Está en la página 1de 44

2

PONTIFICIA UNIVERSIDAD CATOLICA DEL ECUADOR TELEFONIA IP FABRICIO W. TOAPANTA M.

ANLISIS, DISEO Y PROTOTIPO DE UNA RED VoIP EMPRESARIAL TATA ANLISIS


En este captulo realizaremos el anlisis de la situacin actual de comunicaciones de la empresa TATA Consultancy Services Ca. Ltda.. El anlisis se lo realizar con la ayuda de las mejores prcticas de la arquitectura SAFE de CISCO y MSAT. En base a este anlisis se obtendrn los riesgos a los que se encuentra expuesta la infraestructura de red y el sistema de comunicaciones de la empresa. As, a partir de la informacin obtenida se podr disear una red que incremente el rendimiento y la seguridad de la red actual por medio de la optimizacin de los recursos y la centralizacin de los servicios. Con la herramienta MSATv.4.0 se proceder a evaluar la infraestructura, aplicaciones, operaciones y personal de la empresa. El objetivo de la evaluacin es conocer los riesgos a los que se encuentra expuesta la empresa a nivel tecnolgico. Este anlisis permitir disear la seguridad de la nueva red para minimizar los riesgos encontrados. Con la arquitectura modular SAFE de CISCO explicaremos la situacin actual de la red de transmisin de datos. Se analiza el estado actual de la red en la medida que esta cumpla con las directrices de diseo propuestas por la arquitectura. Concluido el estudio y la evaluacin de la red, se proceder a analizar los requerimientos de los usuarios con respecto al servicio telefnico. Este anlisis permitir conocer los servicios de VoIP y las seguridades a ser implementados. Esta actividad se la realizar en base a una encuesta, la cual nos permitir conocer las necesidades tcnicas referentes al servicio telefnico.

DESCRIPCIN DE LA EMPRESA.
La descripcin permitir obtener el perfil tecnolgico de la empresa con respecto a la comunicacin y la importancia que tiene sobre el funcionamiento de la misma. As, por medio de la distribucin de la empresa se podr conocer la ubicacin de los diferentes departamentos dentro de la misma y lo que implica el aumento de personal en cada uno de los mismos con respecto a la infraestructura. Adems, conocer el tipo de cableado tanto de comunicacin telefnica como del de red interna y el enlace externo, nos permitir obtener una perspectiva del estado de comunicaciones dentro de la empresa. Esta informacin se la pudo obtener luego de realizar tres visitas tcnicas a la empresa. DISTRIBUCIN DE LA EMPRESA. La matriz desempea sus actividades en un edifico de 3 plantas y dos bodegas. El desempeo de estas requiere de la comunicacin telefnica entre los departamentos. Cada departamento de la empresa cuenta con al menos una extensin y 3 puntos de red, distribuidos de la siguiente forma: Primer piso: recepcin, investigacin, produccin y almacenaje de producto terminado (bodega1). Segundo piso: contabilidad, finanzas, crdito y cobranzas, diseo grfico, marketing y sistemas. Tercer piso: gerencia, importaciones y sala de reuniones. Bodega 2: almacenaje de materia prima. La arquitectura de comunicaciones de cada departamento, indica que el aadir extensiones telefnicas analgicas implica el tendido de cableado adicional al existente y modificaciones del aspecto fsico de las oficinas y disposicin de los equipos. Los puntos de red se encuentran distribuidos de forma que se pueden agregar estaciones de trabajo con tan solo usar un Switch. RED DE COMUNICACIONES. El cableado de la red en la empresa es estructurado y el cable utilizado es el UTP categora 5. El enlace externo es de fibra ptica y es proporcionado por el ISP, quin adems provee un canal dedicado VPN para que la matriz se interconecte con las sucursales. Adicionalmente se conoce por medio del departamento de sistemas de la empresa que el ISP es quin administra y gestiona todas las configuraciones de los equipos (Routers) del borde de internet y acceso remoto.

Esto constituye una desventaja para el personal de sistemas de la empresa ya que no tiene acceso a informacin de la configuracin de los dispositivos. La comunicacin telefnica entre departamentos, sucursales y clientes de la empresa se la realiza con un PBX analgico al que se conectan 10 lneas telefnicas analgicas proporcionadas por la Corporacin Nacional de

Telecomunicaciones (CNT).

ANLISIS DE RIESGOS DE LA RED Y SITUACIN ACTUAL DE COMUNICACIONES.


Conocer los riegos que posee la empresa mediante el anlisis permitir establecer una gua con mejores prcticas para minimizarlos. Mediante una evaluacin con MSAT obtendremos los riesgos a los que se encuentre expuesta la red de la empresa con respecto a TI. Los resultados analizados permitirn obtener las bases necesarias para implementar la seguridad en el diseo de la red de VoIP. Con la ayuda de SAFE de CISCO se analizar la situacin actual de comunicaciones ya que esta arquitectura nos permite obtener informacin de manera eficiente sobre el diseo e implementacin de redes. Esta arquitectura propone un marco de trabajo con la cual se puede analizar la red utilizando la mnima cantidad de informacin proporcionada por la empresa. ANLISIS DE RIESGOS. Mediante una evaluacin con MSAT, se pueden analizar los riesgos por reas con respecto al uso de tecnologa. La herramienta evala los riesgos tecnolgicos de la empresa sobre 4 reas especficas: Infraestructura, Aplicaciones, Operaciones y Personal. El proceso permite detallar y analizar los resultados con el fin de ofrecer una gua para minimizar los riesgos encontrados. Aspectos considerados en la evaluacin, resultados y anlisis de riesgos de la red con el uso de la herramienta MSAT. Para el anlisis de riesgos de la red, se tomarn en cuenta las siguientes reas: Infraestructura, Aplicaciones, Operaciones y Personal.

Perfil de riesgos de la empresa vs. ndice de defensa en profundidad


100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Infraestructura Aplicaciones Ope rac iones Pe rsona l

BRP DiDI

reas de la evaluacin

Figura 1: Perfil de riesgos para la empresa vs. ndice de defensa en profundidad.

En la Figura 1, dividida en reas de anlisis, se muestran las diferencias en el resultado de la defensa en profundidad. Segn las mejores prcticas, se considera que se debe tener un DiDI1 y un BRP2 del mismo nivel. Un desequilibrio grande entre DiDI y BRP propondra una innovacin tecnolgica. Luego de la evaluacin se obtuvieron los siguientes resultados: Leyenda: Cumple con las prcticas recomendadas reas de anlisis Necesita mejorar Carencias severas seguridad3

Distribucin de defensa de riesgos

Madurez de la

INFRAESTRUCTURA APLICACIONES OPERACIONES PERSONAL Tabla 1: Resultados de la evaluacin.

ndice de defensa en profundidad (DiDI). Es la medicin de las defensas de seguridad utilizadas en el personal, procesos y tecnologa para ayudar a reducir los riesgos identificados. 2 Perfil de riesgos para la empresa (BRP). Es una medicin del riesgo relacionado al modelo empresarial. 3 La madurez de la seguridad. Es una medicin de la capacidad de la empresa para utilizar de forma eficaz las herramientas disponibles de forma que se cree un nivel de seguridad sostenible a lo largo de diversas disciplinas.

