Académique Documents
Professionnel Documents
Culture Documents
Resumen
El control y la gestión adecuada de los recursos de una red de datos son imprescindibles para
garantizar un buen servicio que se mantenga acorde a las necesidades crecientes de la misma, a
continuación se presenta una propuesta para llevar a cabo una administración eficiente de los
recursos y un control que permite a los administradores de red tomar decisiones bien informadas
mediante la implementación de un Gateway de distribución libre. Así mismo, se presenta un
análisis del impacto del Gateway en el rendimiento de la red.
1. Introducción
Actualmente es indispensable contar con un nivel de seguridad en la red acorde a las necesidades
de la empresa, institución, hogar, o cualquier otro sitio donde una red de computadoras exista. La
seguridad debe de estar enfocada a los recursos más importantes. Por otro lado, tampoco es
recomendable dejar los recursos menos indispensables sin ningún tipo de seguridad.
Lo más importante en una red es la información que maneja, no obstante también es importante
tener la disponibilidad de los recursos de la red, como las impresoras, los equipos de cómputo, las
cámaras de red, el ancho de banda, así como también los recursos de cada computadora y
dispositivo en la red, por ejemplo, la memoria RAM de una computadora, la memoria virtual, la
memoria del disco duro, etc.
Por lo anterior, es importante contar con una buena administración de la red y los recursos que
esta posee, así como también implementar las herramientas necesarias que ayuden a este
propósito.
253
No todos los gateway, sean o no comerciales, tienen la posibilidad de brindar estadísticas de red,
pero existen herramientas de software para poder realizar esta tarea en específico, depende de
los datos que se quieran obtener.
Es cierto que mientras más computadoras estén en la red (y todas ellas se conecten a Internet) el
ancho de banda disponible se ve reducido, lo que se traduce en una navegación lenta; sin
embargo si muchos usuarios frecuentan los mismos sitios web (por ejemplo, en una institución en
horario de clases), la instalación de un proxy cache puede ayudar a mitigar este problema.
La universidad de Quintana Roo cuenta con dos aulas de cómputo, donde 66 equipos, 3
servidores, 3 cámaras IP y 2 impresoras se encuentran conectados a la red informática
universitaria. A través de un backbone, se les provee Internet a todos los equipos conectados a la
red.
Se desea implementar un sistema el cual permita obtener estadísticas de la red en tiempo real.
Asimismo, por la cantidad de computadoras, se desea optimizar el tráfico de red, dándole prioridad
al tráfico que lo requiera.
1.2 Hipótesis.
2. Metodología
Se analizará con mayor detalle cuáles son los requisitos de la red de las aulas de cómputo de la
Universidad de Quintana Roo, mediante la realización de entrevistas con los administradores de la
red de las aulas de redes.
Una vez obtenidos los requisitos específicos, se seleccionará el software, hardware o la solución
que mejor se adapte al presupuesto y a las necesidades de la Universidad.
Se llevará a cabo la instalación y configuración del Gateway seleccionado y pasará por una etapa
de pruebas y recopilación de datos, con el fin de analizarlos y determinar si son los datos
estadísticos y de control que se desea implementar. De no ser así, se instalarán las herramientas
y/o configuraciones necesarias hasta que el producto sea el adecuado.
3. Desarrollo
254
de tráfico adicionales y obtener datos estadísticos, a administrar de mejor manera el ancho de
banda.
Evaluando las características, para este proyecto se ha realizado la elección del software pfSense,
puesto que cubre todas las necesidades y es una solución de distribución libre, de la que se
cuenta con muchos recursos gratuitos y la capacidad de ser un proyecto escalable.
A continuación se ilustra de manera gráfica como quedará la red de las aulas y adecuada con el
gateway. (Figura1)
255
tráfico que se genere desde la interfaz WAN hacia la interfaz LAN. Dicho software cuenta con la
capacidad de almacenar logs, los cuales documentan las conexiones y visitas hacia los sitios de
internet, así como la cantidad de información en megabytes descargadas por cada host y otros
datos estadísticos. El manejo de los logs no es sencillo y requiere conocimientos acerca de cómo
acceder a ellos por navegadores de archivos vía SFTP, FTP, SSH o desde la misma página de
administración pfSense. También requiere de conocimientos para interpretar correctamente los
logs.
Para la visualización e interpretación de los logs del Squid3 se usa la herramienta LightSquid;
además sirve para ver el estado del servidor proxy en tiempo real.
El Firewall de pfSense Traffic Shaper se basa en el Packet Filter (PF) originario de OpenBSD,
cuya función es filtrar el tráfico e incluye funcionalidades como el regulador de caudal ALTQ
(Alternate Queuing) el cual sirve para asignar prioridad por tipo de tráfico. La configuración del
firewall se realiza vía web desde cualquier host en la red LAN del PFSense. [3]
4 Resultados
Uno de los aspectos a tomar en cuenta es el hecho de que antes de la instalación del pfSense, la
administración de la red estaba a cargo del Departamento de Cómputo y Redes de la Universidad
de Quintana Roo. Con la instalación e implementación del pfSense, se delega cierta
administración al responsable de las aulas de redes.
La primera prueba que se realizará será la de velocidad de Internet sin el pfSense y con el
pfSense implementado, debido a que es un servidor más con políticas de tráfico implementadas
que hay que atravesar para salir a Internet desde la red LAN. [4]
Tabla 1
256
aulas de redes, puesto que algunas páginas arrojaron resultados por encima de los promedios de
velocidad obtenidos.
Una de las metas a cumplir era la separación de la red de las aulas de redes de la red
universitaria.
El servidor con pfSense es un dispositivo que funciona a varios niveles del Modelo OSI, e incluso
puede analizar tráfico a nivel aplicación (capa 7 del modelo OSI).
Al colocar el pfSense entre el Switch que distribuye el internet y el Site que conecta a la red
universitaria, se separó el dominio de broadcast de las aulas de redes del resto de la red,
funcionando el pfSense como gateway que conecta las aulas de redes con la red universitaria.
(Figura 2). [5]
Aliases.- facilita el trabajo de administrar la red, creando alias que pueden englobar a uno o varios
host, con la finalidad de utilizar los alias en la definición de reglas de tráfico y evitar escribir reglas
demasiado largas o cometer errores humanos al momento de definirlas (una IP mal escrita por
ejemplo). Con el fin de facilitar la administración futura, se ejemplificará el uso de los alias creando
uno para cada grupo de hosts de las aulas de redes, definiendo “aula1” para todos los hosts
correspondientes al aula 1 de redes, y “aula2” para todos los hosts correspondientes al aula 2 de
redes.
Traffic shaper.- Como herramienta administrativa es útil para priorizar cierto tipo de tráfico,
ayudando a los protocolos de red más indispensables a reducir el tiempo de respuesta, se
configuró de manera por default, priorizando únicamente el tráfico HTTP y HTTPS.
257
DHCP server.- El servidor DHCP es el encargado de brindarle a los host que se conectan a la red
los parámetros necesarios para poder navegar exitosamente en Internet e interconectarse con
otros dispositivos de la misma red, con esta herramienta se cubrió el objetivo de tener la
administración de todos los host desde un solo punto. [6]
Servidor proxy cache transparente.- El servidor proxy cache consta de herramientas que
pueden ayudar a la administración de la red. Al ser un servidor proxy transparente, todo el tráfico
es filtrado a través de él y en combinación con herramientas que incluye el Squid como ACLs
(Access Control Lists), se puede controlar el acceso a los sitios web y direcciones IP. [7]
Reportes del servidor proxy.- Para obtener reportes estadísticos del servidor proxy Squid3, se
instaló la herramienta LightSquid, es posible obtener información estadística de los usuarios
tomando en cuenta las páginas visitadas y los bytes transferidos como eje central. Esta
información nos permite identificar que uso de Internet se le da a la red. (Figura 3)
Gráficas en tiempo real del tráfico.- Se destaca el uso de esta herramienta para conocer los host
con actividad en la red y la cantidad de información que están enviando y recibiendo, es útil
cuando se desea dar una respuesta pronta a algún inconveniente relacionado con el ancho de
banda como podría ser que un host esté generando broadcast múltiples. (Figura 4)
258
Graficas RRD.- Las siglas RRD quieren decir Round Robin Database; es un tipo específico de
base de datos que almacena información basada en series temporales. El servidor pfSense
cuenta con un sistema de gráficas RRD integrado que brinda información para consultar y verificar
el uso del equipo, así como también el rendimiento que está teniendo el equipo en cada una de las
interfaces.(Figura 5)
La administración nunca se podrá delegar por completo, ya que la red de las aulas depende de la
red universitaria para acceder a Internet.
La meta que se logró con la implementación de pfSense es poner a disposición una herramienta
que brinde y facilite la administración de los recursos y el ancho de banda, así como también sirve
para monitorear e implementar políticas de uso del equipo de cómputo.
El servidor instalado con el software pfSense cuenta con las características para soportar un futuro
incremento de usuarios, ancho de banda o actualización de hardware. La compatibilidad de
hardware del pfSense instalado deriva directamente de la lista de compatibilidad del software
FreeBSD 8.1, el cual posee una gran compatibilidad con diversos fabricantes de hardware. [3]
5 Conclusión.
259
En cuanto a los beneficios que tiene el Gateway en general, se destaca el aprovechamiento del
ancho de banda de mejor manera, puesto que al contar con sólo 2Mbps para todos los equipos, el
servidor proxy cache y la priorización de los paquetes ayuda a que los estudiantes puedan
navegar en Internet de manera más eficiente y puedan realizar prácticas en red sin afectar a la red
universitaria.
6 Trabajo Futuro.
Cabe resaltar que tanto el hardware como el software instalado tienen la capacidad de
desempeñar más funciones en el futuro, por ejemplo, agregando una tarjeta de red más es posible
agregar otro enlace LAN o WAN en el servidor con pfSense para efectos de redundancia o
balanceo de carga. Es posible también cambiar los ajustes del regulador de caudal (Traffic
Shaper) para que se ajuste a nuevas necesidades de priorización de tráfico en el futuro. El
software también consta de las herramientas necesarias para utilizar VPNs y hacer la navegación
más segura.
7 Bibliografía
[1] G. Asensio, Seguridad en Internet: una guía práctica y eficaz para proteger su PC con software
gratuito, (Madrid, España: Ediciones Nowtilus S.L.), (2006).
[2] L. Duran, El gran libro del PC interno: programación de sistemas: hardware a fondo, México
D.F. (México: ALFAOMEGA GRUPO EDITOR, S.A.), (2007).
[3] pfSense, «pfSense Open Source Firewall Distribution,» [En línea]. Available:
<http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43>. [Último
acceso: 10 12 2011].
[4] J. M. Caballero, Redes de banda ancha, (Barcelona, España: Marcombo 1998), (1998).
[5] E. D. Eric Knipp, Managing Cisco network security, (Rockland, Massachusetts, United States of
America: Syngress),(2002).
[6] J. P. Sarubbi, Seguridad informatica Tecnicas de defensa comunes bajo variantes del sistema
operativo Unix, Luján, (Buenos Aires, República Argentina),(2008).
[7] P. A. S. P. Axel Buecker, «Understanding IT Perimeter Security,» 9 Junio 2008. [En línea].
Available: <http://www.redbooks.ibm.com/abstracts/redp4397.html>. [Último acceso: 05 Marzo
2012].
[8] M. Kasper, «m0n0wall,» 16 Marzo 2011. [En línea]. Available: <http://m0n0.ch>. [Último acceso:
Junio 12 2012].
260