Vaca Nuñez

UNIVERSIDAD AUTONOMA
GABRIEL RENE MORENO

FACULTAD DE INGENIERIA EN CIENCIAS
DE LA COMPUTACION Y TELECOMUNICACIONES
Proyecto
Red VPN para la consultora XTT SRL.
CARRERA : ING. EN REDES Y TELECOMUNICACIONES.

MATERIA : TALLER DE GRADO I
INTEGRANTES:
Juan Pablo Gutirrez
Silvia Justiniano Vaca
FECHA : 23/11/2013
Santa Cruz Bolivia

Red VPN para la consultora AT & Consult
ndice
INTRODUCCIN ........................................................................................................................................... 8
CAPITULO 1 .................................................................................................................................................. 9
INTRODUCIN AL PROYECTO ....................................................................................................................... 9
1.1.- DEFINICIN DEL PROBLEMA ................................................................................................................ 9
1.1.1.- Situacin problemtica ..................................................................................................................... 9
1.1.2.- Situacin deseada ............................................................................................................................. 9
1.1.3.- Objeto de la investigacin ............................................................................................................... 10
1.2.- OBJETIVOS ......................................................................................................................................... 11
1.2.1.-Objetivo General.............................................................................................................................. 11
1.2.2.- Objetivo especficos ........................................................................................................................ 11
1.3.- METODOLOGA .................................................................................................................................. 12
1.4.- ALCANCE ............................................................................................................................................ 12
1.5.- JUSTIFICACIN ................................................................................................................................... 13
CAPITULO 2 ................................................................................................................................................ 14
EMPESA XTT .............................................................................................................................................. 14
2.1.- CONSULTORA XTT. ............................................................................................................................. 14
2.1.1.- Misin ............................................................................................................................................. 14
2.1.2.- Visin .............................................................................................................................................. 15
2.2.- Estructura Organizacional .................................................................................................................. 15
2.3.- Ubicacin ........................................................................................................................................... 18
CAPITULO 3 ................................................................................................................................................ 19
VPN Y ENCRIPTACIN ................................................................................................................................ 19
3.1.- FUNCIONAMIENTO DE LAS VPNS ....................................................................................................... 19
3.1.1.- Encriptacin con Clave Secreta ....................................................................................................... 20
Pgina 1
3.1.2.- Encriptacin de Clave Pblica.......................................................................................................... 20
3.2.- Clasificacin de las VPNs .................................................................................................................... 22
3.2.1.- VPNs Seguras .................................................................................................................................. 22
3.2.2.- VPNs de confianza........................................................................................................................... 22
3.2.3.- VPNs segn su Arquitectura ............................................................................................................ 22
3.2.3.1.- VPNs de Acceso Remotos ............................................................................................................. 23
3.2.3.2.- VPNs Punto a Punto ..................................................................................................................... 23
3.2.3.3.- VPNs Interna ................................................................................................................................ 23
3.3.- VPN IPSec .......................................................................................................................................... 24
3.3.1.- Encapsulated Security Payload (ESP), .............................................................................................. 25
Ilustracin 2 - ............................................................................................................................................. 25
3.3.2.- Authentication Header (AH), ........................................................................................................... 26
Ilustracin 3 - Funcionamiento de una AH (Barrera, 2007). ........................................................................ 26
3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP) ............................................. 27
3.4.- Security Association SA ...................................................................................................................... 27
3.5.- Modo de Transporte .......................................................................................................................... 28
3.6.- Modo Tnel ....................................................................................................................................... 29
3.7.- Configuracin de VPN IPSec ............................................................................................................... 31
3.8.- Filtrado de Paquetes IPSec ................................................................................................................. 33
3.9.- Ventajas y Desventajas de usar IPSec................................................................................................. 33
3.9.1.- Ventajas de IPSec ............................................................................................................................ 33
3.9.2.- Desventajas de IPSec ...................................................................................................................... 34
CAPITULO 4 ................................................................................................................................................ 35
DEFINICIN DE REQUERIMIENTOS ............................................................................................................. 35
4.1.- Identificacin de Requerimientos ...................................................................................................... 35
Pgina 2
4.1.1.- Red de Comunicaciones .................................................................................................................. 35
4.1.2.- Adecuacin de Espacios fsicos ........................................................................................................ 35
4.1.3.- Equipamiento ................................................................................................................................. 35
4.2.- Identificacin de requerimientos de administracin de la red VPN. ................................................... 35
4.3.- Descripcin de Requerimientos. ........................................................................................................ 36
4.3.1.- Calidad de servicio aplicada a la red local y enlace .......................................................................... 36
4.3.2.- Cableado Estructurado .................................................................................................................... 38
4.3.3.- Adecuacin de Espacios fsicos ........................................................................................................ 39
4.3.4.- Equipamiento ................................................................................................................................. 40
CAPITULO 5 ................................................................................................................................................ 41
ANLISIS DE RIESGOS................................................................................................................................. 41
5.1.- Anlisis e Identificacin de Riesgos .................................................................................................... 41
5.1.1.- Riesgos por Amenazas Naturales .................................................................................................... 41
5.1.2.- Riesgos por Factores Tecnolgicos .................................................................................................. 41
5.1.3.- Riesgos por Amenazas en la Organizacin ....................................................................................... 42
5.1.4.- Riesgos por Amenazas a la Infraestructura...................................................................................... 42
5.1.5.- Riesgos por Amenazas Humanas ..................................................................................................... 42
5.1.6.- Riesgos por Amenazas de Ataques Intencionados ........................................................................... 42
5.1.7.- Riesgos por Amenazas Polticas o legales ........................................................................................ 43
5.2.- Valoracin de los Riesgos ................................................................................................................... 43
5.2.1.- Valoracin ....................................................................................................................................... 43
5.2.1.1.- Probabilidad ................................................................................................................................ 43
5.2.1.2.- Impacto ........................................................................................................................................ 43
5.2.1.3.- Riesgo .......................................................................................................................................... 45
5.3.- Tabla de Riesgos Cualitativa ............................................................................................................... 46
Pgina 3
CAPITULO 6 ................................................................................................................................................ 49
DISEO DE LA RED ..................................................................................................................................... 49
6.1.- Diseo de la Red VPN ......................................................................................................................... 49
6.2.- Identificacin de actividades actuales de la Consultora ..................................................................... 49
6.3.- Diseo lgico de la Red VPN .............................................................................................................. 51
6.4.- Diseo fsico de la Red VPN................................................................................................................ 51
CAPITULO 7 ................................................................................................................................................ 52
IMPLEMENTACIN Y CONFIGURACIN ...................................................................................................... 52
7.1.- Implementacin ................................................................................................................................. 52
7.2.- Configuracin de la Red ..................................................................................................................... 52
7.3.- Configuracin del Router MP1800 SERVICE_ISP .............................................................................. 55
7.4.- Configuracin del Router MPSEC 3005 Snt-Cruz. ............................................................................. 56
7.4.- Configuracin del Router MPSEC 3005 La-Paz. ................................................................................ 57
7.5.- Especificaciones de comandos. .......................................................................................................... 58
7.6.- Captura de datos................................................................................................................................ 60
7.7.- Configuracin del sistema de Red. ..................................................................................................... 63
7.7.1.- Configuracin del Servidor DNS. ..................................................................................................... 63
7.7.2.- Configuracin del servidor Active Directory. ................................................................................... 70
7.7.3.- Configuracin de DHCP. .................................................................................................................. 75
CAPITULO 8 ................................................................................................................................................ 77
EVALUACIN ECONMICA......................................................................................................................... 77
8.1.- Justificacin Econmica. .................................................................................................................... 77
8.2.- Costos de Adquisicin de los equipos................................................................................................. 77
8.3.- Costos de licencia de Software .......................................................................................................... 79
8.4.- Costos de la Implementacin ............................................................................................................. 79
Pgina 4
8.5.- Costos Totales .................................................................................................................................... 80
CONCLUSIONES .......................................................................................................................................... 81
9.1.- Conclusin ......................................................................................................................................... 81
RECOMENDACIONES .................................................................................................................................. 82
BIBLIOGRAFA ............................................................................................................................................ 83
ANEXOS ..................................................................................................................................................... 84
Pgina 5
ndice de Ilustraciones
Pgina 6
ndice de Tablas
Tabla 1 Calidad de Servicio ...................................................................................................... 37