Al igual que en la Figura 1, en el resumen de la Tabla 1 se puede notar que el rea de infraestructura es la que ms deficiencias tecnolgicas posee y por lo tanto que se encuentra expuesta a riesgos. De acuerdo a MSAT esta rea necesitara de una innovacin tecnolgica, mientras que para las reas de aplicaciones, operaciones y personal se necesitan mejorar las prcticas de seguridad con respecto a Madurez de la seguridad y distribucin de defensa de riesgos respectivamente. A partir de este resumen, se analizarn los riesgos identificados en cada una de las reas evaluadas. Infraestructura. Esta rea evala el funcionamiento, gestin y mantenimiento efectivo de la red de la empresa. La evaluacin se enfoca en las siguientes secciones: DEFENSA DEL PERMETRO. Dentro de esta seccin se encontraron riesgos dentro de las siguientes subsecciones: Cortafuegos (Firewall), Acceso remoto, Segmentacin, IDS e Inalmbrico Seccin Resultado de la evaluacin No se tienen creados segmentos DMZ para proteger los recursos a los que se puede acceder a travs de internet. No se utilizan cortafuegos basados en HW para proteger Cortafuegos los servidores, ni en SW para las estaciones de trabajo. l cortafuegos no se comprueba regularmente para asegurar su adecuado funcionamiento. Acceso Remoto Segmentacin IDS4 Inalmbrico No se utiliza autenticacin AAA como escudo protector. Existe solo un segmento de red. No se utiliza SW ni HW de deteccin de intrusiones. No se utiliza la restriccin por MAC.

Tabla 2: Riesgos encontrados en la Defensa del Permetro.

IDS Sistema de Deteccin de Intrusiones.

La defensa del permetro constituye una herramienta de apoyo en la proteccin de las tecnologas y sistemas de informacin. A nivel de firewall, la creacin de una DMZ para el acceso a los recursos de la empresa a travs de internet y la segmentacin de la red constituiran un buen escudo ante un ataque. Sin embargo actualmente la empresa no presta servicios de la red a clientes a travs de internet, por lo que no constituira un requerimiento altamente necesario. El uso de cortafuegos en las estaciones de trabajo y servidores permite mantener la integridad de la informacin que manejan los mismos. El personal que administra el/los firewall(s) deben verificar al menos 2 veces al ao el correcto funcionamiento de los mismos como medida preventiva ante ataques. No utilizar segmentos de red en la empresa impide que trfico especfico se encamine a los servidores de las aplicaciones y a los puertos para dar servicio a los usuarios. Las conexiones deben ser controladas ya que podra presentarse una intrusin en la red y provocar la suspensin parcial o total de los servicios prestados en la red. Sin embargo con los equipos que cuenta la infraestructura de red de la empresa hace imposible la creacin de segmentos que permitan gestionar ese nivel de seguridad. La implementacin de IDSs en la red de la empresa otorgara una poderosa herramienta al administrador de la red. Estos en hardware y en software permitiran notificar sobre ataques que se produzcan contra las aplicaciones de la empresa. Actualmente este control no se lo realiza ya que la mayora de herramientas de deteccin son distribuidas bajo licencias que resultan muy costosas y se teme la utilizacin de herramientas gratuitas debido a posibles infecciones de virus o cualquier otro elemento malicioso. La empresa utiliza autenticacin WPA para el entorno inalmbrico, sin embargo no tiene implementado el filtrado de direcciones MAC. Esto puede inducir a que equipos no autorizados se conecten a la red. AUTENTICACIN. Dentro de esta seccin se encontr el siguiente riesgo:

Seccin Usuarios administrativos, internos, de acceso remoto y cuentas inactivas.

Resultado de la evaluacin Slo existe autenticacin de contraseas sencillas para el acceso administrativo a dispositivos y hosts.

Tabla 3: Riesgo encontrado en la Autenticacin. Los usuarios administrativos, internos y de acceso remoto, crean contraseas a nivel de equipos y aplicaciones sin utilizar ninguna norma o poltica de creacin de contraseas seguras. La creacin de una poltica de autenticacin multifactor para contraseas complejas, permitira incrementar la seguridad sobre los equipos y aplicaciones de la empresa. Esta prctica permitira solucionar problemas de prdida de informacin, para de esa forma ahorrar en tiempo y dinero en la resolucin de estos problemas. GESTIN Y CONTROL. Dentro de esta seccin se encontraron riesgos dentro de las siguientes subsecciones: Creacin segura Seguridad fsica.

Seccin Creacin segura Seguridad fsica

Resultado de la evaluacin No se utiliza software de cifrado de discos. Las estaciones de trabajo y porttiles no se encuentran protegidas con cables de seguridad.

Tabla 4: Riesgos encontrados en Gestin y Control. La informacin de las aplicaciones es almacenada sin ser cifrada en el medio de almacenamiento. Esto constituye un riesgo alto ya que cualquier persona podra acceder a la misma o ajenos a la empresa robar los equipos, lo que afectara las operaciones de la empresa por la prdida de la informacin. Adems la seguridad en estaciones de trabajo mediante la utilizacin de cables de seguridad permitirn mantener a salvo la infraestructura de TI ante robos.

Aplicaciones Esta rea evala las aplicaciones de la empresa y las valora desde el punto de vista de la seguridad. La evaluacin se enfoca en las siguientes secciones: UTILIZACIN Y USO. Dentro de esta seccin se encontraron riesgos dentro de: Equilibrio de carga Clsteres Aplicacin y recuperacin de datos.

Seccin Clsteres Aplicacin y recuperacin de datos.

Resultado de la evaluacin No se utiliza la agrupacin en clsteres. No se realizan peridicamente pruebas de la recuperacin de aplicaciones y datos.

Tabla 5: Riesgos encontrados en Utilizacin y Uso. La agrupacin de clsteres permite distribuir la carga de aplicaciones, mejorar el tiempo de respuesta y asegurar la disponibilidad de estas a los usuarios. Actualmente en la empresa no es indispensable el uso de un arreglo de clsteres que permita obtener los beneficios antes nombrados. Bastara con realizar afinamientos peridicos de los servidores de aplicaciones, de la red y de los servicios que se ofrecen a los usuarios. Sin embargo, si con las actividades que la empresa realiza, implica la expansin, esta debera pensar en la implementar una agrupacin de clsteres. Con esto la empresa ganara alto rendimiento, eficiencia y disponibilidad de aplicaciones paralelas, escalabilidad en redes y comunicaciones, y acceso rpido a archivos. Adems se incrementar la capacidad de procesamiento con el uso de tecnologa estndar tanto en Hardware como en Software a un costo relativamente bajo. Actualmente no se realiza la recuperacin de aplicaciones ni de datos por lo que no se tiene la certeza de que los backups que se tienen permitan la recuperacin de la empresa ante un ataque.

1 0

DISEO DE APLICACIONES. Se encontraron riesgos dentro de las siguientes sub-secciones: Poltica de contraseas Registro Metodologas de desarrollo de seguridad de SW

Seccin Poltica de contraseas Registro Metodologas de desarrollo de seguridad de Software

Resultado de la evaluacin No se usan controles de contraseas en las aplicaciones principales. No hay archivos de registro creados por las aplicaciones. La organizacin no proporciona formacin sobre metodologas de seguridad de software para el personal de desarrollo. No se utilizan herramientas de pruebas de software como parte del proceso de desarrollo de seguridad.

Tabla 6: Riesgos encontrados en Diseo de Aplicaciones. Como ya se ha analizado, es sper importante la creacin de contraseas seguras. Para ello se deben crear polticas que abarquen la autenticacin en equipos, aplicaciones y cualquier actividad de la empresa y que requiera de contraseas. Estas polticas garantizarn la veracidad de la informacin y los usuarios tendrn la tranquilidad de que la informacin no se pierde. Las aplicaciones de la empresa no cuentan con un mdulo de registros que permitirn al administrador conocer mediante reportes el estado de las mismas. El registro permite conocer con detalle, los sucesos de un evento de anormal desenvolvimiento en las aplicaciones. Esta forma de desarrollo de aplicaciones permite corregir los errores que se presenten sin que esto afecte al trabajo de los dems usuarios de la aplicacin. Actualmente el desarrollo y pruebas de aplicaciones no se rigen a metodologas ni herramientas definidas por lo que el cdigo desarrollado no es seguro. La creacin de un modelo de desarrollo con el uso de metodologas, estndares y herramientas de pruebas de acuerdo a las necesidades de la empresa, permitira incrementar la seguridad de las aplicaciones.

