su dirección. Su apoyo y confianza en mi trabajo y
su capacidad para guiar mis ideas ha sido un aporte invaluable, no solamente en el desarrollo
de esta tesis, sino también en mi formación profesional.
Wendy
- IV -
DEDICATORIA
Dedico este trabajo de investigación a mí querida familia que tras duros momentos que hemos
tenido que pasar, siempre me supieron apoyar creyendo en mí y encausándome a salir adelante.
Mediante su ejemplo digno de entrega y superación hoy puedo ver finalizada una meta más en vida.
Con mucho amor a mis dos hijos ya que ellos fueron mi motor para alcanzar esta meta, dándoles
como ejemplo que todo esfuerzo y sacrificio son esenciales para llegar a superarse.
A mis hermanas, mi querida madre y esposo, ya que por el apoyo y la ayuda brindada me
ayudaron a alcanzar la meta de culminar mis estudios. Gracias por haber fomentado en mí el
deseo de superación y el anhelo de triunfo en la vida.
Wendy
- V -
ÍNDICE DE CONTENIDO
DECLARACIÓN _____________________________________________________________ II
CERTIFICACIÓN _____________________________________________________________ III
AGRADECIMIENTO __________________________________________________________IV
DEDICATORIA ______________________________________________________________ V
ÍNDICE DE CONTENIDO ______________________________________________________VI
LISTA DE FIGURAS ________________________________________________________ VIII
LISTA DE TABLAS ___________________________________________________________ X
RESUMEN _________________________________________________________________ XI
ABSTRACT ________________________________________________________________ XII
CAPITULO 1. FUNDAMENTACIÓN TEÓRICA _____________________________________ 13
1.1 INFORMACIÓN GENERAL DE ROUTEROS ___________________________________________ 13
1.2 ROUTEROS MIKROTIK __________________________________________________________ 13
1.3 CARACTERÍSTICAS PRINCIPALES DE ROUTEROS ______________________________________ 14
1.3.1 WIRELESS _______________________________________________________________ 14
1.3.2 FIREWALL _______________________________________________________________ 15
1.3.3 ROUTING _______________________________________________________________ 15
1.3.4 CALIDAD DE SERVICIO QOS _________________________________________________ 15
1.3.5 CONTROL DE ANCHO DE BANDA _____________________________________________ 16
1.3.6 SERVIDOR / CLIENTE ______________________________________________________ 16
1.3.7 LICENCIAMIENTO_________________________________________________________ 17
1.4 MODELOS DE PLACAS ROUTERBOARDS ____________________________________________ 17
- VI -
3.11 SERVIDOR RADIUS. __________________________________________________________ 66
3.12 CONFIGURACIÓN SERVIDOR - CLIENTE JABBER. ___________________________________ 68
CONCLUSIONES ___________________________________________________________ 72
RECOMENDACIONES _______________________________________________________ 73
REFERENCIAS BIBLIOGRÁFICAS _______________________________________________ 74
- VII -
LISTA DE FIGURAS
Fig. 1 Modelos Router MIKROTIK (ds3comunicaciones, s.f.) ________________________________________ 17
Fig. 2 Modelos Router Mikrotik Rackeables (ds3comunicaciones, s.f.) ________________________________ 18
Fig. 3 Modelos de AccessPoint Mikrotik (ds3comunicaciones, s.f.) ___________________________________ 18
Fig. 4 Modelos de AccessPoint Mikrotik (ds3comunicaciones, s.f.) ___________________________________ 18
Fig. 5 Unidad Académica de Ingeniería de Sistemas, Eléctrica y Electrónica. (Fuente propia) ______________ 19
Fig. 6 Rack de la Unidad Académica. (Fuente propia) _____________________________________________ 20
Fig. 7 Rack de la Unidad Académica. (Fuente propia) _____________________________________________ 20
Fig. 8 Topología de bus (socipa4, s.f.) _________________________________________________________ 21
Fig. 9 Topología de red en anillo (socipa4, s.f.)___________________________________________________ 21
Fig. 10 Topología de red en estrella. (socipa4, s.f.)________________________________________________ 22
Fig. 11 Topología de red jerárquica (socipa4, s.f.) ________________________________________________ 22
Fig. 12 Topología de malla (socipa4, s.f.)_______________________________________________________ 23
Fig. 13 Topología de red en árbol (socipa4, s.f.) __________________________________________________ 23
Fig. 14 Topología broadcast( (kajisoftnetwokr, s.f.) _______________________________________________ 24
Fig. 15 Transmisión de tokens (kajisoftnetwokr, s.f.)_____________________________________________ 24
Fig. 16 Laboratorio 303 (Fuente propia) ________________________________________________________ 27
Fig. 17 Switch Laboratorio 303 (Fuente propia)__________________________________________________ 27
Fig. 18 Laboratorio 403 (Fuente propia) ________________________________________________________ 28
Fig. 19 Switch Laboratorio 403 _______________________________________________________________ 28
Fig. 20 Selección de paquetes para instalar Mikrotik RouterOS. (Fuente propia) ________________________ 29
Fig. 21 Guardar configuración para la instalación de Mikrotik RouterOS. (Fuente propia) _________________ 30
Fig. 22 Instalación de Mikrotik RouterOS. (Fuente propia) __________________________________________ 31
Fig. 23 Verificación de la instalación de Mikrotik RouterOS. (Fuente propia) ___________________________ 31
Fig. 24 Pantalla de inicio Mikrotik RouterOS. (Fuente propia) _______________________________________ 32
Fig. 25 Pantalla de inicio Mikrotik Winbox (Fuente propia) _________________________________________ 32
Fig. 26 Mikrotik Winbox. (Fuente propia) _______________________________________________________ 33
Fig. 27 Conectar a la Mac en Winbox. (Fuente propia) ____________________________________________ 33
Fig. 28 Iniciando Winbox (Fuente propia) _______________________________________________________ 34
Fig. 29 Aceptar licencia Winbox. (Fuente propia) _________________________________________________ 34
Fig. 30 Pantalla principal de Winbox. (Fuente propia) _____________________________________________ 35
Fig. 31 Configuración de contraseña para el administrador. (Fuente propia) ___________________________ 35
Fig. 32 Propiedades del administrador. (Fuente propia) ___________________________________________ 36
Fig. 33 Creación del password para el administrador. (Fuente propia) ________________________________ 36
Fig. 34 Contraseñas. (Fuente propia) __________________________________________________________ 37
Fig. 35 Creación de nuevo usuario con permisos de administrador. (Fuente propia) _____________________ 37
Fig. 36 Lista de usuarios. (Fuente propia) _______________________________________________________ 38
Fig. 37 Permisos y contraseñas del nuevo usuario (Fuente propia) ___________________________________ 38
Fig. 38 Interfaces en Winbox. (Fuente propia) ___________________________________________________ 39
Fig. 39 Modificación de Ip y mascara de subred (Fuente propia) _____________________________________ 39
Fig. 40 Lista de Address (Fuente propia) ________________________________________________________ 40
Fig. 41 Muestra la lista interface. (Fuente propia) ________________________________________________ 40
Fig. 42 Configuración de interface (Fuente propia) _______________________________________________ 41
Fig. 43 Búsqueda de los archivos. (Fuente propia) ________________________________________________ 41
Fig. 44 Lista de archivos (Fuente propia) _______________________________________________________ 42
Fig. 45 Configuración de interface administración. (Fuente propia) __________________________________ 43
Fig. 46 Ingreso del DNS del proveedor. (Fuente propia) ____________________________________________ 43
Fig. 47 Configuración DHCP Administrador. (Fuente propia) ________________________________________ 44
Fig. 48 Configuración DHCP Server. (Fuente propia) ______________________________________________ 45
- VIII -
Fig. 49 Configuración DHCP Client. (Fuente propia) _______________________________________________ 45
Fig. 50 Estado DHCP Cliente. (Fuente propia) ____________________________________________________ 46
Fig. 51 Firewall. (Fuente propia) ______________________________________________________________ 46
Fig. 52 Rutas Configuradas. (Fuente propia) ____________________________________________________ 47
Fig. 53 Selección del Hotspot interface. (Fuente propia) ___________________________________________ 47
Fig. 54 Local address of network. (Fuente propia) ________________________________________________ 48
Fig. 55 Address Pool of network. (Fuente propia)_________________________________________________ 48
Fig. 56 Selección del certificado (Fuente propia) _________________________________________________ 48
Fig. 57 Ip address de SMTP. (Fuente propia) ____________________________________________________ 49
Fig. 58 Servidor DNS (hotspot). (Fuente propia) __________________________________________________ 49
Fig. 59 Nombre DNS (hotspot) (Fuente propia) __________________________________________________ 49
Fig. 60 Configuración Hotspot realizada (Fuente propia) __________________________________________ 50
Fig. 61 Configuración servidor hotspot. (Fuente propia) ___________________________________________ 50
Fig. 62 Elementos de configuración de hotspot server. (Fuente propia) _______________________________ 51
Fig. 63 Configuraión Perfil de hotspot server. (Fuente propia) ______________________________________ 51
Fig. 64 selección de Nas Port hotspot server. (Fuente propia)_______________________________________ 52
Fig. 65 Perfil Nuevo Hotspot. (Fuente propia)____________________________________________________ 52
Fig. 66 Nuevo usuario hotspot. (Fuente propia) __________________________________________________ 53
Fig. 67 Información del Nuevo usuario hotspot. (Fuente propia) _____________________________________ 53
Fig. 68 Perfil de Seguridad. (Fuente propia) _____________________________________________________ 54
Fig. 69 EAP del perfil de Seguridad. (Fuente propia) ______________________________________________ 54
Fig. 70 Clave estática perfil de Seguridad. (Fuente propia) _________________________________________ 55
Fig. 71 Interface. (Fuente propia) _____________________________________________________________ 55
Fig. 72 Servidor Radius. (Fuente propia) ________________________________________________________ 56
Fig. 73 Lista Queue control ancho de banda. (Fuente propia) _______________________________________ 57
Fig. 74 Configuración Queue control ancho de banda. (Fuente propia) ________________________________ 57
Fig. 75 Bloqueo MSN. (Fuente propia) _________________________________________________________ 58
Fig. 76 Reflas firewall (Bloqueo MSN) (Fuente propia) _____________________________________________ 59
Fig. 77 Selección de protocolo layer 7 (bloqueo MSN) (Fuente propia) ________________________________ 60
Fig. 78 Drop Messenger MSN. (Fuente propia) ___________________________________________________ 60
Fig. 79 habilitar gráficas mrtg. (Fuente propia) __________________________________________________ 61
Fig. 80 Reglas de interface ráficas mrtg. (Fuente propia) __________________________________________ 61
Fig. 81 Nueva interface gráficas mrtg . (Fuente propia) ___________________________________________ 62
Fig. 82 Ejemplo de gráficas mrtg. (Fuente propia) ________________________________________________ 62
Fig. 83 Servidor snmp. (Fuente propia) _________________________________________________________ 63
Fig. 84 Servidor snmp (community). (Fuente propia)______________________________________________ 63
Fig. 85 Ventana de información de terminal (Fuente propia) _______________________________________ 64
Fig. 86 Ventana de edición de configuración por comandos. (Fuente propia) ___________________________ 65
Fig. 87 Ventana de ingreso a cuenta. (Fuente propia) _____________________________________________ 69
- IX -
LISTA DE TABLAS
TABLA I CARACTERÍSTICAS DE LICENCIAS MIKROTIK ROUTEROS _____________________________________ 17
TABLA II COSTOS DE IMPLEMENTACIÓN _______________________________________________________ 70
- X -
RESUMEN
El propósito de esta investigación es implementar el Sistema Operativo RouterOS Mikrotik para
Administración de redes Alámbricas e Inalámbricas a la Facultad de Ingeniería de Sistemas de la
Universidad Católica de Cuenca.
