1.

4 COMPUTACIÓN E INGENIERÍA DE SOFTWARE

ADMINISTRACIÓN Y CONTROL DE LOS RECURSOS DE UNA RED DE DATOS MEDIANTE

LA IMPLEMENTACIÓN DE UN GATEWAY DE DISTRIBUCIÓN LIBRE

Laura Dávalos Castilla, Vladimir Cabañas Victoria, Melissa Blanqueto Estrada

Universidad de Quintana Roo

Blvd. Bahía Esq. Ignacio Comonfort S/N Col. Del Bosque. C.P. 77019
Chetumal, Quintana Roo
Tel (983) 8350300 ext 276
laurad@uqroo.mx, lauradavalos@gmail.com, vdrakul@uqroo.mx, vdrakul@gmail.com,
melissa@uqroo.mx,

Resumen

El control y la gestión adecuada de los recursos de una red de datos son imprescindibles para
garantizar un buen servicio que se mantenga acorde a las necesidades crecientes de la misma, a
continuación se presenta una propuesta para llevar a cabo una administración eficiente de los
recursos y un control que permite a los administradores de red tomar decisiones bien informadas
mediante la implementación de un Gateway de distribución libre. Así mismo, se presenta un
análisis del impacto del Gateway en el rendimiento de la red.

1. Introducción

La seguridad es la capacidad de mantener intacta y protegida la información de sistemas

informáticos. [1]

Actualmente es indispensable contar con un nivel de seguridad en la red acorde a las necesidades
de la empresa, institución, hogar, o cualquier otro sitio donde una red de computadoras exista. La
seguridad debe de estar enfocada a los recursos más importantes. Por otro lado, tampoco es
recomendable dejar los recursos menos indispensables sin ningún tipo de seguridad.

Lo más importante en una red es la información que maneja, no obstante también es importante
tener la disponibilidad de los recursos de la red, como las impresoras, los equipos de cómputo, las
cámaras de red, el ancho de banda, así como también los recursos de cada computadora y
dispositivo en la red, por ejemplo, la memoria RAM de una computadora, la memoria virtual, la
memoria del disco duro, etc.

Por lo anterior, es importante contar con una buena administración de la red y los recursos que
esta posee, así como también implementar las herramientas necesarias que ayuden a este
propósito.

Un Gateway es un dispositivo o software, cuya función principal es la de interconectar dos o más

redes con protocolos de comunicación similares o diferentes, haciendo la tarea de traducir un
protocolo en otro. [2]

Al concentrarse todo el tráfico en un solo punto, las posibilidades de fallo se incrementan,

encontraste, encontrar donde se origina el problema es más fácil.

253
No todos los gateway, sean o no comerciales, tienen la posibilidad de brindar estadísticas de red,
pero existen herramientas de software para poder realizar esta tarea en específico, depende de
los datos que se quieran obtener.

Es cierto que mientras más computadoras estén en la red (y todas ellas se conecten a Internet) el
ancho de banda disponible se ve reducido, lo que se traduce en una navegación lenta; sin
embargo si muchos usuarios frecuentan los mismos sitios web (por ejemplo, en una institución en
horario de clases), la instalación de un proxy cache puede ayudar a mitigar este problema.

1.1 Planteamiento del problema.

La universidad de Quintana Roo cuenta con dos aulas de cómputo, donde 66 equipos, 3
servidores, 3 cámaras IP y 2 impresoras se encuentran conectados a la red informática
universitaria. A través de un backbone, se les provee Internet a todos los equipos conectados a la
red.

Se desea implementar un sistema el cual permita obtener estadísticas de la red en tiempo real.
Asimismo, por la cantidad de computadoras, se desea optimizar el tráfico de red, dándole prioridad
al tráfico que lo requiera.

1.2 Hipótesis.

La implementación de un Gateway en la red, permitirá un mejor control y administración,

priorizando el tráfico más importante e implementando normas de seguridad para un buen uso de
los recursos de la red.

2. Metodología

Se analizará con mayor detalle cuáles son los requisitos de la red de las aulas de cómputo de la
Universidad de Quintana Roo, mediante la realización de entrevistas con los administradores de la
red de las aulas de redes.

Una vez obtenidos los requisitos específicos, se seleccionará el software, hardware o la solución
que mejor se adapte al presupuesto y a las necesidades de la Universidad.

Se llevará a cabo la instalación y configuración del Gateway seleccionado y pasará por una etapa
de pruebas y recopilación de datos, con el fin de analizarlos y determinar si son los datos
estadísticos y de control que se desea implementar. De no ser así, se instalarán las herramientas
y/o configuraciones necesarias hasta que el producto sea el adecuado.

3. Desarrollo

De la primera fase, el análisis de requerimientos se realizaron entrevistas a los administradores de

red y al encargado de las aulas informáticas de donde se identificó que la delegación de la
administración de las aulas de redes es una opción favorable y viable para mejorar el tiempo de
respuesta ante posibles eventualidades que podrían surgir en cualquier momento, el “aislamiento”
de la red de las aulas de redes de la Universidad de Quintana Roo sirve tanto para la integridad de
la red como para beneficio de los usuarios ya que no pondrían en riesgo la integridad de la red
universitaria al momento de realizar prácticas de red y que la implementación de un servidor proxy
cache en conjunto con el Gateway transparente ayudaría en gran medida a implementar políticas

254
de tráfico adicionales y obtener datos estadísticos, a administrar de mejor manera el ancho de
banda.

3.1 Propuesta de solución para los servicios a implementar.

De acuerdo a las necesidades descritas en la encuesta de requerimientos realizada a los

administradores, se destacan los siguientes puntos:

• Separación de la red de las aulas de redes de la red universitaria.

• Implementación de herramientas de administración de red.
• Implementación de asignación de direcciones IP de manera dinámica.
• Implementación de herramientas de monitoreo y estadísticas.
• Delegación de la administración de las aulas de redes.
• Implementación de un proxy cache para la red de las aulas de redes.
• Solución escalable. (Para futuras implementaciones o extensiones de la misma).

Evaluando las características, para este proyecto se ha realizado la elección del software pfSense,
puesto que cubre todas las necesidades y es una solución de distribución libre, de la que se
cuenta con muchos recursos gratuitos y la capacidad de ser un proyecto escalable.

A continuación se ilustra de manera gráfica como quedará la red de las aulas y adecuada con el
gateway. (Figura1)

Figura 1 Distribución lógica con la solución implementada

3.2 Instalación de herramientas de monitoreo y estadísticas.

El software pfSense cuenta con herramientas de monitoreo en tiempo real. La herramienta de

proxy cache Squid3 al estar configurado como proxy transparente, realizará el filtrado de todo el

255
tráfico que se genere desde la interfaz WAN hacia la interfaz LAN. Dicho software cuenta con la
capacidad de almacenar logs, los cuales documentan las conexiones y visitas hacia los sitios de
internet, así como la cantidad de información en megabytes descargadas por cada host y otros
datos estadísticos. El manejo de los logs no es sencillo y requiere conocimientos acerca de cómo
acceder a ellos por navegadores de archivos vía SFTP, FTP, SSH o desde la misma página de
administración pfSense. También requiere de conocimientos para interpretar correctamente los
logs.

Para la visualización e interpretación de los logs del Squid3 se usa la herramienta LightSquid;
además sirve para ver el estado del servidor proxy en tiempo real.

El Firewall de pfSense Traffic Shaper se basa en el Packet Filter (PF) originario de OpenBSD,
cuya función es filtrar el tráfico e incluye funcionalidades como el regulador de caudal ALTQ
(Alternate Queuing) el cual sirve para asignar prioridad por tipo de tráfico. La configuración del
firewall se realiza vía web desde cualquier host en la red LAN del PFSense. [3]

4 Resultados

4.1 Análisis de la red

Uno de los aspectos a tomar en cuenta es el hecho de que antes de la instalación del pfSense, la
administración de la red estaba a cargo del Departamento de Cómputo y Redes de la Universidad
de Quintana Roo. Con la instalación e implementación del pfSense, se delega cierta
administración al responsable de las aulas de redes.

4.2 Velocidad de la red

La primera prueba que se realizará será la de velocidad de Internet sin el pfSense y con el
pfSense implementado, debido a que es un servidor más con políticas de tráfico implementadas
que hay que atravesar para salir a Internet desde la red LAN. [4]

Lo primero que notamos es que la velocidad no es constante. Para la primera prueba, en

ocasiones se alcanzaban picos de transferencia de hasta 1.93Mbps de bajada y 1.31Mbps de
subida, tabla 1.