10 10

ALMACENAMIENTO Y COMUNICACIN DE DATOS. Dentro de esta seccin se encontr el siguiente riesgo: Seccin Cifrado Resultado de la evaluacin No se cifran los datos cuando estn almacenando o transmitiendo. Tabla 7: Riesgo en Almacenamiento y Comunicacin de datos. Los datos con los que el usuario de la empresa realiza sus actividades no son cifradas en su transmisin y almacenamiento por lo que ante un ataque, esta informacin quedara expuesta. Las aplicaciones de la empresa deberan utilizar algoritmos estndares de cifrado, con claves de tamaos adecuados y modelos de cifrado apropiados. Algunos de los cifrados recomendados y que son utilizados habitualmente debido a su fiabilidad son: 3DES, AES, RSA, RC4 y Blowfish. Operaciones Esta rea evala las prcticas de funcionamiento y normas que sigue la empresa. Se examinarn las reas relacionadas con creacin de sistemas, documentacin de la red, copias de seguridad y restauracin de datos en el entorno. La evaluacin se enfoca en las siguientes secciones: ENTORNO. Dentro de esta seccin se encontr el siguiente riesgo: Seccin Host de gestinDispositivos de red Resultado de la evaluacin No existe equipo de gestin dedicado a los dispositivos de red.

Tabla 8: Riesgo encontrado en el Entorno de operaciones. El soporte a los equipos de la empresa se lo realiza desde cualquier equipo dentro del departamento de sistemas. Proporcionar el soporte desde un equipo con recursos propios permitir ofrecer el servicio deseado a los usuarios o equipos de la red sin comprometer los de algn otro que se encuentre dedicado a otra actividad.

11 11

POLITICA DE SEGURIDAD. Dentro de esta seccin se encontraron riesgos en las siguientes subsecciones: Protocolos y servicios Regulacin.

Seccin Protocolos y servicios

Resultado de la evaluacin No existen polticas que traten los servicios y protocolos permitidos.

Regulacin No se disponen de polticas para controlar el entorno informtico. Tabla 9: Riesgos encontrados en Polticas de seguridad. Las polticas de seguridad regulan el entorno informtico, sin embargo en la empresa no se tienen estas polticas y esa es la razn de no tener conocimiento al respecto. Mediante la creacin de polticas se podran normar los procedimientos a seguir para la configuracin de los equipos de la red y mantener el control sobre el entorno. La documentacin con respecto a los protocolos y servicios, de normas y prcticas permitidas, permitir auditar de forma adecuada los dispositivos necesarios (cortafuegos, dispositivos VPN, ruteadores, etc.) para asegurar que estn configurados de acuerdo a los procedimientos documentados. Las auditoras deberan ser efectuadas por terceros peridicamente para garantizar el cumplimiento de todas las regulaciones legales y civiles vigentes. GESTIN DE ACTUALIZACIONES Y REVISIONES. En el anlisis se encontraron riesgos en las siguientes sub-secciones: Documentacin de red Flujo de datos de la aplicacin Gestin de actualizaciones, de cambios y configuracin.

12 12

Seccin Documentacin de la red Flujo de datos de la aplicacin Gestin de actualizaciones, cambios y configuracin

Resultado de la evaluacin No existen diagramas lgicos de red, stos no se han actualizado recientemente o han caducado. No existen diagramas de la arquitectura ni del flujo de datos de las aplicaciones principales. No existen polticas para la gestin de actualizaciones y revisiones de sistemas operativos y aplicaciones. No se documentan para una referencia posterior. Las aplicaciones no se prueban antes entrar a produccin.

Tabla 10: Riesgos encontrados en Gestin de actualizaciones y revisiones. La gestin de actualizaciones y revisiones sugiere un alto rendimiento en equipos y aplicaciones. La actualizacin de diagramas de red adems facilita la correccin de errores ahorrando tiempo y dinero. La documentacin debe revisarse al

menos 2 veces por ao y no cada 2 aos como se lo realiza actualmente, de esta forma se asegurara la disponibilidad de los servicios que se prestan. Actualmente se generan los flujos de datos de las aplicaciones, lo que permite conocer como se manejan los procesos con respecto al tratamiento de la informacin. COPIAS DE SEGURIDAD Y RESTAURACIN. Dentro de esta seccin se encontraron riesgos en las siguientes subsecciones: Archivos de registro Copias de seguridad y restauracin

Seccin Archivos de registro Copias y restauracin

Resultado de la evaluacin No se protege el acceso a los archivos de registro. No se graban en ningn servidor centralizado de registros. No existen polticas para las pruebas peridicas de los procedimientos de copias de seguridad y restauracin.

Tabla 11: Riesgos encontrados en Copias de seguridad y restauracin.

13 13

Dado que la empresa no posee un servidor de registros y tampoco archivos de registros, no se puede proporcionar una solucin a un evento que impida el normal desempeo de las aplicaciones y la infraestructura de red. Se debe pensar en agregar un servidor que almacene estos registros para de esa forma gestionarlos peridicamente. Adems con un servidor de este tipo se podr realizar copias de seguridad que permitan restaurar la informacin en caso de que se presentase un evento que involucre la prdida de informacin. Personal Esta rea evala los procesos de la empresa que regulan las polticas de seguridad, procesos de RRHH, formacin y grado de conocimiento de los empleados sobre la seguridad. La evaluacin se enfoca en las siguientes secciones: REQUISITOS Y EVALUACIONES. Dentro de esta seccin se encontraron riesgos en las siguientes subsecciones: Requisitos de seguridad Evaluaciones de seguridad

Seccin

Resultado de la evaluacin No se tienen modelos para la asignacin de niveles de

Requisitos de seguridad

gravedad a cada componente del entorno informtico. No hay responsabilidades ni roles definido para los individuos involucrados en la seguridad de la informacin.

Evaluaciones de seguridad

La evaluacin de medios de seguridad se realiza internamente. No es realizado por el personal interno.

Tabla 12: Riesgos encontrados en Requisitos y evaluaciones. Al igual que toda documentacin, los requisitos de seguridad deben revisarse y actualizarse al menos 2 veces al ao. El planteamiento de un modelo sobre la importancia de los componentes del entorno informtico es vital ya que de esa

14 14

forma se podr plantear contingencias de acuerdo al nivel de gravedad de un evento que involucre la prdida total o parcial del mismo. La asignacin de tareas y responsabilidades sobre el personal por reas del entorno informtico mejorar en el tiempo de respuesta ante eventos que paralicen las actividades de los usuarios. Adems las evaluaciones de seguridad deben ser aplicadas por personal interno y empresas independientes, lo que ayudar a mejorar la seguridad de los recursos de TI y sobre la informacin. FORMACIN Y CONOCIMIENTO. Dentro de esta seccin se encontraron riesgos en las siguientes subsecciones: Conocimiento de seguridad Formacin sobre seguridad

Seccin

Resultado de la evaluacin Menos del 50% de los empleados han participado en un programa de capacitacin sobre seguridad. El equipo de seguridad no participa en la definicin de los

Conocimiento requisitos para las nuevas tecnologas o para las existentes. No se tratan temas sobre prcticas de confidencialidad, seguridad de correo, ni gestin de spam y adjuntos, seguridad informtica, ni el uso de cortafuegos. Formacin No se ofrece formacin especfica por temas a los empleados.