Con lo antes mencionado se pretende implementar una Red Segura basada en varios servicios
los cuales nos ayudaran, a mejorar la calidad de servicio del Internet en los Laboratorio,
Departamentos Administrativos, Departamento de Docentes, para una mayor conformidad de los
usuarios.
Este proyecto proporcionamos un ejemplo específicos de cómo construir una red cableada e
inalámbrica de alta velocidad, con las debidas seguridades para los sistemas informáticos.
Permitiendo incrementar la capacidad de los sistemas, y proveer conectividad en lugares donde no
es muy factible la utilización de cables.
- XI -
ABSTRACT
The purpose of this research is to implement the Mikrotik RouterOS Operating System for
Wired and Wireless Management to Systems Engineering Faculty of the Catholic University of
Cuenca networks.
With the above is to implement a Secure Network from various services which will help us to
improve the quality of Internet service in the Laboratory, Administrative Departments, Department
of Teachers, for increased user compliance.
This project we provide a specific example of how to build a wired and wireless high-speed
network, with appropriate security for computer systems. Allowing to increase the capacity of the
systems, and provide connectivity in places where it is not feasible to use cables.
- XII -
CAPITULO 1. FUNDAMENTACIÓN TEÓRICA
1.1 INFORMACIÓN GENERAL DE ROUTEROS
Lo que se busca con esta Simulación de Implementación con Mikrotik RouterOs es fomentar
a la Facultad de Ingeniería de Sistemas de Universidad Católica de Cuenca a tomar otras
alternativas para la administración de sus redes ya que esta alternativa es muy buena y en
relación a costos con otras herramientas de hardware y software, la misma presenta precios
bajos y competitivos en el mercado con un alto índice de seguridad.
Mikrotik es un sistema operativo de routers, esto significa que con el podemos convertir
cualquier computador en un poderoso Router. Mikrotik no necesita de un sistema operativo
previamente instalado, ya que la herramienta viene “encapsulada” dentro de un microkernel de
Linux, lo que nos brinda flexibilidad y escalabilidad. (BARION, 2006).
El sistema RouterOS fue creado por 2 estudiantes de Latvia país ex integrante de la Unión
Soviética como tesis universitaria para diseñar un router basado en Linux que permita equiparar
las funcionalidades de otros routers que se encontraban en el mercado. Con el pasar del tiempo
se han integrado varias aplicaciones dentro del sistema, como: soluciones de telefónica IP,
administración de protocolo BGP, integración de Ipv6, servidor de VPN’s, administración de
ancho de banda, calidad de servicio (QoS), administración de hotspots, puntos de acceso
inalámbrico, backhaul inalámbrico, etc. (Luis Miguel Cabezas Granado, 2010).
A partir del año 2002 se enfocaron en la creación del hardware que permita simplificar su
operación, creando el RouterBOARD 230, luego desarrollaron una amplia gama de
RouterBOARD RB, como: RB500, RB100, RB300, RB600, RB400 y RB1000, los cuales
difieren entre sí en características 4 como: la velocidad del procesador, el número de puertos
Ethernet, el número de slots mini-PCI, capacidad de memoria, capacidad de almacenamiento
de datos, nivel de licencia, etc. (Madrones).
- 13 -
La principal diferencia de MikroTik frente al resto de marcas en el mercado, es su bajo costo
de sus licencias y la amplia capacidad de adaptación a operaciones de networking, con lo cual
su uso se ha extendido de forma extraordinaria y rápidamente.
1.3.1 WIRELESS
RouterOS soporta una variedad de tecnologías inalámbricas, puede trabajar con diferentes
configuraciones para diferentes aplicaciones, por ejemplo; Backhaul para enlaces punto a
punto, Access Point para enlaces multipunto, Hotspot. Soporta estándares IEEE802.11a/b/g/n,
con modulaciones; OFDM (Orthogonal frequency-division multiplexing): BPSK (Binary
Phase Shift Keying), QPSK (Quadrature Phase Shift Keying), 16 QAM (Quadrature Amplitud
Modulation), 64QAM, DSSS (Direct Sequence Spread Spectrum) (Scrimger, 2006):
DBPSK (differential binary phase shift keying), DQPSK (Differential Quadrature Phase
Shift Keying), CCK (Complementary Code Keying). Maneja protocolos propietario: Nstreme
protocolo que permite extender el rango de cobertura y velocidad de lo radios y Nstream2
(dual) utiliza 2 tarjetas de radio una para transmisión y otra para recepción con lo cual se puede
duplicar la capacidad de ancho de banda. (Nyhus, 2006).
