PDF de programación - Seguridad Perimetral y Telefonía IP

Imágen de pdf Seguridad Perimetral y Telefonía IP

Seguridad Perimetral y Telefonía IPgráfica de visualizaciones

Publicado el 9 de Agosto del 2018
497 visualizaciones desde el 9 de Agosto del 2018
645,1 KB
22 paginas
Creado hace 14a (27/09/2009)
Seguridad Perimetral y Telefonía IP

Empresa Fundo Santa Rosa

Casos de Prueba

Esteban De La Fuente Rubio y Eduardo Díaz Valenzuela

Universidad Nacional Andrés Bello

23 sep 2009

Índice

1. Objetivos

1.1. Objetivo general
1.2. Objetivos específicos

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2. Topologías

3. Casos de prueba

3.1. Firewall

3.3.1. Sitios web denegados y sitios permitidos

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1. Escaneando puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2. Denegar acceso a Internet a ciertos usuarios
. . . . . . . . . . . . . . . .
3.2. DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1. DHCP estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3. Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
3.4. VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1.
Interfaces de red firewall 2 . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.2. Tabla de rutas en los firewalls . . . . . . . . . . . . . . . . . . . . . . . .
3.4.3. Conexión sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.4. Log openvpn-roadwarrior.log . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.5. Ping desde cliente roadwarrior a VPN . . . . . . . . . . . . . . . . . . . .
3.4.6. Acceso a recursos de la red desde la VPN . . . . . . . . . . . . . . . . . .
3.5. Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5.1. Llamada desde killua a anexos de homero mediante IAX . . . . . . . . .
3.5.2. Llamada desde homero a killua . . . . . . . . . . . . . . . . . . . . . . .
3.5.3. Peers/usuarios en la central telefónica homero . . . . . . . . . . . . . . .
3.5.4. Llamada entre anexos
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5.5. Llamada desde PSTN a homero . . . . . . . . . . . . . . . . . . . . . . .
3.5.6. Correo de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5.7. Estadísticas CDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1
1
2

2

3
3
3
4
5
5
5
5
8
8
8
9
10
11
12
12
12
14
15
15
16
18
21

1. Objetivos

1.1. Objetivo general

Verificar el funcionamiento de la topología de red propuesta, los diferentes servicios y sus
configuraciones. Además determinas posibles problemas que deban ser solucionados previo a la
implementación final en la empresa.

1

Figura 1: Red propuesta

1.2. Objetivos específicos

Verificar funcionamiento de:

Firewall

DHCP

Squid

VPN

Asterisk

2. Topologías

A continuación se muestran 2 topologías:

La figura 1 corresponde a la topología propuesta.

La figura 2 corresponde a la topología utilizada para la realización de las pruebas.

Además en ambas figuras se muestran enlaces lógicos entre las centrales VoIP.

2

Figura 2: Red utilizada en las pruebas

3. Casos de prueba

Notas para leer las pruebas:

En los resultados de las pruebas se utilizará [...] para indicar que en ese lugar había más
texto pero fue considerado poco relevante, por lo cual fue quitado.
En los casos de líneas que debieron ser cortadas se utilizo \más un espacio.

3.1. Firewall

3.1.1. Escaneando puertos

Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde la
WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en los
puertos que hemos determinado en nuestro firewall.

Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso, habrá que

conectarse mediante la VPN previo a inicar sesión SSH desde Internet.

killua:~# nmap -A -p1-65000 172.16.1.134
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:55 CLT
[...]
Interesting ports on 172.16.1.134:

3

rpcbind

STATE SERVICE VERSION

Not shown: 63973 closed ports, 1026 filtered ports
PORT
50178/tcp open
MAC Address: 00:25:11:1C:21:48 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 - 2.6.24
Uptime: 0.027 days (since Tue Sep 22 21:16:52 2009)
Network Distance: 1 hop
[...]
Nmap done: 1 IP address (1 host up) scanned in 25.013 seconds

delaf@edward:~$ nmap -A -p1-65000 -PN 10.2.0.1
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:51 CLT
[...]
Interesting ports on 10.2.0.1:
Not shown: 64999 filtered ports
PORT
22/tcp open
[...]
Nmap done: 1 IP address (1 host up) scanned in 145.607 seconds

STATE SERVICE VERSION

(protocol 2.0)

ssh

3.1.2. Denegar acceso a Internet a ciertos usuarios

Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP 10.2.0.201 no

tenga acceso a Internet.

iptables -A FORWARD -s 10.2.0.201/32 -o $WAN_IF -j DROP

Luego se verifico desde el cliente que efectivamente podía acceder a la LAN y a la DMZ pero

no hacia el exterior.

delaf@edward:~$ sudo ifconfig eth0 | grep addr:

inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link

delaf@edward:~$ sudo route -n
Kernel IP routing table
Gateway
Destination
10.2.0.0
0.0.0.0
0.0.0.0
10.2.0.1
delaf@edward:~$ ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
^C
--- 172.16.1.1 ping statistics ---

Genmask
255.255.254.0
0.0.0.0

Flags Metric Ref
U
UG

0
0

0
0

Use Iface

0 eth0
0 eth0

4

2 packets transmitted, 0 received, 100% packet loss, time 1013ms

delaf@edward:~$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1) 56(84) bytes of data.
64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.107 ms
64 bytes from 10.2.0.1: icmp_seq=2 ttl=64 time=0.095 ms
^C
--- 10.2.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms
delaf@edward:~$ ping 10.2.2.1
PING 10.2.2.1 (10.2.2.1) 56(84) bytes of data.
64 bytes from 10.2.2.1: icmp_seq=1 ttl=64 time=0.084 ms
64 bytes from 10.2.2.1: icmp_seq=2 ttl=64 time=0.095 ms
^C
--- 10.2.2.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.084/0.089/0.095/0.010 ms