Tabla 13: Riesgos encontrados en Formacin y Conocimiento.

La importancia del tratamiento de la informacin es tratada de acuerdo al rol que desempea cada empleado en su lugar de trabajo de forma general. Sin embargo esto resulta un conocimiento emprico que debe ser fortalecido con la difusin de polticas de seguridad de la informacin. Estas deben impartirse entre todo el

15 15

personal que directa o indirectamente se encuentre involucrado con el uso de equipos informticos. Un nuevo empleado que vaya a utilizar un equipo informtico sin la capacitacin correspondiente puede generar riesgos como: posibles infecciones con virus, generacin de spam o cualquier otra actividad que afecte a los equipos informticos. La capacitacin con respecto al buen uso de los servicios y equipos aumentar la seguridad hasta en un 30% y se ahorrar hasta un 50% en costo de hardware y software por realizacin de mantenimiento correctivo. ANLISIS DE LA SITUACIN ACTUAL DE COMUNICACIONES. Con la ayuda de SAFE de CISCO se puede obtener informacin de una manera eficiente sobre el diseo e implementacin de la red. El marco de trabajo basado en el uso de buenas prcticas, propuesto por la arquitectura permitir analizar la red fsica con la informacin proporcionada por el personal de sistemas de la empresa. SAFE divide a la red en mdulos de tal manera que el anlisis de la misma sea entendible y manejable. Esto permitir a tcnicos, director de sistemas y personal de TI de la empresa, entender los principios de diseo y fundamentos de seguridad para la red. Aspectos considerados para el anlisis de situacin actual de

comunicaciones de la empresa. Para este anlisis se dividir la red por mdulos para de esa forma obtener la medida en que la misma cumple con las directrices de diseo propuestas por SAFE. El diagrama de la red de la empresa empresa se encuentra en el Anexo 1, este fue proporcionado por el personal de TI de la empresa y es con el que se realizar este anlisis. Los mdulos de la red a ser analizados segn el diagrama son los siguientes: Mdulo central Mdulo del edificio Mdulo de servidores Permetro de distribucin de internet

16 16

Mdulo central. Para esta seccin se realizar un comparativo entre las directrices de diseo de este mdulo segn SAFE y lo que actualmente se encuentra implementado en la arquitectura de red de la empresa.

AREA

PROTECCIN Implementar las interfaces de gestin, fuera de la banda gestin de red. Limitar los puertos de acceso y restringir los

EMPRESA X

Infraestructura de acceso al dispositivo

puertos y mtodos permitidos. Notificar, autenticar y autorizar el acceso y puertos permitidos. Proteger de lectura y copia, los datos sensibles almacenados localmente. Autenticacin y registro de cambios en

Infraestructura de enrutamiento

vecinos. Implementacin del filtrado de ruta. Interfaces por defecto en modo pasivo.

Dispositivo de resistencia y estabilidad

Desactivar los servicios innecesarios. Implementar redundancia.

Tabla 14: Instrucciones de diseo para el Mdulo Central.

El mdulo central, como se muestra en el Anexo 1, fsicamente se encuentra parcialmente bien definido segn las instrucciones de SAFE debido que el tema de redundancia no se ha implementado. El aspecto de seguridad que se exige este mdulo no ha sido implementado ya que la red se reestructura cada ao sin seguir normas ni procedimientos ya que estos no existen. Cabe mencionar que los dispositivos que permiten la interconexin de los equipos y otros dispositivos no son configurables, lo que impide implementar las directrices que propone SAFE a nivel del mdulo central.

17 17

Mdulo del edificio. Para el anlisis de este mdulo se debe tener en cuenta que SAFE propone una estructura jerrquica, y el anlisis se lo har en base a esta estructura. La jerarqua que se tiene en este mdulo es la siguiente: Capa de acceso Capa de distribucin Capa central

CAPA DE ACCESO En la Tabla 15 se analizaran las directrices que propone SAFE para la capa de acceso en el mdulo de edificios.

18

AREA Proteccin gusanos y virus conocidos. Ultimo punto de proteccin

PROTECCION

EMPRESA X

Proteccin contra ataques basados en el comportamiento como intentos de cargar un controlador al ncleo no autorizado, captura las pulsaciones de teclado, desbordamientos de bfer, modificar la configuracin del sistema y el cdigo de insercin en otros procesos. Restringir los dominios de difusin y habilitar el protocolo Spanning-tree Implementar IP Source Guard en los puertos de acceso. Implementacin de dinmicas de inspeccin ARP en la VLAN de acceso X

Mejores prcticas de seguridad de acceso Seguridad en switches

Proteccin contra inundaciones MAC, broadcast y multicast Configuracin de VLANs separadas para voz y datos. No utilizar la VLAN 1 Mejores prcticas VLAN Configuracin de los usuarios como no-trunking Deshabilitar la negociacin de truncamiento dinmico en los usuarios VTP en modo transparente y deshabilitar los puertos no utilizados Utilizar etiquetado de VLAN nativa en truncamiento. Seguridad en los puertos Proteccin DHCP Aprendizaje dinmico de direcciones MAC con un nmero mximo para un puerto. Configuraciones estticas de direcciones MAC permitidas en un puerto. Para VoIP definir mximo 3 direcciones MAC permitidas para un puerto. Si un puerto no es de confianza (como un puerto de acceso), la interfaz se apaga. Validar que la direccin MAC de acceso coincide con la registrada en esa interfaz. Tabla 15: Instrucciones de diseo para el Mdulo del Edificio-Capa de Acceso.

19 19

Ya que esta capa contiene dispositivos como estaciones de trabajo, impresoras, cmaras, Access Point y telfonos IP constituye la primera lnea de defensa contra riesgos generados por dispositivos antes mencionados y que estn conectados a la infraestructura de red. En la Tabla 15, podemos observar que la red de la empresa cumple solo con el ltimo punto de proteccin ya que como se mencion en el mdulo central, los dispositivos de la infraestructura de red no son configurables. El principal problema es que no se tienen implementadas seguridades que impidan ataques generados por la mala utilizacin de dispositivos finales por parte de los usuarios. CAPA DE DISTRIBUCION En este punto se analizaran las directrices para la capa de distribucin en el mdulo de edificios.

Figura 2: Arquitectura del mdulo central y del edificio segn SAFE.

20 20

La capa de distribucin cumple el papel de servicio y control entre la capa de acceso del mdulo del edificio y el mdulo central, tal como se puede apreciar en la Figura 2. AREA Diseo de IPS PROTECCION Implementacin del modelo (En lnea) Escalabilidad y disponibilidad (seguridad integrada de Cisco) Simetra de Trfico (Manipulacin de ruteo) Implementar interfaces dedicadas de administracin de la red de gestin en el dispositivo de acceso, limitar los puertos, restringir puertos y mtodos de acceso permitidos, notificar, autenticar y autorizar todos los accesos y proteger los datos sensibles almacenados localmente de lectura y copia. Enrutamiento vecinos Autenticar infraestructura, poner en prctica la ruta de filtrado, aplicar EIGRP, las interfaces de uso por defecto pasiva, y registrar los cambios vecino. Infraestruc tura de Seguridad Desactivar servicios innecesarios de la redundancia, controlar la velocidad lmite del trfico. NTP para sincronizar la hora del reloj de la red misma Mantener dispositivo de estadsticas de trfico global y de la interfaz y habilitar NetFlow
Red de telemetra

Mantener la informacin del estado del sistema (memoria, CPU, y el proceso de registro) Recoger el estado del sistema, las estadsticas de trfico, y acceder a informacin del dispositivo

Poner en prctica la gestin y iACLs5 para restringir el acceso a los dispositivos de la infraestructura y la gestin. Infraestruc tura de Switching. Restriccin de domins de broadcast y configurar Spanning-tree para prevenir bucles VLAN y aplicar las mejores prcticas.