Mediante el uso de radios que soportan el estándar 802.11n, RouterOS tiene la capacidad
de implementar la reciente tecnología MIMO (Multiple-input Multiple-output), que permite
mediante diversidad de antenas (dos antenas simultaneas en diferentes frecuencias)
incrementar el ancho de banda hasta una velocidad teórica de 600 Mbps. Puede administrar
redes Wireless MESH (malla) y HWMP (Hybrid Wireless Mesh Protocol) para incrementar
zonas de cobertura de la red inalámbrica.
Soporta RTS/CTS (Request to Send / Clear to Send) para disminuir las colisiones, WDS
(Wireless Distribution System) para extender una red Multipunto con varios puntos de acceso
(AP’s) con un mismo ssid (service set identifier) conservando las mismas direcciones MAC
(Media Access Control) en los clientes. (Madrones).
- 14 -
1.3.2 FIREWALL
El Firewall implementa filtrado de paquetes que es usado para administrar el flujo de datos,
desde y a través del router. Junto con el NAT (Network Address Translation) previene el acceso
no autorizado a redes internas, autorizando solo el tráfico de salida, es decir el tráfico generado
desde la red interna hacia el Internet, por ejemplo solicitudes HTTP (Hypertex Transfer
Protocol) o envío de correo electrónico.
RouterOS permite crear un Firewall Stateful lo que significa que realiza una inspección de
estado de paquetes y realiza un seguimiento de estado de conexiones que pasan a través de él.
También soporta Source and Destination 5 NAT (Network Address Translation). (Hurle,
2006). El Firewall provee características para hacer uso de conexiones internas, ruteando y
marcando paquetes. Permite detectar ataques por denegación de servicio (DoS) El filtrado
puede ser por direcciones IP, rango de direcciones IP, por puerto, rango de puerto, protocolo
IP, DSCP (Differentiated Services Code Point) y otros parámetros. Soporta también
direccionamiento IP estático y dinámico, además de implementar características de capa 7
(Layer7).
1.3.3 ROUTING
• Para IPv4 soporta RIP v1 y v2, OSPF (Open Shortest Path First) v2, BGP (Border
Gateway Protocol).
• Para IPv6 soporta RIPng, OSPF v3 y BGP RouterOS soporta también Virtual Routing
y Forwarding (VRF), ruteo basado en políticas, ruteo basado en interfaces, y ruteo
ECMP (Equal-cost multi-path routing). Es posible usar el firewall para marcar
conexiones específicas para hacer que el tráfico marcado use un diferente ISP (Internet
Service Provider). Implementa el protocolo de ruteo MPLS (Multiprotocol Label
Switching), el cual trabaja entre la segunda y la tercera capa de red del modelo OSI, y
es comúnmente utilizado para manejo y administración de redes de alto rendimiento.
Soporta BGP (Border Gateway Protocol) para la administración de sistemas
autónomos. (Purbo, 2006).
• Tipo de colas: RED (Random Early Detection), BFIFO (Byte limited First In, First Out
queue), PFIFO (Packet limited First In, First Out queue), PCQ (Packet Classification
and Queuing).
- 15 -
• Colas simples: por origen/destino de red, dirección IP de cliente, por interface.
• Limitación de tráfico por direcciones IP, subredes, por protocolo, por puerto, y otros
parámetros.
Túneles tipo PPPoE (Point to Point Protocolo over Ethernet) utilizado para acceso DSL
encapsulando tramas PPP dentro de tramas Ethernet.
Túneles PPTP (Point to Point Tunneling Protocol): permite la transmisión de datos cliente-
servidor sobre la plataforma TCP/IP.
Gateway de Hotspot: provee autenticación, autorización, y seguridad para el uso de una red
inalámbrica de acceso público.
VPN (virtual private network) Server: permite establecer conexiones seguras sobre redes
abiertas (sin seguridad), ó Internet.
- 16 -
1.3.7 LICENCIAMIENTO
RouterOS para ser activado requiere una licencia de nivel de aplicaciones, es decir existen
varias licencias con limitaciones o características adicionales dependiendo del tipo de
aplicación de red que se requiera.
Las licencias de nivel 0 es una licencia demo, habilita todas sus funciones durante un
periodo de 24 horas. La licencia de nivel 2 fue una licencia de transición e investigación, por
lo que no se encuentran disponibles.
La licencia de nivel 3 fue una licencia que operaba con características limitadas, y permitía
el uso de interfaces inalámbricas solo para trabajar en modo cliente.
Existen disponibles licencias del Sistema Operativo Mikrotik RouterOS en todos sus niveles
(Level4, Level5 y Level6), la misma es original y su disponibilidad es inmediata. También
están disponible las licencias extrachannel que le permiten aumentar el espectro de frecuencia
en la cual puede transmitir una estación inalámbrica.
TABLA I
Actualizable hasta v6 v7 v7
AP Wireless Si Si Si
- 18 -
CAPITULO 2. DIAGNÓSTICO SITUACIONAL
Actualmente en la Unidad Académica se encuentran las facultades de Ingeniería de
Sistemas Eléctrica y Electrónica, con un aproximado de 350 alumnos, 35 Docentes, 6 personas
que son del personal administrativo, los cuales van a ser los posibles usuarios de la red.