Tabla 2 Cableado Estructurado .............................................................................................. 38
Tabla 3 Adecuacin de Espacios Fsicos ............................................................................. 39
Tabla 4 Equipamiento ................................................................................................................ 40
Tabla 5 Tabla de Probabilidad ................................................................................................ 43
Tabla 6 Tabla de Impacto ......................................................................................................... 44
Tabla 7 Tabla de Riesgo ............................................................................................................ 45
Tabla 8 Matriz de Riesgo........................................................................................................... 45
Tabla 9 Identificacin de Activos .......................................................................................... 48
Tabla 10 Costos de Equipos ..................................................................................................... 78
Tabla 11 Costos de Licencias de Software ......................................................................... 79
Tabla 12 Costos de la Implementacion ............................................................................... 79
Tabla 13 Costos Totales. ........................................................................................................... 80
Pgina 7
INTRODUCCIN
Existe una gran diferencia en el acceso e infraestructura de tecnologas de
informacin y comunicacin entre los pases desarrollados y los que estn en va de
desarrollo.
La tecnologa, y como caso particular las redes, pueden considerarse como
herramientas para fortalecer los vnculos internos y externos de las comunidades y
facilitar su acceso a herramientas e informacin, as como abrir espacios de trabajo
para el intercambio de informacin.
La idea de realizar este trabajo surgi en la asignatura de Taller de Grado I para poner
en prctica los conocimientos adquiridos a lo largo de la carrera de Ingeniera en
Redes y Telecomunicaciones.
Tomamos la iniciativa de elaborar una Red Privada Virtual (Virtual Private Network,
VPN) que es una conexin entre dos puntos, que permite una extensin segura de una
red local LAN sobre una red pblica WAN usando como medio la internet, esta medida
surgi con la necesidad que las redes de rea local superen la barrera de lo local
permitiendo la conectividad de personas y oficinas que se encuentran en otros
edificios, ciudades, universidades e incluso pases uniendo as redes LAN separadas
geogrficamente.
La tecnologa de red VPN permite enviar informacin privada de forma segura por
una red pblica. La red privada que se forma con el uso de la VPN enva la
informacin de manera segura entre estas dos ubicaciones o redes que se establece
mediante la creacin de un tnel. Un tnel VPN conecta dos computadoras o redes y
permite transmitir datos a travs de Internet como si los puntos de cada extremo
estuviesen dentro de una misma red. No se trata literalmente de un tnel, sino que es
una conexin protegida mediante la encriptacin de los datos enviados o mediante el
uso de conexiones dedicadas entre ambas redes. Una VPN no es ms que la creacin
en una red pblica de un entorno de carcter confidencial y privado que permitir
trabajar al usuario como si estuviera en su misma red local.
Pgina 8
CAPITULO 1
INTRODUCIN AL PROYECTO
1.1.- DEFINICIN DEL PROBLEMA

El servicio de consultora y asesoramiento tributario que presta la consultora
AT & Consult va cada da en crecida segn datos proporcionados por dicha
consultora en el ltimo trimestre del ao 2012 se dio un incremento de clientes
en un 43% a comparacin de su anterior gestin, debido a esto es que se vieron
en la necesidad de mejorar la seguridad de su actual base de datos.
1.1.1.- Situacin problemtica

Al fundarse la consultora no se lleg a prever su rpido crecimiento y
expansin de la misma, quedando su diseo inicial para la comparticin de
datos y recurso totalmente obsoleto, adems de que la forma de intercambiar
informacin de clientes se hace de una forma bastante rustica e insegura.
1.1.2.- Situacin deseada

Con la Implementacin de una Red VPN se busca que el intercambio de datos
(Planillas de clculo, Datos de los Clientes y Base de datos generadas por los
Pgina 9
Software Da Vinci y Constans) entre las dos sucursales con las que cuenta la
consultora AT & Consult, sea fcilmente accedidas desde cualquier dispositivo
que pertenezca a la Red VPN de la consultora restringiendo de esta manera los
accesos de elementos externos, accediendo nicamente en horarios
establecidos o de oficina.
1.1.3.- Objeto de la investigacin
Describir el objeto un esquema grfico.
Pgina 10
1.2.- OBJETIVOS
1.2.1.-Objetivo General
El Objetivo general es el de disear e implementar una Red VPN para el
intercambio seguro de datos (Planillas de clculo, Datos de los Clientes y
Base de datos generadas por los Software Da Vinci y Constans) que ser
de gran ayuda al momento de reestructurar nuevos formularios y
expedientes, adems que ser indispensable al momento de hacer una
auditoria interna.
1.2.2.- Objetivo especficos
1. Realizar entrevistas al gerente y al personal

administrativo para obtener los requerimientos que se
necesiten para el desarrollo de la red VPN.
2. Realizar un anlisis de todos los requerimientos
obtenidos.
3. Conocer los equipos, hardware y/o software que se usan
en una red VPN (IPSec) para su correcta eleccin de
Equipos.
4. Disear la Red VPN.
5. Realizar un anlisis de riesgos.
6. Anlisis de costos y beneficios de la implementacin de
la Red VPN.
Pgina 11
1.3.- METODOLOGA
La metodologa estar compuesta por 3 fases:
Fase 1 Analizar Requerimientos.
Analizar metas tcnicas, pros y contras.
Estudio sobre los recursos econmicos de la consultora, es decir con
cuanto capital desean apoyar la elaboracin de la red VPN.
Estudiar los planos de los edificios para su correcto cableado
estructurado y ubicacin de dispositivos.
Fase 2 Diseo Fsico de la Red.