Tabla 16: Instrucciones de diseo para el Mdulo de Edificio-Capa de Distribucin.


5

Access Control List Lista de Control de Acceso.

21 21

En la Tabla 16 se muestra cmo debe estar implementada la capa de distribucin, de forma que la red sea segura a nivel del mdulo del edificio. La empresa no dispone de dispositivos que permitan obtener las funcionalidades de la capa de distribucin en el mdulo del edificio, por esta razn en la tabla no se encuentra identificada la columna de la empresa. Adems no se tiene implementado subneteo y la implementacin de subredes es indispensable en la implementacin de VoIP. Hay que tener en cuenta que para poder enrutar el trfico de voz se hace necesario la creacin de VLANs y con los dispositivos actuales no se las podra configurar. Mdulo de servidores. Para el anlisis del mdulo de servidores vamos a tener en cuenta que la arquitectura modular SAFE propone las siguientes capas: Ncleo, Agregacin y Acceso. En base a esta estructura se realizara el anlisis por capa, en donde se mostrarn las directrices de diseo de la red propuestas por SAFE y las que cumple la empresa. NCLEO Esta capa provee la conectividad entre los servidores y la red de la empresa. A continuacin se describe el tipo de proteccin segn SAFE para una red segura y se la contrasta con lo que actualmente posee la empresa implementado.

AREA

PROTECCION El ncleo es un sistema basado en capa-3,

EMPRESA X

Infraestructura

razn por la cual se debe contar con Routers y switches capa 3 El ncleo estar configurado con el protocolo

Enrutamiento IP y recomendacin

de EIGRP para comunicarse con el mdulo central y con OSPF para comunicarse con el mdulo de servidores.

Tabla 17: Instrucciones de diseo para el Mdulo de Servidores.

22 22

No se tienen implementados protocolos de enrutamiento en la red de la empresa debido a que se tiene la infraestructura adecuada para hacerlo. En cuanto a la infraestructura se cumple a medias con las prcticas de SAFE ya que se utiliza los dispositivos del ISP para ello. La configuracin y administracin de estos dispositivos los realiza el ISP, por lo que no se tiene acceso a sus configuraciones. CAPA DE AGREGACIN A continuacin se describe el tipo de proteccin segn SAFE y se la contrasta con lo que actualmente posee la empresa implementado. AREA Infraestructura PROTECCION Esta capa debe contar con switches y Routers de capa 3. Enrutamiento IP de diseo y recomendaciones Usar HTTPS para el acceso al dispositivo, SSH y NTP. Deshabilitar el acceso HTTP y telnet. Configuracin AAA para el control de acceso basado en roles y la explotacin forestal. Firewall Utilizar una cuenta local de reserva en caso de que el servidor AAA sea inalcanzable. Utilice la administracin fuera de banda y limitar los tipos de trfico permitido en la interfaz de administracin. Tabla 18: Instrucciones de diseo para el Mdulo de Servidores. Los dispositivos deber tener configuracin OSPF EMPRESA X

El enrutamiento no es posible en esta capa debido a que no se dispone de dispositivos configurables. La infraestructura de este nivel permite el

funcionamiento de la red por medio de la interconexin ms no as la configuracin de la seguridad. A nivel de Firewall, no se tienen dispositivos

23 23

dedicados a este fin. Lo que se tiene en la empresa es un servidor Proxy sobre el cual se encuentran configurados IPtables para otorgar y denegar permisos a los usuarios. CAPA DE ACCESO A continuacin se describe el tipo de proteccin segn SAFE y se la contrasta con lo que actualmente posee la empresa implementado. AREA Infraestructura Se TIPO DE PROTECCION debe contar con switches de capa 2 EMPRESA X

configurables. Tabla 19: Instrucciones de diseo para el Mdulo de Servidores.

No se han implementado prcticas de administracin de sistemas ni se ha implementado seguridad en los niveles de acceso que tienen la mayora de los empleados a los servidores a los que estn conectados. La empresa podra combinar el mdulo de servidores con el mdulo central ya que las necesidades de rendimiento no requieren de la separacin. Mdulo de borde de internet. El mdulo de Internet de la empresa proporciona a los usuarios internos servicios y acceso a Internet.

REQUISITOS Servidor SMTP: acta como Relay entre Internet y los servidores de correo de Internet (inspecciona los contenidos). Servidor DNS: sirve como servidor DNS externo autorizado de la empresa, transmite las solicitudes internas a Internet. Servidor FTP/HTTP: proporciona informacin pblica acerca de la organizacin. Firewall: proporciona proteccin a nivel de red de los recursos y filtro con estado del trfico.

EMPRESA X

24 24

Dispositivo de NIDS: proporciona supervisin de la Capa 4 a la Capa 7 de los elementos de red clave del mdulo. Servidor de filtro de direcciones URL: filtra las solicitudes de direcciones URL no autorizadas que provienen de la empresa.
Tabla 20: Instrucciones de diseo para el Mdulo de internet.

En este mdulo no se cuenta con firewalls que proporcionen proteccin a los servicios pblicos de Internet y a los usuarios internos. En la entrada del primer router de la red de la empresa, no se cuenta con los filtros bsicos que limitan el trfico (direcciones y servicios IP), proporcionando as una brecha para los ataques ms bsicos. El router no est configurado para eliminar la mayora de los paquetes fragmentados que normalmente no deberan verse de los tipos de trfico estndar de Internet. Adems no se enruta adecuadamente el trfico IPSec destinado al mdulo de VPN y de acceso remoto. En el caso de la VPN no se conoce la direccin IP del sistema entrante, por lo que los filtros slo pueden ser especficos de los pares del extremo con los que se comunican los usuarios remotos.

1.3 ANLSIS DE REQUERIMIENTOS DE COMUNICACIN DE VOZ SOBRE IP.


El anlisis se basar en el estudio del trfico, funcionalidad y seguridad. Esto se lo realizar mediante la aplicacin de una encuesta. Se analizar la disponibilidad del servicio telefnico para personal interno de la planta matriz de la empresa en horario de oficina y el trfico generado con el uso de las aplicaciones. Esto permitir determinar en qu horario se produce mayor afluencia de llamadas y cuando se genera mayor trfico en la red por uso de aplicaciones. Los requerimientos de seguridad se los realizarn por perfiles de usuario dependiendo las necesidades de confidencialidad, disponibilidad e integridad en la comunicacin.

25 25

Para determinar los servicios a implementarse, se escogern dependiendo de las necesidades de los encuestados y los resultados nos permitirn as evaluar el nivel de servicio y la acogida que estos tendrn por parte del usuario. METODOLOGA. Los temas a tratarse para la realizacin de la encuesta son: tipo de estudio, poblacin, muestra y recogida de datos. Tipo de estudio. Las variables para el estudio son clasificadas de la siguiente forma: Uso de aplicaciones internas de la empresa. QoS mediante mtricas de rendimiento, disponibilidad y seguridad. Disponibilidad de servicios de telefona IP. Seguridad sobre los servicios de telefona IP Poblacin. Los usuarios promedio que van a ser habilitados para la encuesta son 50. Estos usuarios constituyen personal de la planta matriz de la empresa. Muestra. La poblacin se tipific para los usuarios internos de la planta matriz, por lo que el nivel de funcionalidad se lo considera dentro de un grupo nico. La definicin de la muestra entonces se la explica mediante la siguiente frmula:

26 26

Parmetro N

Descripcin Tamao de la poblacin (Nmero de personas posiblemente encuestadas)

Constante dependiente del nivel de confianza que se asigne. Nivel de confianza en que indique la probabilidad % con resultados verdaderos.