- 19 -
Fig. 6 Rack de la Unidad Académica. (Fuente propia)
- 20 -
2.1 TOPOLOGÍA DE LA RED ACTUAL
La topología de red define la estructura de una red. Una parte de la definición topológica es
la topología física, que es la disposición real de los cables o medios. La otra parte es la topología
lógica, que define la forma en que los hosts acceden a los medios para enviar datos.
La topología de bus tiene todos sus nodos conectados directamente a un enlace y no tiene
ninguna otra conexión entre nodos. Físicamente cada host está conectado a un cable común,
por lo que se pueden comunicar directamente, aunque la ruptura del cable hace que los hosts
queden desconectados
.
Fig. 8 Topología de bus (socipa4, s.f.)
La topología de anillo conecta un host con el siguiente y al último host con el primero. Esto
crea un anillo físico de cable.
- 21 -
Una topología en estrella extendida conecta estrellas individuales entre sí mediante la
conexión de hubs o switches. Esta topología puede extender el alcance y la cobertura de la red.
La topología en estrella conecta todos los cables con un punto central de concentración.
Una topología jerárquica es similar a una estrella extendida. Pero en lugar de conectar los
hubs o switches entre sí, el sistema se conecta con un computador que controla el tráfico de la
topología.
- 22 -
La topología de malla se implementa para proporcionar la mayor protección posible para
evitar una interrupción del servicio. El uso de una topología de malla en los sistemas de control
en red.En esta topología, cada host tiene sus propias conexiones con los demás hosts. Aunque
Internet cuenta con múltiples rutas hacia cualquier ubicación, no adopta la topología de malla
completa.
La topología de árbol tiene varias terminales conectadas de forma que la red se ramifica
desde un servidor base.
- 23 -
2.1.2 TOPOLOGÍAS LÓGICAS
La topología lógica de una red es la forma en que los hosts se comunican a través del medio.
Los dos tipos más comunes de topologías lógicas son broadcast y transmisión de tokens.
(Purbo, 2006).
La topología broadcast simplemente significa que cada host envía sus datos hacia todos
los demás hosts del medio de red. No existe una orden que las estaciones deban seguir para
utilizar la red. Es por orden de llegada, es como funciona Ethernet.
- 24 -
La red de la Unidad Académica está diseñada de la siguiente manera:
DATOS
switch Lab informatica 311
LAB2 4ta planta
Switch.7
Fibra
Convertidor
Lab 309 switch
ETAPA
Servidor Proxy
UTP CAT 6 Filtrado Firewall
Laboratorios Lab 310 switch
LABORATORIOS
CUARTA PLANTA
Switch8
LAB informatica 303
IP Publicas switch
TRIENDNED SIGEAC
switch TRES INTERFACES
Router.
Servidor Wireless
Proxy Filtrado DHCP LAB informatica 305
CISO DNS LABORATORIOS switch
TERCERA PLANTA,
Switch
Servidor Firewall
SIGEAC
Switcj wifi
302
`
ADMINISTRADORES,
Switch Secretaria Decanato Sala de
Sub-Decanato Coordinación Profesores
Router de Medio
Tiempo
Switch
ADMINITRADOR switch
Switch
Imprenta
HUB Biblioteca 114
Biblioteca Wifi
WIRELESS BILIOTECA 114
Servidor Proxy
Switch
EDUARDO LUCERO
MARCO MONGE
CIRA VELE
- 25 -
2.2 DISTRIBUCIÓN DE PUNTOS DE ACCESO EN LA FACULTAD DE
INGENIERÍA DE SISTEMAS
En la Unidad Académica de Ingeniería de Sistemas Eléctrica y Electrónica, se puede
visualizar en las locaciones en la que están instalados varios dispositivos de comunicación
inalámbrica con los que provee el servicio de red a los usuarios los dispositivos con los que
cuenta son:
• WrlsSisElec,Pa.
• WrlsSisElecPb.
• WrlsSisElec.
• WrlsProfesores.
• WrlsBiblioteca,
• Investigación.
• UCACUE-WIFI.
Cada uno de los laboratorios cuenta con un switch de marca 3COM los cuales interconectan
los equipos, como se muestran en las Fig. 15 hasta la Fig. 17
- 26 -
Fig. 16 Laboratorio 303 (Fuente propia)
- 27 -
Fig. 18 Laboratorio 403 (Fuente propia)
- 28 -
CAPITULO 3. PROPUESTA
INSTALACIÓN Y CONFIGURACIÓN EN ROUTEROS
Luego nos aparecerá el menú de instalación que nos preguntará que paquetes deseamos
instalar.
Para desplazarnos por el menú utilizamos las tecla ´P´ o ´N´ o sino las flechas del teclado.
Para seleccionar o deseleccionar los paquetes a instalar utilizamos la barra espaciadora. Luego
presionamos la tecla ´I´ para comenzar la instalación local en nuestra plataforma.
Los paquetes seleccionados para nuestra configuración son los que se muestran en la Fig.
13.
System: Es el paquete principal que posee los servicios básicos al igual que los drivers
básicos.
Ppp: (Protocolo punto a punto) provee de soporte para PPP, PPTP, L2TP, PPPoE e ISDN
PPP.
Hotspot-fix: Provee el parche para actualizar el módulo hotspot que presenta problemas en
las versión 2.9.27.
- 29 -
Ntp: Servidor y cliente NTP.
Security: Provee soporte para IPSEC, SSH y conectividad segura con Winbox.
Wireless-legacy: Provee soporte para placas Cisco Aironet, PrismII, Atheros entre otras.
(Nyhus, 2006).
