Publicado el 9 de Agosto del 2018
600 visualizaciones desde el 9 de Agosto del 2018
645,1 KB
22 paginas
Creado hace 15a (27/09/2009)
Seguridad Perimetral y Telefonía IP
Empresa Fundo Santa Rosa
Casos de Prueba
Esteban De La Fuente Rubio y Eduardo Díaz Valenzuela
Universidad Nacional Andrés Bello
23 sep 2009
Índice
1. Objetivos
1.1. Objetivo general
1.2. Objetivos específicos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. Topologías
3. Casos de prueba
3.1. Firewall
3.3.1. Sitios web denegados y sitios permitidos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1. Escaneando puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2. Denegar acceso a Internet a ciertos usuarios
. . . . . . . . . . . . . . . .
3.2. DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1. DHCP estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3. Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
3.4. VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1.
Interfaces de red firewall 2 . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.2. Tabla de rutas en los firewalls . . . . . . . . . . . . . . . . . . . . . . . .
3.4.3. Conexión sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.4. Log openvpn-roadwarrior.log . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.5. Ping desde cliente roadwarrior a VPN . . . . . . . . . . . . . . . . . . . .
3.4.6. Acceso a recursos de la red desde la VPN . . . . . . . . . . . . . . . . . .
3.5. Asterisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5.1. Llamada desde killua a anexos de homero mediante IAX . . . . . . . . .
3.5.2. Llamada desde homero a killua . . . . . . . . . . . . . . . . . . . . . . .
3.5.3. Peers/usuarios en la central telefónica homero . . . . . . . . . . . . . . .
3.5.4. Llamada entre anexos
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5.5. Llamada desde PSTN a homero . . . . . . . . . . . . . . . . . . . . . . .
3.5.6. Correo de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5.7. Estadísticas CDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1
2
2
3
3
3
4
5
5
5
5
8
8
8
9
10
11
12
12
12
14
15
15
16
18
21
1. Objetivos
1.1. Objetivo general
Verificar el funcionamiento de la topología de red propuesta, los diferentes servicios y sus
configuraciones. Además determinas posibles problemas que deban ser solucionados previo a la
implementación final en la empresa.
1
Figura 1: Red propuesta
1.2. Objetivos específicos
Verificar funcionamiento de:
Firewall
DHCP
Squid
VPN
Asterisk
2. Topologías
A continuación se muestran 2 topologías:
La figura 1 corresponde a la topología propuesta.
La figura 2 corresponde a la topología utilizada para la realización de las pruebas.
Además en ambas figuras se muestran enlaces lógicos entre las centrales VoIP.
2
Figura 2: Red utilizada en las pruebas
3. Casos de prueba
Notas para leer las pruebas:
En los resultados de las pruebas se utilizará [...] para indicar que en ese lugar había más
texto pero fue considerado poco relevante, por lo cual fue quitado.
En los casos de líneas que debieron ser cortadas se utilizo \más un espacio.
3.1. Firewall
3.1.1. Escaneando puertos
Utilizando software nmap se han escaneado los puertos que se encuentran abiertos desde la
WAN y desde la LAN. Con esto se puede verificar que solo dejemos acceso al equipo en los
puertos que hemos determinado en nuestro firewall.
Se permite el acceso por SSH desde la LAN, desde la WAN no se permite el acceso, habrá que
conectarse mediante la VPN previo a inicar sesión SSH desde Internet.
killua:~# nmap -A -p1-65000 172.16.1.134
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:55 CLT
[...]
Interesting ports on 172.16.1.134:
3
rpcbind
STATE SERVICE VERSION
Not shown: 63973 closed ports, 1026 filtered ports
PORT
50178/tcp open
MAC Address: 00:25:11:1C:21:48 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 - 2.6.24
Uptime: 0.027 days (since Tue Sep 22 21:16:52 2009)
Network Distance: 1 hop
[...]
Nmap done: 1 IP address (1 host up) scanned in 25.013 seconds
delaf@edward:~$ nmap -A -p1-65000 -PN 10.2.0.1
Starting Nmap 4.62 ( http://nmap.org ) at 2009-09-22 21:51 CLT
[...]
Interesting ports on 10.2.0.1:
Not shown: 64999 filtered ports
PORT
22/tcp open
[...]
Nmap done: 1 IP address (1 host up) scanned in 145.607 seconds
STATE SERVICE VERSION
(protocol 2.0)
ssh
3.1.2. Denegar acceso a Internet a ciertos usuarios
Para la siguiente prueba se creo una regla en el firewall de tal forma que la IP 10.2.0.201 no
tenga acceso a Internet.
iptables -A FORWARD -s 10.2.0.201/32 -o $WAN_IF -j DROP
Luego se verifico desde el cliente que efectivamente podía acceder a la LAN y a la DMZ pero
no hacia el exterior.
delaf@edward:~$ sudo ifconfig eth0 | grep addr:
inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
inet6 addr: fe80::21e:ecff:fe39:d593/64 Scope:Link
delaf@edward:~$ sudo route -n
Kernel IP routing table
Gateway
Destination
10.2.0.0
0.0.0.0
0.0.0.0
10.2.0.1
delaf@edward:~$ ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
^C
--- 172.16.1.1 ping statistics ---
Genmask
255.255.254.0
0.0.0.0
Flags Metric Ref
U
UG
0
0
0
0
Use Iface
0 eth0
0 eth0
4
2 packets transmitted, 0 received, 100% packet loss, time 1013ms
delaf@edward:~$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1) 56(84) bytes of data.