Seleccionar tecnologas (Sistemas Operativos y Estndares) y
dispositivos (Router y Switch) que actuaran en el desarrollo de la red.
Verificar si se existe alguna red de cableado estructurado que
podramos utilizar, para de esta manera amortizar costos.
Fase 3 Anlisis de riesgos del Diseo de la Red.

Probar el diseo de la Red VPN.
Documentar el diseo de la Red VPN.
1.4.- ALCANCE
Al implementar una red VPN se quiere proporcionar una conexin segura y
directa entre dos o ms sucursales con las que puedan contar la consultora,
usando como vinculo internet. Mediante el uso especiales de protocolos de
seguridad podemos restringir el acceso y permitir que nicamente los
miembros o personal de AT & Consult puedan acceder a los servicios y
recursos disponibles compartidos de carcter privado de la Consultora.
Con la implementacin de una red VPN se busca crear un tnel virtual entre los
dos extremos de la red privada a travs de una red pblica adems de usar
sistemas de encriptacin y autentificacin que aseguren la confidencialidad e
integridad de los datos transmitidos a travs de esa red pblica.
Pgina 12
1.5.- JUSTIFICACIN
Al ver los altos costos de inversin por parte de las empresas tanto en Hardware
como en Software en servicios de telecomunicaciones que permitan crear redes
de servicios, es que surge la tecnologa de red VPN que permite, mediante una
moderada inversin econmica y utilizando como medio internet la creacin de
redes privadas virtuales, permitiendo as la comunicacin entre las diferentes
instalaciones y personal de la consultora ubicadas geogrficamente distantes.
De esta manera se logra tener un mayor control sobre el flujo de la informacin y

proteger su base de datos de los clientes miembros de AT & Consult.
Pgina 13
CAPITULO 2
EMPESA XTT
2.1.- CONSULTORA XTT.
Bajo la iniciativa visionaria del licenciado Vctor Hugo Justiniano es que nace la
consultora AT & Consult en 1988 con el objetivo de poner a disposicin de las
pequeas, medianas y grandes empresas un servicio de consultora y asesora
de mxima calidad y eficacia que responda a sus necesidades.
Con una dilatada experiencia y especializado en la gestin de todo tipo de

proyectos de consultora de negocio y de empresa familiar as como tambin de
asesora tributaria, legal y laboral, este despacho cuenta con un equipo de
profesionales especialistas en distintas materias que ofrecen una atencin
personalizada y soluciones estratgicas y eficaces con mximas garantas de
xito.
2.1.1.- Misin
La misin de AT & Consult es conseguir la excelencia empresarial de nuestros

clientes ofreciendo una gestin de mxima calidad, prestando un servicio con
valor aadido, brindando un trato personalizado y poniendo a su disposicin a
un equipo de profesionales especializados y con una dilatada experiencia.
Pgina 14
El objetivo prioritario de esta consultora es impulsar el crecimiento

empresarial de nuestros clientes en trminos de negocio y de beneficio.
Para conseguir nuestro propsito, el equipo de profesionales altamente

cualificados de AT & Consult establece una relacin prxima y cercana con sus
clientes en la que la disponibilidad absoluta y una comunicacin permanente y
fluida permiten resolver con eficacia y concisin todo tipo de situaciones,
manteniendo mxima discrecin y confidencialidad en el trato personal y la
informacin tratada.
2.1.2.- Visin
La visin de AT & Consult es convertirse en una consultora de negocio y una
asesora en materia tributaria, legal y laboral de mxima calidad en el servicio,
la gestin y el trato, que sea un referente de profesionalidad y excelencia en su
sector ya no slo en Santa Cruz de la Sierra y La Paz, donde actualmente opera,
sino tambin en el resto del territorio Boliviano.
En AT & Consult centramos todos nuestros esfuerzos en ser fieles a nuestro

ambicioso proyecto de consultora de negocio y asesora empresarial y
trabajamos slida y firmemente para conseguir los objetivos de nuestros
clientes ya que su xito ser nuestro xito.
2.2.- Estructura Organizacional

La Estructura Organizacional de AT & Consult est conformada por tres
niveles jerrquicos.
Nivel I Direccin
Conformado por la gerencia general; siendo el gerente y presidente de
la consultora, responsable de la formulacin de polticas y
estrategias orientadas a asegurar una gestin eficiente y transparente,
Pgina 15
con el propsito de satisfacer las necesidades de nuestros clientes,

apoyndolos en la bsqueda de su ventaja diferencial y xito
empresarial, y agregando valor, para su beneficio
Nivel II Apoyo tcnico Especializado

Conformado por el Asesor Legal y e l Asistente de Administracin el
cual se encarga de los trabajos que se realizan de acuerdo con normas
de auditora generalmente aceptadas y consisten, por consiguiente, en el
examen de los estados contables de un ente con el fin de emitir una
opinin tcnica independiente o dictamen acerca de la razonabilidad de
las cifras que demuestran su patrimonio y composicin de los
resultados a lo largo de un periodo.
Nivel III Descentralizado

Conformado por los auditores de rea que son los encargados de
realizar una atencin personalizada y soluciones estratgicas y eficaces
con mximas garantas de xito.
Organigrama de la Consultora.
Directorio Ejecutivo
Gerente General de Sucursal
Asesor Legal Asistente de Administracin

Gerencia General
Auditores de rea
Pgina 16
Pgina 17
2.3.- Ubicacin
C. Beni Esq. Bolvar, Of. 102 Edif. Libertador.
Tel. / Fax: 3366470
Casilla de Correo: 1579
Email: atconsult_scz@gmail.com.bo
Santa Cruz.
Ilustracin 1 Vista satelital de la Consultora (Google Maps, 2013)
Pgina 18
CAPITULO 3
VPN Y ENCRIPTACIN
3.1.- FUNCIONAMIENTO DE LAS VPNS
La comunicacin entre los dos extremos de la red privada a travs de la red

pblica se hace estableciendo tneles virtuales entre esos dos puntos y usando
sistemas de encriptacin y autentificacin que aseguren la confidencialidad e
integridad de los datos transmitidos a travs de esa red pblica. Debido al uso
de estas redes pblicas, generalmente Internet, es necesario prestar especial
atencin a las cuestiones de seguridad para evitar accesos no deseados.
La tecnologa de tneles (Tunneling) es un modo de envo de datos en el que se

encapsula un tipo de paquetes de datos dentro del paquete de datos propio de
algn protocolo de comunicaciones, y al llegar a su destino, el paquete original
es desempaquetado volviendo as a su estado original.
En el traslado a travs de Internet, los paquetes viajan encriptados, por este
motivo, las tcnicas de autenticacin son esenciales para el correcto
funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que estn
intercambiando informacin con el usuario o dispositivo correcto.
Todas las VPNs usan algn tipo de tecnologa de encriptacin, que empaqueta
los datos en un paquete seguro para su envo por la red pblica.
Pgina 19
La encriptacin hay que considerarla tan esencial como la autenticacin, ya que

permite proteger los datos transportados de poder ser vistos y entendidos en
el viaje de un extremo a otro de la conexin.
Existen dos tipos de tcnicas de encriptacin que se usan en las VPN:
Encriptacin de clave secreta, o privada, y Encriptacin de clave pblica. (Omar
Vidal, 2008)
3.1.1.- Encriptacin con Clave Secreta
En este tipo de encriptacin se utiliza una contrasea secreta conocida por

todos los participantes que van a hacer uso de la informacin encriptado. La
contrasea se utiliza tanto para encriptar como para desencriptar la
informacin. Este tipo de sistema tiene el problema que, al ser compartida por
todos los participantes y debe mantenerse secreta, al ser revelada, tiene que
ser cambiada y distribuida a los participantes, lo que puede crear problemas de
seguridad. (Omar Vidal, 2008)
3.1.2.- Encriptacin de Clave Pblica
Una Encriptacin de clave pblica implica la utilizacin de dos claves, una

pblica y una secreta. La primera es enviada a los dems participantes. Al
encriptar, se usa la clave privada propia y la clave pblica del otro participante
de la conversacin. Al recibir la informacin, sta es desencriptada usando su
propia clave privada y la pblica del generador de la informacin. La gran
desventaja de este tipo de encriptacin es que resulta ser ms lenta que la de
clave secreta.
En las redes virtuales, la encriptacin debe ser realizada en tiempo real, de esta
manera, los flujos de informacin encriptada a travs de una red lo son
Pgina 20
utilizando encriptacin de clave secreta con claves que son vlidas nicamente
para la sesin usada en ese momento. (Omar Vidal, 2008)
Pgina 21
3.2.- Clasificacin de las VPNs
3.2.1.- VPNs Seguras

Emplean protocolos para la creacin de tneles criptogrficos para
proporcionar confidencialidad, autenticacin e integridad de mensajes, adems
de una implementacin compleja que lleva a que algunas de las tecnologas de
VPN sean inseguras. Algunos empleos de esto son las tecnologas (B. Alarcos,
2013):
IPSec
PPTP (Microsoft)
L2TP (Microsoft y CISCO)
3.2.2.- VPNs de confianza

En este tipo de VPNs no emplean protocolos criptogrficos, por la confan en la
capacidad que tiene la red un proveedor para proteger nuestro trfico.
En este tipo de VPNs se encuentran los protocolos tecnologas (B. Alarcos,
2013):
MPLS
L2F (Layer 2 Forwarding) desarrollado por Cisco.
3.2.3.- VPNs segn su Arquitectura

En funcin de las arquitecturas de conexin podemos distinguir tecnologas (B.
Alarcos, 2013):
Acceso remoto
Punto a punto
Interna
Pgina 22
3.2.3.1.- VPNs de Acceso Remotos

Es, quiz, el modelo ms usado actualmente, donde los usuarios o proveedores
que se conectan con la empresa desde sitios remotos (domicilios, hotel,
aviones, etc.) utilizando Internet como vnculo de acceso, se autentican y
consiguen un nivel de acceso similar al que tienen en la red local de la empresa.
Adems permite reemplazar la infraestructura de acceso por marcado (mdem
y lneas telefnicas) tecnologas (B. Alarcos, 2013).
3.2.3.2.- VPNs Punto a Punto

Este tipo de conexin sirve para conectar oficinas remotas con la sede dela
organizacin, el servidor VPN (en la sede principal) acepta las conexiones va
Internet provenientes de los sitios y establece el tnel VPN, donde los
servidores de las sucursales se conectan a Internet utilizando los servicios de
su ISP.
Esto nos permite eliminar el coste de los enlaces punto a punto tradicionales. A
los clientes a veces se les denomina Road Warriors tecnologas (B. Alarcos,
2013)
3.2.3.3.- VPNs Interna

El menos difundido de los tres. Es una variante del tipo acceso remoto pero en
vez de utilizar Internet como medio de conexin emplea la propia LAN. Una red
VPNs Interna nos permite aislar zonas y servicios de la red interna, este
procedimiento es muy empleado para mejorar las prestaciones de seguridad
de las redes WiFi tecnologas (B. Alarcos, 2013).
Pgina 23
3.3.- VPN IPSec

IPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6.
IPSec (de las siglas en ingls Internet Protocol Security) es un conjunto de
estndares abiertos del IETF para incorporar servicios de seguridad en IP y que
responde a la necesidad creciente de garantizar un nivel de seguridad
imprescindible para las comunicaciones entre empresas y comercio
electrnico, de red confidencialidad, integridad y autenticacin
independientemente de cual sea el medio de transporte (Frame Relay, PPP,
xDSL, ATM,). El objetivo para el que fue diseado IPSec fue para las
comunicaciones sobre el protocolo de Internet (IP). IPSec y los protocolos que
implementa se han especificado en numerosos RFCs entre los que se
encuentran 1826, 1827, 2401, 2402, 2406, 2408, 4301 y 4309.
El protocolo IPSec permite definir un tnel entre dos pasarelas. Una pasarela
IPSec consistira normalmente en un router de acceso o un cortafuegos en el
que est implementado el protocolo IPSec. Las pasarelas IPSec estn situadas
entre la red privada del usuario y la red compartida del operador. Adems,
como trabaja a nivel IP, es transparente a la aplicacin, ya que esta no necesita
modificacin alguna, y ni siquiera se entera de la existencia de criptografa
intermedia, a diferencia de protocolos de nivel de transporte, como son los
tneles sobre TCP (SSL, SSH).
IPsec proporciona:
Confidencialidad
Integridad
Autenticacin.
Usando:
Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish).
Algoritmos de hash (MD5, SHA-1).
Tecnologas de clave pblica (RSA).
Certificados digitales.
Pgina 24
IPsec utiliza dos protocolos para la proteccin de los paquetes IP: Cargo de
Seguridad Encapsulado (ESP: Encapsulated Security Payload) y Cabecera de
Autenticacin (AH: Authentication Header). Adems de un protocolo de
seguridad de claves: Intercambio de llaves de internet (Mansilla y Colombres,
2009).
3.3.1.- Encapsulated Security Payload (ESP), que protege los datos del
paquete IP de interferencias de terceros, cifrando el contenido utilizando
algoritmos de criptografa simtrica (como Blowfish, 3DES).
Los distintos tipos de ESP aplicables deben seguir conformar con el RFC2406.
Una cabecera ESP tambin puede proveer autenticacin para el cargo (pero no
la cabecera exterior).
ESP puede proveer autenticacin, integridad, proteccin a la rplica, y
confidencialidad de los datos (asegura todo lo que sigue a la cabecera en el
paquete). La proteccin a la rplica requiere autenticacin e integridad (stas
dos van siempre juntas). La confidencialidad (cifrado) se puede usar con o sin
autenticacin y/o integridad. Del mismo modo, puede usar la autenticacin y/o
la integridad con o sin la confidencialidad.
Ilustracin 2 - Funcionamiento de una ESP (Barrera, 2007).
Pgina 25
3.3.2.- Authentication Header (AH), que protege la cabecera del paquete