Tabla 1

Sin PFSense Con PFSense

Promedio de velocidad 1.83Mbps 1.68Mbps
de bajada
Pico más alto de bajada 1.93Mbps 1.89Mbps
Promedio de velocidad 1.23Mbps 1.29Mbps
de subida
Pico más alto de subida 1.63Mbps 1.60Mbps
Tabla 1. Promedio de velocidades de Internet

El grado de incertidumbre dificulta la medición exacta de las variaciones de velocidad, pero

podemos concluir que implementar el pfSense no afectó la velocidad de navegación en las

256
aulas de redes, puesto que algunas páginas arrojaron resultados por encima de los promedios de
velocidad obtenidos.

4.3 Separación de la red.

Una de las metas a cumplir era la separación de la red de las aulas de redes de la red
universitaria.

El servidor con pfSense es un dispositivo que funciona a varios niveles del Modelo OSI, e incluso
puede analizar tráfico a nivel aplicación (capa 7 del modelo OSI).

Al colocar el pfSense entre el Switch que distribuye el internet y el Site que conecta a la red
universitaria, se separó el dominio de broadcast de las aulas de redes del resto de la red,
funcionando el pfSense como gateway que conecta las aulas de redes con la red universitaria.
(Figura 2). [5]

Figura 2 Separación de la red

4.4 Implementar herramientas de administración de red.

Al implementar pfSense, también se están implementando herramientas de administración de red

para cumplir algunas funciones básicas de administración.

El pfSense cuenta con las siguientes herramientas de administración principales:

Aliases.- facilita el trabajo de administrar la red, creando alias que pueden englobar a uno o varios
host, con la finalidad de utilizar los alias en la definición de reglas de tráfico y evitar escribir reglas
demasiado largas o cometer errores humanos al momento de definirlas (una IP mal escrita por
ejemplo). Con el fin de facilitar la administración futura, se ejemplificará el uso de los alias creando
uno para cada grupo de hosts de las aulas de redes, definiendo “aula1” para todos los hosts
correspondientes al aula 1 de redes, y “aula2” para todos los hosts correspondientes al aula 2 de
redes.

Reglas.- Para la administración, la definición de las reglas es una herramienta indispensable,

puesto que se puede permitir o denegar cierto tráfico colocando una regla, que posteriormente
puede ser editada, deshabilitada o borrada, sin afectar la configuración de los demás servicios
como el firewall o el servidor proxy cache, es un procedimiento sencillo y si se combina con los
alias resulta ser muy útil para implementar políticas de último momento, por ejemplo, deshabilitar
el Internet durante una práctica o examen en una de las aulas. [6]

Traffic shaper.- Como herramienta administrativa es útil para priorizar cierto tipo de tráfico,
ayudando a los protocolos de red más indispensables a reducir el tiempo de respuesta, se
configuró de manera por default, priorizando únicamente el tráfico HTTP y HTTPS.

257
DHCP server.- El servidor DHCP es el encargado de brindarle a los host que se conectan a la red
los parámetros necesarios para poder navegar exitosamente en Internet e interconectarse con
otros dispositivos de la misma red, con esta herramienta se cubrió el objetivo de tener la
administración de todos los host desde un solo punto. [6]

Servidor proxy cache transparente.- El servidor proxy cache consta de herramientas que
pueden ayudar a la administración de la red. Al ser un servidor proxy transparente, todo el tráfico
es filtrado a través de él y en combinación con herramientas que incluye el Squid como ACLs
(Access Control Lists), se puede controlar el acceso a los sitios web y direcciones IP. [7]

4.5 Implementar herramientas de monitoreo y estadísticas.

Reportes del servidor proxy.- Para obtener reportes estadísticos del servidor proxy Squid3, se
instaló la herramienta LightSquid, es posible obtener información estadística de los usuarios
tomando en cuenta las páginas visitadas y los bytes transferidos como eje central. Esta
información nos permite identificar que uso de Internet se le da a la red. (Figura 3)

Figura 3 Gráfica de bytes por usuario

Figura 4 Gráfica en tiempo real LAN

Gráficas en tiempo real del tráfico.- Se destaca el uso de esta herramienta para conocer los host
con actividad en la red y la cantidad de información que están enviando y recibiendo, es útil
cuando se desea dar una respuesta pronta a algún inconveniente relacionado con el ancho de
banda como podría ser que un host esté generando broadcast múltiples. (Figura 4)

258
Graficas RRD.- Las siglas RRD quieren decir Round Robin Database; es un tipo específico de
base de datos que almacena información basada en series temporales. El servidor pfSense
cuenta con un sistema de gráficas RRD integrado que brinda información para consultar y verificar
el uso del equipo, así como también el rendimiento que está teniendo el equipo en cada una de las
interfaces.(Figura 5)

Figura 5 Gráfica RRD del tráfico de la interfaz WAN

4.6 Delegar la administración de las aulas de redes.

La administración nunca se podrá delegar por completo, ya que la red de las aulas depende de la
red universitaria para acceder a Internet.