64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.107 ms
64 bytes from 10.2.0.1: icmp_seq=2 ttl=64 time=0.095 ms
^C
--- 10.2.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.095/0.101/0.107/0.006 ms
delaf@edward:~$ ping 10.2.2.1
PING 10.2.2.1 (10.2.2.1) 56(84) bytes of data.
64 bytes from 10.2.2.1: icmp_seq=1 ttl=64 time=0.084 ms
64 bytes from 10.2.2.1: icmp_seq=2 ttl=64 time=0.095 ms
^C
--- 10.2.2.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.084/0.089/0.095/0.010 ms
3.2. DHCP
3.2.1. DHCP estático
Dentro del archivo de configuració de DHCP se han definido asignaciones de IP estáticas
mediante la MAC de los equipos, en esta prueba se verifica que se ha asignado efectivamente la
IP que corresponde al equipo.
host edward-eth {
hardware ethernet 00:1e:ec:39:d5:93;
fixed-address 10.2.0.201;
}
delaf@edward:~$ sudo ifconfig eth0
eth0
Link encap:Ethernet HWaddr 00:1e:ec:39:d5:93
inet addr:10.2.0.201 Bcast:10.2.1.255 Mask:255.255.254.0
[...]
3.3. Squid
3.3.1. Sitios web denegados y sitios permitidos
Se muestra parte del log /var/log/squid/access.log donde se ve como una web es dejada pasar
(www.google.cl) y otra es bloqueada (www.emol.com), además en las figuras 3 y 4 se aprecian
los respectivos resultados.
5
Figura 3: Squid permitió acceso a www.google.cl
0 10.1.0.91 TCP_HIT/200 8152 GET http://www.google.cl/intl
980 10.1.0.91 TCP_MISS/200 4000 GET http://www.google.cl/ -
0 10.1.0.91 TCP_HIT/200 5971 GET http://www.google.cl/imag
482 10.1.0.91 TCP_MISS/204 424 GET http://www.google.cl/csi?
1253655549.890
\ /en_com/images/logo_plain.png - NONE/- image/png
1253655549.918
\ DIRECT/208.69.32.230 text/html
1253655550.093
\ es/nav_logo7.png - NONE/- image/png
1253655551.528
\ - DIRECT/208.69.32.231 text/html
1253655551.533
\ ern_chrome/ac8f3578e9ba214e.js - DIRECT/208.69.32.230 text/html
1253655551.892
\ /generate_204 - DIRECT/74.125.65.102 text/html
[...]
1253655706.201
\ NONE/- text/html
1253655706.389
\icon.ico - NONE/- text/html
598 10.1.0.91 TCP_MISS/200 3609 GET http://www.google.cl/ext
554 10.1.0.91 TCP_MISS/204 293 GET http://clients1.google.cl
179 10.1.0.91 TCP_DENIED/403 1376 GET http://www.emol.com/ -
0 10.1.0.91 TCP_DENIED/403 1399 GET http://www.emol.com/fav
6
Figura 4: Squid denegó acceso a www.emol.cl
7
3.4. VPN
3.4.1.
Interfaces de red firewall 2
A continuación se muestran las interfaces de red, tanto físicas, lógicas y de túnel disponibles
en el firewall krusty.
krusty:~# ifconfig
eth0
eth1
eth2
lo
tun0
tun1
Link encap:Ethernet HWaddr 00:25:11:1c:21:48
inet addr:172.16.1.134 Bcast:172.16.1.191 Mask:255.255.255.192
[...]
Link encap:Ethernet HWaddr 00:21:91:20:5d:36
inet addr:10.2.0.1 Bcast:10.2.1.255 Mask:255.255.254.0
[...]
Link encap:Ethernet HWaddr 00:21:91:20:54:fc
inet addr:10.2.2.1 Bcast:10.2.2.15 Mask:255.255.255.240
[...]
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
[...]
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.99.2 P-t-P:10.99.99.1 Mask:255.255.255.255
[...]
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.98.98.1 P-t-P:10.98.98.2 Mask:255.255.255.255
[...]
3.4.2. Tabla de rutas en los firewalls
La siguiente tabla muestra la redes y como llegar a ellas desde bart (firewall 1), análogamente
existe una tabla similar para krusty.
bart:~# route -n
Kernel IP routing table
Gateway
Destination
10.97.97.2
0.0.0.0
0.0.0.0
10.99.99.2
10.99.99.2
10.2.2.0
0.0.0.0
10.1.2.0
10.97.97.0
10.97.97.2
0.0.0.0
192.168.30.0
10.99.99.2
10.98.98.0
10.2.0.0
10.99.99.2
0.0.0.0
10.1.0.0
0.0.0.0
192.168.30.1
Genmask
255.255.255.255 UH
255.255.255.255 UH
255.255.255.240 UG
255.255.255.240 U
255.255.255.0
255.255.255.0
255.255.255.0
255.255.254.0
255.255.254.0
0.0.0.0
UG
U
UG
UG
U
UG
8
Flags Metric Ref
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Use Iface
0 tun1
0 tun0
0 tun0
0 eth2
0 tun1
0 eth0
0 tun0
0 tun0
0 eth1
0 eth0
Tabla de rutas en firewall 2, alias krusty.
krusty:~# route -n
Kernel IP routing table
Gateway
Destination
10.99.99.1
0.0.0.0
0.0.0.0
10.98.98.2
0.0.0.0
10.2.2.0
10.99.99.1
10.1.2.0
172.16.1.128
0.0.0.0
10.99.99.1
10.97.97.0
10.98.98.2
10.98.98.0
10.2.0.0
0.0.0.0
10.99.99.1
10.1.0.0
0.0.0.0
1
Comentarios de: Seguridad Perimetral y Telefonía IP (0)
No hay comentarios