- 30 -
Fig. 22 Instalación de Mikrotik RouterOS. (Fuente propia)
- 31 -
Luego nos aparecerá esta pantalla una vez que ya se instaló mikrotik.
Una vez que ejecutemos esta herramienta nos aparecerá la siguiente ventana.
- 32 -
Esta ventana es de la interfaces de Winbox. En donde dice Connet to al dar click ahí nos
muestra la mac, ip Adress , mikrotik, versión y tipo de arquitectura en la que se montó el
router.
- 33 -
De ahí nos aparecerá el siguiente cuadro de dialogo.
- 34 -
Fig. 30 Pantalla principal de Winbox. (Fuente propia)
- 35 -
Luego de haber dado click en users nos aparecerá la siguiente pantalla en la cual nos
muestra el administrador, damos doble click en admin para poder ver las propiedades.
- 36 -
Aquí le colocamos la contraseña y confirmamos y luego ponemos OK. en esta ventana y en
la anterior.
Damos click en el botón (+) para crear un nuevo usuario con permisos de administrador.
Nos aparecerá esta ventana en la cual le vamos a colocar un nombre al nuevo usuario.
- 37 -
Fig. 36 Lista de usuarios. (Fuente propia)
- 38 -
Fig. 38 Interfaces en Winbox. (Fuente propia)
En interfaces podemos ver las tarjetas de red conectadas que se tiene en el router, podemos
visualizar, nombre, tipo de tarjeta, tasa de transferencia actual.
- 39 -
Fig. 40 Lista de Address (Fuente propia)
- 40 -
Fig. 42 Configuración de interface (Fuente propia)
- 41 -
Fig. 44 Lista de archivos (Fuente propia)
Actualmente las placas de red están funcionando pero les falta la configuración básica para
que se pueda acceder a ellas. Para esto deberemos asignarles los IP a cada una de las interfaces.
Movifonica para nuestra conexión dedicada con IP fijo con el otro proveedor.
- 42 -
Fig. 45 Configuración de interface administración. (Fuente propia)
Con los nombres asignados a las interfaces, debemos asignarle el IP a las mismas. Para ello
debemos ir al menú IP / Addresses.
- 43 -
3.4 SERVIDOR Y CLIENTE DHCP
DHCP responde al protocolo de configuración dinámica de host. En otras palabras, es un
protocolo que se utiliza para proporcionar una configuración IP a otros equipos asignándole el
mismo segmento de red que el servidor. El servidor DHCP es aquel que proporciona direcciones
ip dinámicas a equipos que lo soliciten. (Scrimger, 2006).
DHCP Administración:
Interfase: Administración.
Interfase: Servers.
- 44 -
Address Pool: Pool Servers.
Ahora vamos a la pestaña DHCP y quitamos el check de Use Peer NTP (Protocolo
Temporizador de Red), seleccionamos la interfaz WAN y damos click en Apply.
- 45 -
Ya con esto quedo configurado el DHCP CLIENTE, damos click en Status y nos damos
cuenta que nuestro proveedor de internet nos da una IP, Puerta de enlace y DNS como lo
muestra la imagen.
- 46 -
3.6 SERVIDOR DE HOTSPOT
HotSpot es una manera de autorizar a los usuarios para acceder a algunos recursos de red.
No proporciona cifrado del tráfico. Para iniciar sesión, los usuarios pueden usar casi cualquier
navegador web (HTTP o HTTPS), por lo que no es necesario instalar software adicional. La
puerta de enlace es la contabilidad del tiempo de actividad y la cantidad de tráfico de cada uno
de sus clientes se ha utilizado, y también puede enviar esta información a un servidor RADIUS.
El sistema HotSpot puede limitar la tasa de bits de cada usuario en particular, la cantidad total
de tráfico, el tiempo de actividad y otros parámetros mencionados más adelante en este
documento. (Christer, 2010).
El sistema de HotSpot está dirigido a proporcionar autenticación dentro de una red local
(para acceder a Internet), pero puede también ser usado para autorizar el acceso de las redes
externas a acceder a los recursos locales. En redes alámbricas o inalámbricas, tarifa por
autentificar o acceso libre.
A continuación deberemos configurar nuestro HotSpot. Para ello nos dirigimos al menú IP
/ Hotspot. En la nueva ventana dentro de la pestaña Servers, hacemos clic sobre el botón
SETUP.
En la ventana que nos aparece la configuramos de la siguiente manera.
La configuración es:
A continuación le asignamos el pool de ip que nos interesa que dicha interfaces nos brinde
a los clientes. La configuración es:
200.45.191.35.
- 49 -
Finalizando creamos nuestro usuario administrador. Nuestro hotspot configurado se ve de la
siguiente manera.
Le hacemos doble clic al hotspot1 para configurar sus parámetros. La configuración de los
mismos son:
Name: hotspot.
Interfase: wlan1.
Hs-pool-5.
Profile hsprofile1.
- 50 -
Luego dentro de la pestaña Servers hacemos clic en profiles. Y luego editamos la configuración
del profile hsprof1. La configuración del mismo es:
Pestaña General:
Name: hsprof1.
SMTP: 192.168.1.1.
Pestaña Login:
Luego hacemos clic sobre la pestaña Users hacemos clic en el botón Profile y generamos
uno. La configuración del mismo es:
Name Profile_Hotspot.
Address Pool: hs-pool-5.
Idle Timeout. None.
Keekalive Timeout: 00:02:00.
Shared Users: 1.