3.2. DHCP

3.2.1. DHCP estático

Dentro del archivo de configuració de DHCP se han definido asignaciones de IP estáticas
mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente la
IP que corresponde al equipo.

host edward-eth {

hardware ethernet 00:1e:ec:39:d5:93;
fixed-address 10.2.0.201;

}

delaf@edward:~$ sudo ifconfig eth0
eth0

Link encap:Ethernet HWaddr 00:1e:ec:39:d5:93
inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
[...]

3.3. Squid

3.3.1. Sitios web denegados y sitios permitidos

Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada pasar
(www.google.cl) y otra es bloqueada (www.emol.com), además en las figuras 3 y 4 se aprecian
los respectivos resultados.

5

Figura 3: Squid permitió acceso a www.google.cl

0 10.1.0.91 TCP_HIT/200 8152 GET http://www.google.cl/intl

980 10.1.0.91 TCP_MISS/200 4000 GET http://www.google.cl/ -

0 10.1.0.91 TCP_HIT/200 5971 GET http://www.google.cl/imag

482 10.1.0.91 TCP_MISS/204 424 GET http://www.google.cl/csi?

1253655549.890
\ /en_com/images/logo_plain.png - NONE/- image/png
1253655549.918
\ DIRECT/208.69.32.230 text/html
1253655550.093
\ es/nav_logo7.png - NONE/- image/png
1253655551.528
\ - DIRECT/208.69.32.231 text/html
1253655551.533
\ ern_chrome/ac8f3578e9ba214e.js - DIRECT/208.69.32.230 text/html
1253655551.892
\ /generate_204 - DIRECT/74.125.65.102 text/html
[...]
1253655706.201
\ NONE/- text/html
1253655706.389
\icon.ico - NONE/- text/html

598 10.1.0.91 TCP_MISS/200 3609 GET http://www.google.cl/ext

554 10.1.0.91 TCP_MISS/204 293 GET http://clients1.google.cl

179 10.1.0.91 TCP_DENIED/403 1376 GET http://www.emol.com/ -

0 10.1.0.91 TCP_DENIED/403 1399 GET http://www.emol.com/fav

6

Figura 4: Squid denegó acceso a www.emol.cl

7

3.4. VPN

3.4.1.

Interfaces de red firewall 2

A continuación se muestran las interfaces de red, tanto físicas, lógicas y de túnel disponibles

en el firewall krusty.

krusty:~# ifconfig
eth0

eth1

eth2

lo

tun0

tun1

Link encap:Ethernet HWaddr 00:25:11:1c:21:48
inet addr:172.16.1.134 Bcast:172.16.1.191 Mask:255.255.255.192
[...]
Link encap:Ethernet HWaddr 00:21:91:20:5d:36
inet addr:10.2.0.1 Bcast:10.2.1.255 Mask:255.255.254.0
[...]
Link encap:Ethernet HWaddr 00:21:91:20:54:fc
inet addr:10.2.2.1 Bcast:10.2.2.15 Mask:255.255.255.240
[...]
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
[...]
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.99.2 P-t-P:10.99.99.1 Mask:255.255.255.255
[...]
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.98.98.1 P-t-P:10.98.98.2 Mask:255.255.255.255
[...]

3.4.2. Tabla de rutas en los firewalls

La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), análogamente

existe una tabla similar para krusty.

bart:~# route -n
Kernel IP routing table
Gateway
Destination
10.97.97.2
0.0.0.0
0.0.0.0
10.99.99.2
10.99.99.2
10.2.2.0
0.0.0.0
10.1.2.0
10.97.97.0
10.97.97.2
0.0.0.0
192.168.30.0
10.99.99.2
10.98.98.0
10.2.0.0
10.99.99.2
0.0.0.0
10.1.0.0
0.0.0.0
192.168.30.1

Genmask
255.255.255.255 UH
255.255.255.255 UH
255.255.255.240 UG
255.255.255.240 U
255.255.255.0
255.255.255.0
255.255.255.0
255.255.254.0
255.255.254.0
0.0.0.0

UG
U
UG
UG
U
UG

8

Flags Metric Ref

0
0
0
0
0
0
0
0
0
0

0
0
0
0
0
0
0
0
0
0

Use Iface

0 tun1
0 tun0
0 tun0
0 eth2
0 tun1
0 eth0
0 tun0
0 tun0
0 eth1
0 eth0

Tabla de rutas en firewall 2, alias krusty.

krusty:~# route -n
Kernel IP routing table
Gateway
Destination
10.99.99.1
0.0.0.0
0.0.0.0
10.98.98.2
0.0.0.0
10.2.2.0
10.99.99.1
10.1.2.0
172.16.1.128
0.0.0.0
10.99.99.1
10.97.97.0
10.98.98.2
10.98.98.0
10.2.0.0
0.0.0.0
10.99.99.1
10.1.0.0
0.0.0.0
1
  • Links de descarga
http://lwp-l.com/pdf12923

Comentarios de: Seguridad Perimetral y Telefonía IP (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad