Pruebas y resultados en servidor de producción

Luego de haber realizado todas las configuraciones y pruebas necesarias en el servidor de prueba, se pasa a realizar estas mismas en el servidor de correo electrónico de la Universidad del Cauca (afrodita.unicauca.edu.co). Para verificar que este servidor está funcionando correctamente de acuerdo a las configuraciones de autenticación y cifrado efectuadas, se realizan algunas pruebas de envío de mensajes de correo para observar y analizar el comportamiento de este servidor. Las pruebas se llevaron a cabo desde consola y utilizando el cliente de correo Outlook.

3.3.2.1 Pruebas con telnet

Las primeras pruebas que se realizaron para observar como se encuentra funcionando el servidor Afrodita, se hicieron mediante una conexión por Telnet a este servidor. Se utilizaron las cuentas de usuario [email protected] y [email protected].

85

 Prueba 1: intento de envío de correo sin autenticarse

En esta prueba se realiza un intento de envío de correo desde una cuenta de Unicauca hacia una cuenta de Hotmail, en la Figura 3.40 se observa de forma clara este procedimiento.

Figura 3.40 Intento de envío de correo sin autenticarse

En la figura anterior se observa que el envío de correo se intenta realizar sin antes haber realizado el proceso de autenticación, por lo tanto no se puede enviar el mensaje, mostrando un anuncio de acceso denegado “Relay access denied”.

 Prueba 2: envío de correo con autenticación

Esta prueba se realizó enviando un mensaje de correo desde una cuenta de Unicauca hacia un usuario de Hotmail. Para esta prueba se realiza el proceso de autenticación antes de enviar el mensaje por parte del usuario remitente, por lo tanto la entrega del mensaje se realiza de forma satisfactoria. En la Figura 3.41 se observa este procedimiento.

86 Figura 3.41 Envío de correo con autenticación

Antes de enviar el mensaje, se realiza el proceso de autenticación ingresando los datos de usuario de forma codificada (nombre de usuario y contraseña) a través del método de codificación base64, esto es para que la información de usuario no se haga visible.

La codificación del nombre de usuario y contraseña se realiza con el siguiente comando:

perl –MMIME::Base64 –e ‘print encode_base64(“palabra a cifrar”)’

En la Figura 4.42 se puede observar este proceso de codificación.

87 3.3.2.2 Pruebas con cliente de correo

El cliente utilizado para las pruebas de envío de mensajes fue Outlook. Este se configuró para administrar la cuenta [email protected] para realizar envío de mensajes a la cuenta [email protected], a través del servidor afrodita.unicauca.edu.co.

 Prueba 1: con solicitud de autenticación - sin cifrado

Para esta prueba, Outlook se configuro de tal manera que solicite autenticación, pero sin conexión cifrada mediante TLS.

En la Figura 3.43 se observa la ventana de envío de mensajes del cliente Outlook.

Figura 3.43 Envío de correo con solicitud de autenticación - sin cifrado

Al momento de enviar el mensaje, el sistema solicita el ingreso de la información de autenticación de usuario, mostrando la ventana de la Figura 3.44.

88 Figura 3.44 Solicitud de autenticación - sin cifrado

Para verificar que el mensaje fue enviado satisfactoriamente, la Figura 3.45 muestra que el mensaje quedo en la carpeta de elementos enviados por parte del usuario.

Figura 3.45 Mensaje enviado con solicitud de autenticación - sin cifrado

También se verifica en la bandeja de entrada del destinatario, como se observa en la Figura 3.46.

89 Figura 3.46 Mensaje recibido con solicitud de autenticación - sin cifrado

Se utilizó Wireshark para observar como se lleva a cabo todo este proceso, como se muestra en la Figura 3.47.

Figura 3.47 Análisis con Wireshark con solicitud de autenticación - sin cifrado

Como se configuró para que la comunicación no fuera cifrada, esta imagen permite observar el proceso de autenticación y del envío del mensaje. Se observa el usuario remitente y el destinatario, también se observa el asunto del mensaje enviado.

 Prueba 2: cliente sin solicitud de autenticación

Para esta prueba se configuró Outlook para que no solicite autenticación al momento de enviar el mensaje, como se ve en la Figura 3.48.

90 Figura 3.48 Cliente sin solicitud de autenticación

La Figura 3.49 muestra la ventana para realizar el envío del mensaje.

91 Como el servidor Afrodita ya esta configurado para solicitar los datos de autenticación, la Figura 3.50 muestra que no se puede enviar el mensaje ya que no se tiene activada la solicitud de autenticación en el cliente de correo. El sistema retorna un mensaje de acceso denegado para la entrega de este mensaje.

Figura 3.50 Mensaje sin entregar sin solicitud de autenticación

 Prueba 3: con solicitud de autenticación y cifrado

Esta prueba se realizó para observar como es el envío de los mensajes cuando se tiene activada la solicitud de autenticación y el cifrado con TLS en el cliente.

92 Figura 3.51 Envío de correo con solicitud de autenticación y cifrado

La Figura 3.52 muestra la ventana para ingresar la información de autenticación al momento de enviar el mensaje.

Figura 3.52 Solicitud de autenticación - con solicitud de autenticación y cifrado

Para verificar que el mensaje llego satisfactoriamente, se ingresa a la cuenta de usuario del destinatario como se ve en la Figura 3.53.

93 Figura 3.53 Mensaje recibido con solicitud de autenticación y cifrado

A través de Wireshark, en la Figura 3.54 se observa el comportamiento de la comunicación del envío del mensaje. No se evidencia los datos de autenticación de usuario ni los datos del mensaje ya que se encuentra activado el cifrado. Se evidencia el uso de TLS.

Figura 3.54 Análisis con Wireshark - con solicitud de autenticación y cifrado

Luego de realizar la configuración de autenticación para el servicio de correo de la Institución y verificar el funcionamiento por medio de pruebas a través de telnet y con clientes de correo, se realizaron pruebas de rechazo por fallo de autenticación en las que se muestra el intento de conexión de otros sistemas hacia el dominio de la Universidad del Cauca.

94 La Figura 3.55 muestra el archivo de registro del servidor de correo afrodita en donde se observa el rechazo por fallo de autenticación de un sistema que intentó conectarse con el dominio de la Institución.

Figura 3.55 Archivo de registro de servidor Afrodita

En este archivo se observa el trabajo que el servidor realiza al rechazar una conexión por fallo de la autenticación, como se muestra en la Figura 3.56 el sistema rechaza la conexión del sistema que se ha identificado como hp1.rainbownet.pl, ya que este ha fallado al momento de autenticarse.

Figura 3.56 Rechazo de conexión por fallo de autenticación

Para verificar que el sistema está solicitando el proceso de autenticación y observar los rechazos por fallo de la misma, se tomó el registro del servidor durante un periodo de quince (15) días y se realizó una grafica con el número de conexiones rechazadas por día durante este periodo de tiempo. La Figura 3.57 muestra la cantidad de rechazos ejecutados por el servidor afrodita por fallo en la autenticación, realizadas entre las fechas del 16 y 30 de Septiembre. Se puede observar que el método de autenticación ha sido efectivo en el rechazo de conexiones no autorizadas.

95 Figura 3.57 Rechazos en periodo de tiempo de 15 días

La implementación de la autenticación en el servicio de correo incrementa los niveles de seguridad, de tal forma que no se permiten accesos no autorizados al servidor de correo de la Universidad del Cauca, de esta manera se reducirán el número de mensajes spam que pueden ser transmitidos a través del dominio de la Institución hacia otros dominios.

Con la puesta en funcionamiento de la autenticación de usuario en el sistema de correo en el marco de este trabajo de grado, la División de Gestión de Tecnologías de Información y Comunicaciones (TIC), emitió un documento público dirigido a la comunidad universitaria, informando la realización de algunos cambios en el servicio de correo de la Institución y refiriéndose a que los usuarios que utilizan clientes de correo deben habilitar la autenticación para el servidor de salida. La Figura 3.58 muestra el comunicado que fue ubicado en el portal web de la Universidad del Cauca.

1 2 4 8 16 32 64 128

# Rechazos

96 Figura 3.58 Comunicado para configuración de clientes de correo