Rate limit: 128k/256k.
Advertise: deseleccionado.
Pestaña Script:
Para ello debemos ir al menú WIRELESS, luego hacemos clic en al pestaña Security.
Pestaña General:
Name: Ucacue.
Unicast ciphers.
- 53 -
Tkip: Seleccionado.
Group Ciphers.
Tkip: Seleccionado.
EAP Methods:
- 54 -
Pestaña Static Keys:
wilan1. Para ello nos dirigimos al menú WIRELESS. Dentro de la pestaña Interfaces.
- 55 -
Finalmente Vamos al menú RADIUS. En la ventana nueva que se nos abre la hacemos clic
en el icono (+). La nueva ventana la configuramos de la siguiente manera: Ppp, hotspot, login,
wireless, telephony, dhcp.
Address: 192.168.0.3.
Para los distintos grupos de usuarios les asignaremos distinto ancho de banda, como por
ejemplo en la facultad hay varios usuarios como son los profesores y los alumnos.
Le asignamos megas para subida y descarga por ejemplo de subida le ponemos 250M/Bits
y de bajada 300 M/Bits.
Para el control del ancho de banda debemos ir al menú QUEUES. Allí se nos abrirá una
ventana de configuración.
Las Queues simples son la manera más fácil de controlar las velocidades, permiten
configurar las velocidades de upload y download.
- 56 -
Fig. 73 Lista Queue control ancho de banda. (Fuente propia)
Hacemos clic en el icono (+) de la pestaña Simple Queues. Se nos abre la nueva para
configurar la nueva cola.
Pestaña General:
- 57 -
3.8 DENEGACIÓN DE SERVICIO MEDIANTE LAYER 7.
Layer 7 o L7, es un paquete de software diseñado para Linux Netfilter que es usado como
un subsistema para categorizar paquetes IP con el fin de identificar lo mejor posible programas
peer to peer (P2P), esto se realiza mediante la identificación de paquetes en la capa de datos
mediante el uso de expresiones regulares llamadas también patrones. Las ventajas de usar
filtrado de paquetes mediante filtros L7 son que ayudan a optimizar el ancho de banda, y permite
un mejor uso de QoS, además de crear filtros para aplicaciones no deseadas como puede ser el
P2P.
Sin embargo algunas aplicaciones usan puertos comunes que son usados por otro tipo de
aplicaciones. Por ejemplo algunas aplicaciones de mensajería instantánea como el Messenger
MSN utiliza el puerto TCP 80 el cual es usado también para tráfico HTTP, con lo que es
virtualmente imposible bloquear esta aplicación sin afectar la navegación.
Para definir el filtro L7 se busca el patrón relacionado con MSN el cual es: ver [0-9]+
msnp[1-9][0-9]? [\x09-\x0d -~]*cvr0\x0d\x0a$|usr 1 [!-~]+ [0-9. ]+\x0d\x0a$|ans 1 [!-~]+ [0-
9. ]+\x0d\x0a$. Este valor es desarrollado por desarrolladores de sistema Linux, para la creación
de filtros L7.
- 58 -
Una vez creada la regla en el protocolo L7 se crea una regla en el Firewall que indique que
todo el tráfico que marcado con L7 MSN será rechazada mediante DROP, para esto se ingresa
en IP/ Firewall, en la viñeta General se ingresa los siguientes datos:
- 59 -
Fig. 77 Selección de protocolo layer 7 (bloqueo MSN) (Fuente propia)
Como último paso se indica que acción realizará la regla, para esto se ingresa en la viñeta
Action y se marca drop.
De esta manera se bloquea el tráfico MSN desde la red interna 10.255.255.0/24 sin necesidad
de generar marcado de paquetes, los cuales pueden requerir de muchas reglas y no siempre son
- 60 -
efectivos ya que se puede realizar un cambio de puertos en la aplicación que administra en
MSN.
- 61 -
Ahora agregamos la interfaz que queremos monitorear con el MRTG (aquí elegimos cuál de
las interfaz vamos a monitorear.
La opción allow address le digo que cualquier ip lo puede visualizar y que todo se almacene
en disco doy apply y luego ok para cerrar y observo que ya ha sido creada para probarlo
simplemente voy al browser y le doy la ip del dispositivo y automáticamente el mikrotik me va
a mostrar una interfaz gráfica en entorno web que me permite visualizar estas gracias de trafico:
- 62 -
3.10 SERVIDOR DE SNMP.
Debido a los beneficios que puede brindar el monitoreo remoto de los servicios de una red.
Hemos decidido implementar y habilitarle el servidor de snmp de un router Mikrotik.
Dentro del winbox, nos dirigimos al menú SNMP, se nos abre la ventana de configuración,
hacemos clic en el botón Settings y le cargamos los siguientes datos:
· Enabled (marcado).
· Location: cba.
Luego creamos la comunidad snmp, a la cual le ponemos como nombre servers. Para ello
hacemos clic en el icono (+) y se nos abre la ventana de configuración de comunidad y le
cargamos los siguientes datos:
· Name: communa.
· Address: 192.168.1.0/24.
- 63 -
Dentro de winbox ir al menú New Terminal se nos abre una ventana de terminal en esa
ventana escribimos lo siguiente para obtener las oid del sistema.
La cual nos mostrará una ventana con los datos requeridos como esta:
/etc/mrtg.cfg.
- 64 -
Fig. 86 Ventana de edición de configuración por comandos. (Fuente propia)
Esta configuración nos mostrara la carga del CPU y los paquetes enviados y recibidos
por 4 interfaces. A continuación deberá crear el archivo index.html para que sea visualizada la
información en forma de gráficos en una página Web.