Error muestral deseado (Diferencia entre los resultados de la poblacin total y la muestra escogida para la prueba)

p q n

Poblacin con la caracterstica de estudio. (Supuesto de p=q=0.5) Poblacin que no posee la caracterstica de estudio (1-p) Tamao de la muestra (Nmero de encuestas que se va a realizar) Tabla 21: Parmetros para determinar el tamao de la muestra.

Estableciendo el porcentaje de confianza = 95%, margen de error e = 0.1, variabilidad positiva (p) y variabilidad negativa (q) de p = q = 0,5. Mediante la utilizacin de la frmula anteriormente citada, se muestra el clculo de la poblacin a ser encuestada: Estrato Clasificacin Gerentes Personal Secretarias interno Tcnicos Personal de Operaciones N 8 5 5 k e p q n 7 5 5

1.96 0.95 0.1 0.5 0.5 1.96 0.95 0.1 0.5 0.5 1.96 0.95 0.1 0.5 0.5

50 1.96 0.95 0.1 0.5 0.5 33

Tabla 22: Estimacin del tamao de la muestra.

MODELO DE LA ENCUESTA. A continuacin se presenta la encuesta que nos permitir determinar los requerimientos para la implementacin de una red de VoIP en la empresa. El diseo de la encuesta aplicada a la muestra se encuentra en el Anexo 2. sta se encuentra estructurada con preguntas cerradas dividas en:

27 27

Trfico. Determinacin del tipo de usuario. El objetivo es conocer a qu estrato de la poblacin pertenece ese usuario y si este dispone de conocimientos tcnicos o no para de esa forma poder dar un tratamiento adecuado a la informacin. Trfico de datos en la red. Grado de uso de las aplicaciones. El objetivo es conocer el trfico de red que se produce por un determinado usuario al acceder a las aplicaciones. Trfico telefnico. Grado de uso del telfono entre departamentos. El objetivo es conocer el trfico telefnico que es producido por un usuario al comunicarse con los dems departamentos. Determinacin de servicios. Disponibilidad de servicios y servicios necesarios adicionales. El objetivo es conocer cmo afectara la falla del servicio telefnico y que servicios mejoraran las actividades de los usuarios. Seguridad. El objetivo es conocer la medida en que los usuarios necesitan que sus conversaciones o video llamadas sean confidenciales. Roles dentro de la empresa. Con la ayuda de la encuesta se puede tipificar el rol que desempea el usuario en la empresa. As entonces se podr obtener un porcentaje de cada rea en que los usuarios utilizan una extensin telefnica. Adems esto nos ayudar a identificar el personal que tenga nociones tcnicas en el rea de la informtica. Para facilitar el estudio hemos categorizado a los usuarios como Gerentes, Secretarias, Tcnicos y Personal de Operaciones.

28 28

Poblacin
Gerencias
14% 10% 10% 66%

Secretarias

Tcnicos

Personal de operaciones

Figura 3: Poblacin encuesta en la Planta matriz de la empresa.

El grupo ms representativo en la empresa y que fue encuestado para el anlisis de requerimientos, constituye el personal de operaciones con un 66%. Las gerencias estn representadas por un 14%. Finalmente la poblacin entre tcnicos y secretarias ocupan el 10% cada uno. Segn la encuesta realizada el 65% del personal de operaciones y que no posee una extensin telefnica, la necesita para la realizacin de sus actividades. Gerentes, tcnicos y secretarias se tienen cubiertos el nmero de extensiones necesarias para los miembros que forman parte de esa poblacin.

29 29

Trfico en la red de datos producido por uso de aplicaciones. Para esta seccin del anlisis se tom en cuenta el uso de las aplicaciones de la empresa. Las aplicaciones generan trfico que se canalizar a travs de la red de la empresa y a travs de esto se lograr conocer el porcentaje de uso de las aplicaciones que funcionan sobre la red por parte de los usuarios.

Trfico promedio generado en la red por las aplicaciones de la empresa.


100% 90% 80% 70% 60% 50% 40% 21,667% 30% 16,667% 11,667% 8,333% 10,000% 20% 11,667% 6,667% 8,333% 5,000% 10% ,000% 0%

Departamentos

Figura 4: Trfico promedio de red generado por el uso de las aplicaciones.

El departamento de RRHH genera el 21,67% de trfico en la red mediante la utilizacin de las aplicaciones Squarenet y SAIW. Sistemas un 16,67% mediante el uso de las aplicaciones Squarenet, SGA2000 y SAIW. Este departamento genera ese trfico debido a que proporciona el soporte de las aplicaciones a todos los usuarios de las mismas. La Gerencia genera el 11,67% con el uso de las aplicaciones Squarenet, SGA2000 y SAIW. Crdito y Cobranzas genera el 10% con el uso de las aplicaciones SGA2000 y SAIW. La Bodega genera el 8,33% con el uso de SAIW. Ventas con el 8,33%, Importaciones con el 6,67% e investigacin y desarrollo con el 5% con el uso de las aplicaciones SGA2000 y SAIW.

30 30

Esta informacin nos permitir en el diseo de la red integrada de voz y datos del para acondicionarlo de acuerdo a lo que actualmente posee la red. Los resultados obtenidos adems permitirn identificar las aplicaciones necesarias para la implementacin de VoIP. Trfico telefnico producido por la comunicacin entre departamentos. Esta seccin nos permitir conocer el promedio del trfico telefnico que se genera mensualmente entre los departamentos de la empresa. Se realiz el clculo en base a las llamadas salientes ya que este es el trfico generado por cada departamento.

Trfico telefnico producido entre los Gerencia departamentos


Bodega 4% 6% 6% 4% 10% Sistemas 18% 15% 6% 8% 6% 17% Finanzas Marketing Contabilidad Importaciones Recursos humanos Produccin Crdito y Cobranzas Ventas

Figura 5: Trfico telefnico promedio mensual producido por departamento. El uso del servicio telefnico se lo realiza en un promedio de 5 llamadas por extensin en el periodo de una hora. Siendo as el departamento de ventas y la bodega con un 17% y 18% respectivamente quienes consumen el servicio telefnico con mayor frecuencia al realizar llamadas hacia los dems departamentos. El conocimiento del porcentaje de consumo por las llamadas entre extensiones nos permitir adecuar los requerimientos y priorizar el trfico de telefona.

31 31

Determinacin de Servicios de VoIP. Esta seccin nos permitir conocer las necesidades de los usuarios ante el uso del servicio telefnico y los posibles servicios de VoIP a ser implementados para satisfacer esas necesidades. De la encuesta se obtuvo como resultado los siguientes porcentajes con respecto a los requerimientos de servicios de VoIP:

Promedio de Servicios de VoIP requeridos por los usuarios


13% 16% 33% 13% 14% 11%

Conferencia Telefnica Buzn de voz Contestador de llamadas Identificador de llamadas Llamada en espera

Figura 6: Promedio de servicios de VoIP requeridos por los usuarios.

Los requerimientos en orden de importanicia para los usuarios son los siguientes: Buzn de voz Directorio, Identificador de llamadas Follow me Conferencia Telefnica Llamada en espera El servicio ms importante y requerido por los usuarios despus del de telefona, lo constituye el buzn de voz. Este servicio es aplicable con la implementacin de VoIP y estar disponible para todos los usuarios. El resto de servicios que se propusieron como parte de los requerimientos a los usuarios tienen una demanda de entre el 10 al 16%. Estos igualmente pueden estar disponibles a los usuarios mediante VoIP.

32 32

ANLISIS DE REQUERIMIENTOS DE SEGURIDAD.