IP de interferencias de terceros as como contra la falsificacin (spoofing),
calculando una suma de comprobacin criptogrfica y aplicando a los campos
de cabecera IP una funcin hash segura. Detrs de todo esto va una cabecera
adicional que contiene el hash para permitir la validacin de la informacin que
contiene el paquete.
Hay varios RFCs diferentes que ofrecen una eleccin de algoritmos para AH, sin
embargo todos deben seguir las lneas especificadas en el RFC2402.
AH provee autenticacin, integridad, y proteccin a la rplica (pero no

confidencialidad). Su principal diferencia con ESP es que AH tambin asegura
partes de la cabecera IP del paquete (como las direcciones de origen o destino).
Ilustracin 3 - Funcionamiento de una AH (Barrera, 2007).
Pgina 26
3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP)
Es utilizado por AH y ESP para la administracin de claves. ISAKMP no define

por s mismo los algoritmos de generacin de claves, sino que permite el uso de
distintos tipos de algoritmos, aunque el estndar pide un set mnimo en las
implementaciones. Para el intercambio de claves, se utiliza el protocolo IKE
(Internet Key Exchange), esto se hace por separado para independizar el
mtodo de intercambio de claves del protocolo IPSec. La estandarizacin de
IKE permite la interoperabilidad entre distintos sistemas, la implementacin de
IKE de FreeS/WAN se llama Pluto (Barrera, 2007).
3.4.- Security Association SA

Una Asociacin de Seguridad (SA: Security Association) es un enlace seguro de
IPsec definido por un nico flujo unidireccional de datos desde un nico punto
hasta otro. Consiste en el acuerdo de las dos partes comunicantes en el mtodo
utilizado para la comunicacin segura.
Todo el flujo de trfico sobre un SA se trata del mismo modo. El trfico puede
ser entre dos hosts, entre un host y una pasarela de seguridad (Security
Gateway) o entre dos pasarelas de seguridad.
El establecimiento del tnel IPSec se hace bsicamente en dos fases:

1. IKE - Fase 1: los gateways negocian un canal bidireccional (SA) que se
utilizar para crear los canales de la siguiente fase. Se presentan los
algoritmos de cifrado probables, y las claves de autenticacin para
armar los tneles IPSec.
2. IKE - Fase 2: usando el canal generado en la fase uno, se establece un
par de SAs (unidireccionales, uno para cada sentido) con los
parmetros de refresco de claves, mtodo de cifrado, y el protocolo a
usar: AH o ESP.
Pgina 27
Para comprender cmo funciona el protocolo IKE, debemos conocer los dos
modos de funcionamiento en los que puede trabajar IPSec: Modo de
Transporte y modo de Tnel (Barrera, 2007).
3.5.- Modo de Transporte
En modo transporte, slo la carga til (los datos que se transfieren) del
paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya
que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la
cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas,
ya que eso invalidara el hash. Las capas de transporte y aplicacin estn
siempre aseguradas por un hash, de forma que no pueden ser modificadas de
ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y
UDP). El modo transporte se utiliza para comunicaciones ordenador a
ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida
por RFCs que describen el mecanismo de NAT transversal. En este modo de
funcionamiento de SA, las cabeceras de seguridad se aaden entre la
cabecera de la capa de red IP y la cabecera de transporte (TCP o UDP),
garantizando la seguridad al paquete IP sin cabecera (Barrera, 2007).
Paquete IP en IPSec para Modo Transporte:
Ilustracin 4 Cabeceras de paquetes en modo de transporte de AH y ESP (Barrera, 2007).
Pgina 28
3.6.- Modo Tnel
En modo Tnel el contenido del datagrama AH o ESP es un datagrama IP

completo, incluida la cabecera IP original. As, se toma un datagrama IP al cual
se aade inicialmente una cabecera AH o ESP, posteriormente se aade una
nueva cabecera IP que es la que se utiliza para encaminar los paquetes a travs
de la red. El modo tnel se usa normalmente cuando el destino final de los
datos no coincide con el dispositivo que realiza las funciones IPSec.
En este caso, las cabeceras de seguridad engloban tambin a la cabecera IP
original del paquete IP, teniendo que aadir una nueva cabecera IP que cubre
solamente el salto al otro extremo de la conexin segura (Barrera, 2007).
Paquete IP en IPSec para Modo Tnel:
Ilustracin 5 - Cabeceras de paquetes en modo de tunel de AH y ESP (Barrera, 2007).
Cada paquete IP se asigna a una SA mediante tres campos: Direccin IP del