/var/www/mrtg/index.html
Finalmente debe correr 3 veces el comando mrtg para que se generen los archivos de base
de datos necesarios.
#mrtg
- 65 -
3.11 SERVIDOR RADIUS.
Debido a la gran inseguridad que presentan las redes se ha decidido implementar un servidor
radius para autenticar algunos de los usuarios. Para ello se necesitará instalar software adicional
al Mikrotik. Partimos de la base de tener nuestro servidor con debian instalado. Los pasos a
seguir son los siguientes: (Jesse Russell, 2012).
Digitamos lo siguiente:
Para confirmar que estén funcionando utilizamos el cliente Web que poseamos y lo
redirigimos a la dirección ip del servidor. Ahí nos aparecerá una venta que nos informa que el
servidor Web está funcionando.
Para verificar que el servidor MySQL esté funcionando simplemente desde la consola del
servidor tipeamos:
#mysql
Esto nos mostrara que se pudo conectar al servidor de base de datos. Para salir de cliente de
MySQL escribimos:
#exit
#nano /etc/freeradius/clients.conf
#---------------- ----------
192.168.1.1 radius.
Al mismo le agregamos la siguiente línea, que nos dice el número de ip de nuestro Mikrotik
un nombre corto para identificarlo y el tipo.
# NAS Name Short Name Type
- 66 -
#---------- ------------ ----
#vi /etc/freeradius/radiusd.conf
En el mismo buscamos las siguientes líneas dentro de la sección Unix, si están comentadas
las descomentamos como está a continuación. De lo contrario las agregamos.
passwd = /etc/passwd
shadow = /etc/shadow
group = /etc/group
Require_encryption = yes
Require_strong = yes
#nano /etc/freeradius/sql.conf
#connect info
server = "localhost"
login = "radius"
password = "radius"
- 67 -
3.12 CONFIGURACIÓN SERVIDOR - CLIENTE JABBER.
Debido a que constantemente los empleados pierden tiempo valioso de trabajo por utilizar
el servicio de mensajería MSN Messenger o Yahoo Messenger entre otros.
Desde la consola del servidor logueado como root escribimos el siguiente comando.
# /etc/init.d/jabber stop
JABBER_HOSTNAME=ucacue.edu.ec
Con nuestro servidor Jabber instalado y configurado, lo que nos resta de la instalación
simplemente es reiniciar el servidor de mensajería. Para ello desde la consola:
# /etc/init.d/jabber start
Para la instalación del cliente Jabber se ha elegido el cliente Pandion. Esto es debido a la
facilidad de utilización que posee y la versatilidad del mismo. Para la instalación seguimos los
siguientes pasos:
- 68 -
En la misma Hacemos clic en el botón CREAR CUENTA.
Procedemos a crear nuestra cuenta luego de creada la cuenta, nos va aparecer una nueva
ventana en la cual nos va a pedir colocar y la contraseña, como se muetra en la Fig. 81. Luego
hacemos click en conectar y listo.
- 69 -
CAPITULO 4. VALIDACIÓN DE LA PROPUESTA
4.1 ANÁLISIS DE COSTOS
COSTOS DE IMPLEMENTACIÓN
HARDWARE MIKROTIK Cantidad Total
TOTAL 1840
Los gastos recurrentes no van más allá del mantenimiento preventivo mensual y el costo de
consumo eléctrico.
El Control de ancho de banda para la red LAN ofrece varios beneficios que son:
Control eficaz del ancho de banda en cada área funcional de la red: Se puede
administrar los enlaces ISP más utilizados, en tanto que las funciones de limitación de
la velocidad del software Mikrotik RouterOS, como por ejemplo QoS de clase
Scavenger, UBRL y los mecanismos de limitación de la velocidad basados en el switch
del extremo, controlan el ancho de banda en las capas del core de distribución y del
extremo de la red.
Reducción de la congestión de la red: El Control de ancho de banda basado en
Mikrotik ofrece la flexibilidad, la granularidad y la inteligencia para controlar
estrechamente las aplicaciones recreativas.
Aumento del rendimiento de la red y las aplicaciones: al restringir el tráfico y
garantizar que las aplicaciones y los usuarios fundamentales cuenten siempre con los
recursos de la red que necesitan.
Máxima escalabilidad: mediante herramientas como Mikrotik RouterOS, los
departamentos pueden utilizar con facilidad QoS y políticas de control de ancho de
banda en toda la red institucional, para preservar y controlar con mayor eficacia el ancho
de banda.
- 71 -
CONCLUSIONES
Del análisis de los posibles resultados he concluido que la Facultad de Ingeniería de Sistemas
de la Universidad Católica de Cuenca podría reestructurar su red para poder hacer uso de otro
tipo de tecnología como Mikrotik RourterOs:
- 72 -
RECOMENDACIONES
- 73 -
REFERENCIAS BIBLIOGRÁFICAS
(s.f.). Obtenido de http://e-ducativa.catedu.es/44700165/aula/archivos/repositorio//1000/1088/html/31_centrales_fototrmicas.html
Ariganello, E. (2011). Redes CISCO: Guía de estudio para la certificación CCNA 640-802. 2a Edición. RA-MA S.A. Editorial y
Publicaciones.
Hurle, C. (2006). Wardriving & Wirelless Penetration Testing. Estados Unidos: Syngress Publishing.
- 74 -