La meta que se logró con la implementación de pfSense es poner a disposición una herramienta
que brinde y facilite la administración de los recursos y el ancho de banda, así como también sirve
para monitorear e implementar políticas de uso del equipo de cómputo.

4.7 Solución escalable.

El servidor instalado con el software pfSense cuenta con las características para soportar un futuro
incremento de usuarios, ancho de banda o actualización de hardware. La compatibilidad de
hardware del pfSense instalado deriva directamente de la lista de compatibilidad del software
FreeBSD 8.1, el cual posee una gran compatibilidad con diversos fabricantes de hardware. [3]

5 Conclusión.

La implementación de un Gateway con pfSense en el aula de redes de la Universidad de Quintana

Roo ayudó a tener un mejor control y administración sobre la red local. Las estadísticas y el
monitoreo de la red representan información valiosa para tener un mejor conocimiento no sólo de
los componentes de la red, sino también de la actividad que realiza cada uno de los mismos.
PfSense resultó ser una herramienta útil y de fácil manejo, que consta de los componentes
necesarios para llevar a cabo una buena administración de la red.

Se proporcionaron herramientas de monitoreo y estadísticas básicas de red, herramientas de

administración, control del ancho de banda, priorización de paquetes e instalación y configuración
de una memoria cache para los sitios web más visitados.

259
En cuanto a los beneficios que tiene el Gateway en general, se destaca el aprovechamiento del
ancho de banda de mejor manera, puesto que al contar con sólo 2Mbps para todos los equipos, el
servidor proxy cache y la priorización de los paquetes ayuda a que los estudiantes puedan
navegar en Internet de manera más eficiente y puedan realizar prácticas en red sin afectar a la red
universitaria.

6 Trabajo Futuro.

Cabe resaltar que tanto el hardware como el software instalado tienen la capacidad de
desempeñar más funciones en el futuro, por ejemplo, agregando una tarjeta de red más es posible
agregar otro enlace LAN o WAN en el servidor con pfSense para efectos de redundancia o
balanceo de carga. Es posible también cambiar los ajustes del regulador de caudal (Traffic
Shaper) para que se ajuste a nuevas necesidades de priorización de tráfico en el futuro. El
software también consta de las herramientas necesarias para utilizar VPNs y hacer la navegación
más segura.

7 Bibliografía

[1] G. Asensio, Seguridad en Internet: una guía práctica y eficaz para proteger su PC con software
gratuito, (Madrid, España: Ediciones Nowtilus S.L.), (2006).

[2] L. Duran, El gran libro del PC interno: programación de sistemas: hardware a fondo, México
D.F. (México: ALFAOMEGA GRUPO EDITOR, S.A.), (2007).

[3] pfSense, «pfSense Open Source Firewall Distribution,» [En línea]. Available:
<http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43>. [Último
acceso: 10 12 2011].

[4] J. M. Caballero, Redes de banda ancha, (Barcelona, España: Marcombo 1998), (1998).

[5] E. D. Eric Knipp, Managing Cisco network security, (Rockland, Massachusetts, United States of
America: Syngress),(2002).

[6] J. P. Sarubbi, Seguridad informatica Tecnicas de defensa comunes bajo variantes del sistema
operativo Unix, Luján, (Buenos Aires, República Argentina),(2008).

[7] P. A. S. P. Axel Buecker, «Understanding IT Perimeter Security,» 9 Junio 2008. [En línea].
Available: <http://www.redbooks.ibm.com/abstracts/redp4397.html>. [Último acceso: 05 Marzo
2012].

[8] M. Kasper, «m0n0wall,» 16 Marzo 2011. [En línea]. Available: <http://m0n0.ch>. [Último acceso:
Junio 12 2012].

260