Para los requerimientos de esta seccin se toma en cuenta la confidencialidad de llamadas que se encuentra como parte de la encuesta realizada a los usuarios del sistema telefnico y los requerimientos de administracin de llamadas solicitado por parte del departamento de sistemas. Los requerimientos de administracin nacen con el fin de que grupos de usuarios tengan privilegios sobre las llamadas que realizan ya sea dentro o hacia fuera de la empresa dependiendo el perfil del mismo. SEGURIDAD EN LLAMADAS. Esta seccin fue obtenida por medio del ltimo punto de la encuesta. Mediante esto podremos conocer en que porcentaje los encuestados necesitan que sus conversaciones telefnicas y conferencias sean confidenciales.

Confidencialidad Promedio en llamadas y conferencias de los encuestados


24%

Confidencialidad telefnica
76%

No opina

Figura 7: Confidencialidad promedio requerida por usuarios en llamadas y conferencias.

Del total de los encuestados, un 76% concideran que deben ser confidenciales las llamadas y conferencias telefonicas y el 24% no manifestaron su opinion al respecto. Con la ayuda de estos resultados se podr establecer la seguridad a ser diseada y de esa forma cumplir con las seguridad de los usuarios. espectativas de

El departamento de sistemas requiere adems, obtener seguridad por medio de

33 33

contraseas en los equipos finales (telfonos IP o softphones). Esta es una funcin que puede ser implementada en el servidor IP-PBX por lo que esta funcin sera aplicada a cada extensin de la empresa al momento de ser creada.

34 34

Para este anlisis se toman en cuenta los requerimientos de la red, usuarios y aplicaciones que fueron analizados anteriormente. En la Tabla 37 se marcan las caractersticas que cumplen cada uno de los diseos propuestos para la red de VoIP de acuerdo a AVVID12 de CISCO.

DISEO CENTRALIZADO ESPECIFICACIONES AVVID Jerarqua Modularidad Cableado Compatibilidad con el modelo OSI Capa de Aplicacin Capa de Presentacin Capa de Sesin Capa de Transporte Capa de Red Capa de Enlace Capa Fsica QoS Resolucin de Latencia Resolucin de Jitter Resolucin de eco Resolucin de retardos RSVP MPLS DiffServ SBM Escalabilidad de la arquitectura Escalabilidad
12

DISEO HBRIDO CENTRALIZADO

X X

X X

X X X X X X X X X X X X X X X X X X X

X X X X X X X X X X X X X X X X X X X

Arquitectura de Voz, Video y Datos

35 35

COSTOS DE LA ARQUITECTURA Costo APLICACIONES PARA LOS USUARIOS Llamadas internas de la empresa Llamadas locales Llamadas a celular Buzn de mensajes Mensajera unificada Transferencia de llamadas X X X X X X X X X X X X X

ESPECIFICACIONES DE EQUIPOS Gateway (funcionalidad y seguridad) Central IP (funcionalidad y seguridad) Telfonos IP (funcionalidad y seguridad) X X X X X X

Tabla 37: Diseo de red de VoIP vs. Especificaciones de la empresa.

El costo radica la diferencia entre escoger el diseo centralizado y el hbrido. Aunque ambos diseos son muy similares, el centralizado nicamente se limita al uso de la central IP mientras que el hbrido permite utilizar la infraestructura telefnica existente (uso de PBX) y agregar lo necesario en la red para implementar la nueva red de VoIP. El cableado actual en la empresa se renueva cada que la empresa lo necesita, sin embargo no cumple con las mejores prcticas para implementar una red de VoIP. Es por ello que el cableado no se cita en la tabla ya que no se tienen las garantas de que funcione totalmente la red de VoIP. La central IP en el diseo hbrido constituye un diseo que permite la utilizacin de la central que actualmente se dispone en la empresa. As se obtendra disponibilidad del servicio telefnico an cuando cualquiera de los 2 sistemas fallara. Adems se puede proporcionar un nmero mayor de extensiones cuando la empresa crezca y la PBX no permita abastecer las suficientes extensiones para los usuarios.

ESPECIFICACIONES DEL DISEO. El diseo seleccionado y que se apega a los requerimientos estudiados para la empresa es el diseo centralizado hbrido. Este diseo permitir utilizar la arquitectura de red que posee la empresa y agregar la central IP sin ningn problema. Para este diseo se utiliza un Gateway de voz que se conectar al PBX y al Internet. Esto se debe a que este diseo permite la utilizacin paralela de la central PBX que actualmente se utiliza en la empresa. Adems deja abierta la posibilidad de incorporar interfaces FXO para el uso de bases celulares de cualquier operador. Este diseo inicialmente abarca el nmero de usuarios que fueron encuestados para el levantamiento de requerimientos. Para el diseo hbrido se considera la utilizacin de una central IP que permitir la realizacin de llamadas entre los usuarios dependiendo los permisos

considerados por el administrador para dichos usuarios. En cuanto al plan de marcacin, se lo considerar dentro de la implementacin de la central telefnica y ser detallado despues. GATEWAY DE VOZ. Para la implementacin de la solucin de VoIP en la empresa se necesita adquirir un Gateway de voz. Este Gateway nos permitir implementar el diseo hbrido ya que maneja los protocolos usados para telefona IP tales como SIP y H.323. Este dispositivo constituye un punto clave para la implementacin de VoIP sobre la red de la empresa. Sin este dispositivo no se podra implementar el diseo centralizado hbrido. El uso del Gateway permite la implementacin de redes de VoIP y a la vez implementacin de la seguridad propuesta en el diseo de seguridad.

PRESUPUESTO REFERENCIAL DE IMPLEMENTACIN Y OPERACIN DE LA RED INTEGRADA DE VOZ Y DATOS.


Siguiendo el diseo de red establecido en el punto anterior, se procede a establecer un presupuesto referencial basado en costos actuales. Estos presupuestos darn una idea de la inversin necesaria, estableciendo costos de los dispositivos con los cuales la empresa podr empezar a brindar el servicio de telefona y dems servicios definidos anteriormente. COTIZACIONES. Las cotizaciones de dispositivos fueron obtenidas en el mes de diciembre con las siguientes empresas: VOCIS, ONLINE ESCUADOR y PALO SANTO que se encuentran dedicadas al negocio de VoIP. Voicis. La propuesta de VOCIS que se apega a los requerimientos del proyecto se cotizo en base a lo siguiente:

PROPUESTA VOCIS Servidor y Tarjetas Servidor HP ML110 G6 Tarjeta Openvox A1200P 12 lneas Telfonos y Gateways 10 Telfonos IP Grandstream BT200 Gateway Grandstream GXW4024 24 extensions analogical Servicios capacitacin a usuarios Configuracin e Instalacin del sistema 4 rutas, 50 extensiones, 12 troncales TOTAL Tabla 38: Cotizacin con el proveedor VOCIS.

PRECIOS 950.00 760.00 890.00

860.00

200,00 750.00

$ 4232

Online Ecuador. La empresa Online del Ecuador en base a los requerimientos nos plantea las siguientes cotizaciones:

PROPUESTA 1 ONLINE ECUADOR MODELO ONLINE-450 200 extensiones. 4 lneas telefnicas anlogas (expandibles). Incluye configuracin bsica de 5 telfonos de voz. Configuracin bsica de las extensiones. IVR digital, Correo de Voz, Grabacin de llamadas. Clave de seguridad para marcado. Control de tiempo de llamado. Fax virtual, Desviacin de llamada, Registro de llamadas. Colas de llamadas. Monitoreo de llamadas. Msica en espera. Capacitacin TOTAL Tabla 39: Propuesta 1 Online Ecuador

PRECIOS 2850,00

700,00

500,00 $ 4050 + IVA

PROPUESTA 2 ONLINE ECUADOR MODELO ONLINE-850 200 extensiones. 8 lneas telefnicas anlogas (expandibles). Incluye configuracin bsica de 5 telfonos de voz. Configuracin bsica de las extensiones. IVR digital, Correo de Voz, Grabacin de llamadas. Clave de seguridad para marcado. Control de tiempo de llamado. Fax virtual, Desviacin de llamada, Registro de llamadas. Colas de llamadas. Monitoreo de llamadas. Msica en espera. Capacitacin TOTAL Tabla 40: Propuesta 2 Online Ecuador.

PRECIOS 3350,00

700

500,00 $ 4550 + IVA

PaloSanto Solutions. La empresa Palo Santo propuso la siguiente solucin: PROPUESTA PALOSANTO SOLUTIONS ELASTIX APPLIANCE ELX-025 Tarjeta Openvox de 12 FXO 10 telfonos Yealink T20 Configuracin: Todos los servicios propuestos por Elastix Soporte remoto va Chat. Capacitacin al administrador de la central TOTAL Tabla 41: Propuesta PaloSanto Solutions. 3672,68 1250,00 520,00 PRECIOS 1.902,68

ANLISIS DE COSTOS. En esta seccin se realiza una comparativa de las propuestas hechas por empresas proveedoras de soluciones VoIP especificadas. En este anlisis se tom en cuenta las necesidades de la empresa definidas en el factor econmico. EMPRESA PROPUESTA VOCIS PROPUESTA Online 1 Cumple con todos los servicios. PROPUESTA Online 2 PROPUESTA PaloSanto 4550,00 + IVA 3672,68 + IVA SERVICIOS COSTO 4232.00 + IVA 4050,00 + IVA

Tabla 42: Comparacin de las propuestas de soluciones VoIP tomando como referencia servicios y costos.

Todas las soluciones empresariales de VoIP presentadas en la Tabla 42, proporcionan los servicios requeridos por la empresa. Segn esto el factor por el cual se puede evaluar y determinar la propuesta ms conveniente es el factor econmico. Segn la Tabla 41, propuesta hecha por PaloSanto Solutions con el PBX ELASTIX APPLIANCE ELX-025 es la que ms le conviene a la empresa. Cabe destacar que los precios pueden dependiendo el uso de hardware o software con respecto a dispositivos finales (Telfonos IP o Softphones). Adems los precios que se incluyen es estas propuestas son nicamente para VoIP asumiendo que la red tiene la arquitectura fsica y de seguridad necesarias para implementar la solucin.

CONCLUSIONES.
Con MSAT se detectaron riesgos potenciales a nivel de infraestructura, aplicaciones, operaciones y personal. Estos provocan que la red sea vulnerable a ataques sobre las reas antes mencionadas, que podran paralizar las actividades de la misma. A partir de este anlisis se obtuvieron las pautas para poder disear una red que minimice los riesgos encontrados en cada una de las reas analizadas. Con la arquitectura SAFE se realiz el anlisis de la situacin actual de la red TATA. Mediante este anlisis se determin que para que puedan

converger voz y datos eficientemente, se deben cambiar los dispositivos de interconexin segn el Anlisis de la situacin actual de comunicaciones Tambin se determin que la red debe ser disea en mdulos para la mejorar su administracin. Con la ayuda de la encuesta realizada a los usuarios se determinaron los servicios de VoIP que requiere la empresa y gracias al anlisis de presupuestos realizado con empresas nacionales proveedoras de tecnologa VoIP, se determin que el paquete de comunicaciones unificadas Elastix es la mejor opcin que permite implementar los servicios de VoIP requeridos. Con la ayuda del estndar IEEE 829 obtuvimos un marco de referencia para la realizacin de las pruebas de funcionamiento de los servicios implementados en el prototipo. Una vez realizadas las pruebas se obtuvieron los resultados esperados sobre cada uno de los servicios implementados, por lo que se comprueba que con la utilizacin de Elastix se puede cumplir con los requerimientos de comunicaciones de la empresa TATA.

RECOMENDACIONES.
Se recomienda tomar en cuenta las prcticas implementadas en el diseo para minimizar los riesgos que actualmente posee la empresa. Principalmente debe hacerce enfacis en la infraestructura de red ya que de las areas que se analizaron, es la que ms deficiencias posee y que se encuentra expuesta a los riesgos detectados en el anlisis de riesgos. Realizado esto, se podr

obtener un equilibrio adecuado entre el perfil de riesgos y el ndice de defensa en profundidad en el rea de infraestructura. Se recomienda la adquisicin de los dispositivos necesarios, establecidos en el anlisis hecho en el Diseo de la red integrada de voz y datos. Estos dispositivos estructurados correctamente como se muestra en l diseo de la red fsica y con la correcta configuracin tal como se explica en el diseo de la red lgica, dar como resultado una de red escalable, segura y eficiente generando ganancia tanto tecnolgica como econmica a corto y largo plazo. Dado que el diseo de este proyecto fue realizado en base a requerimientos de la planta matriz de empresa, se recomienda que la solucin de VoIP se implemente a nivel de la planta y las sucursales. Esto generara ahorros significativos con respecto a llamadas telefnicas y permitir utilizar de mejor forma la VPN que actualmente existe entre la matriz y las sucursales. Debido a que la tendencia en internet es la migracin de IPv4 a IPng, es recomendable que se implemente en la empresa, la solucin que se propone en el proyecto con esta versin de protocolo IP. Esto se debe a que este protocolo permite obtener mayores beneficios con respecto a VoIP y otras tecnologas. Cabe mencionar que los estndares que se usaron en el diseo de este proyecto permiten la implementacin de IPng sin problemas

BIBLIOGRAFA.
[1] CERN C., Erick; GMEZ C., Boris, DISEO DE UNA RED DE DATOS TCP/IP BASADA EN PLC PARA UNA URBANIZACIN RESIDENCIAL Ph. D. Enrique Mafla, Febrero 9, 2009. [2] ARMIJOS Patricia, CAMPOVERDE Mariuxi. ANLISIS Y DISEO DE UNA RED PARA LA INTEGRACIN DE LOS SISTEMAS DE VOZ Y DATOS EN EL H. CONGRESO NACIONAL. Msc. Mara Soledad Jimnez Quito, Noviembre 2005. [3] ALVARADO Luis, GUACHAMN William DISEO DE UNA RED INTEGRADA DE VOZ Y DATOS PARA UNA INSTITUCIN FINANCIERA. Ing. Edgar Torres Quito, Noviembre 2005 [4] Cruz Carlos, Hidalgo Marco DISEO DE SERVICIO DE VOZ SOBRE IP PARA REDES PRIVADAS MULTIPUNTO. Ing. William Andrade Quito, Agosto 2005

LIBROS
[5 ] CISCO, SAFE Reference Guide, Julio 8, 2010 [6] CISCO, AVVID Network Infrestructure IP Multicast Design, Marzo, 2003. [7]BARRIOS DUEAS, Joel, Implementacin de Servidores con GNU/LINUX, Septiembre 10, 2009. [8] LANDIVAR, Edgar, Comunicaciones unificadas con Elastix, 2da Edicin, 2009. [9 ] PALOSANTO, Elastix Installation v.1.3.2, Junio, 2009

INTERNET
[10] http://technet.microsoft.com/es-es/security/cc185712.aspx [11] http://www.elastix.org/es/informacion-del-producto/caracterisiticas.html [12] http://www.elastix.org/es/informacion-del-producto/manuales-libros.html [13] http://www.elastixconnection.com/downloads/elastix_without_tears.pdf [14] http://store.palosanto.com/index.php/appliances.html [15] http://www.vocis.ec