Destino, ndice del Parmetro de Seguridad (SPI: Security Parameter Index) y
Protocolo de Seguridad (AH o ESP).
Sin embargo, el protocolo no estipula cmo se han de autentificar los pares ni

cmo se intercambian las claves de sesin. Estas tareas son gestionadas por el
protocolo de intercambio de claves de Internet IKE (Internet Key Exchange).
Pgina 29
IKE permite que dos puntos extremos puedan establecer conexiones seguras,
utilizando la infraestructura de llaves pre compartidas o llaves pblicas (PKI),
certificados digitales administrados por una autoridad certificadora un servicio
externo o interno que registra las llaves pblicas. IKE permite tambin que una
red privada virtual (VPN) pueda ampliarse a cientos de puntos extremos,
mediante el uso del equivalente a una tarjeta de identificacin digital que
identifica cada punto extremo (Barrera, 2007).
Ilustracin 6 - Funcionamiento del protocolo IKE.
Ilustracin 6 Funcionamiento del protocolo IKE (Barrera, 2007).
Pgina 30
3.7.- Configuracin de VPN IPSec
La forma en la que se configuran los sistemas IPSec contiene algunas

recomendaciones importantes sobre cmo se debera implementar para evitar
al mximo la confusin, esta recomendacin es por parte de la RFC.
Existen dos entidades administrativas que controlan lo que le ocurre a un
paquete. Una es la Base de Datos de Asociacin de la Seguridad (SAD,
"Security Association Database", llamado TDB o tabla TDB en el cdigo fuente
de IPSec de OpenBSD), y el otro es la Base de Datos de Poltica de la
Seguridad (SPD, "Security Policy Database").
Las dos se parecen en que, dado un nmero de selectores que describan algo de
trfico, entregarn una entrada que describa el proceso necesario. Sin
embargo, SPD se elimina a dos pasos del proceso: SPD se usa para paquetes
salientes, para decidir qu entradas SAD se deben usar, y qu entradas SAD
describen el proceso y sus parmetros. Las entradas SPD especifican las
entradas SAD existentes a usar (si es un haz puede haber ms de una), pero
si no hay una que se pueda usar, entonces se usa para crear otras nuevas. Los
campos de SA que se crean se pueden tomar de la entrada SPD o del paquete
que inici la creacin.
Los paquetes salientes van desde la entrada SPD a la especificada de SA, para
obtener parmetros de codificacin. Los paquetes entrantes obtienen la SA
correcta directamente, usando el tro SPI/DestIP/Protocolo, y de ah van a la
entrada SPD.
SPD tambin puede especificar qu trfico debera circunvalar IPSec, y cul se
debera dejar caer, as que tambin debe ser consultado para trfico no IPSec
entrante. Las entradas SPD se deben ordenar de forma explcita, ya que varias
podran coincidir con un paquete particular, y el proceso debe ser
reproducible.
Pgina 31
Se puede pensar en SPD como algo parecido a un filtro de paquetes, en el que

las acciones que se deciden son la activacin de procesos SA. Los selectores
pueden incluir direcciones de origen y destino, nmeros de puertos si fueran
relevantes, nombres de anfitriones, niveles de sensibilidad de seguridad,
protocolos, etc...
Una entrada SAD incluye:
Direccin IP de destino
Protocolo IPSec (SA o ESP)
SPI (cookie)
Contador de secuencias
Indicador de secuencia O/F
Ventana de informacin anti-rplica
Tipo de AH e informacin
Tipo de ESP e informacin
Informacin sobre el tiempo de vida
Indicadores de modos tnel/transporte
Informacin sobre el camino MTU
Una entrada SPD contiene:
Puntero a SAs activas
Campos de selector
Cada SA puede definir una cabecera ESP y una cabecera AH. Una sesin de
IPSec debe tener una de las dos o ambas, pero no se puede definir sin ninguna
de las dos (en caso contrario no habra cabeceras para especificar el SPI que
deba buscar la SA). El RFC no dice qu sucedera si las cabeceras AH y ESP
estuvieran en desacuerdo sobre el valor de SPI. Se puede pensar que esto
implicara mltiples SAs en un haz (Caire, 2006).
Pgina 32
3.8.- Filtrado de Paquetes IPSec
Los protocolos AH y ESP estn implementados sobre la capa IP, AH es el

protocolo IP 51 y ESP es el protocolo IP 50. El protocolo ISAKMP usa el puerto
UDP 500 para envo y recepcin. En el caso en que se tenga un firewall delante
del Gateway de seguridad, habr que tener en cuenta estos protocolos para su
filtrado (Herrera, 2003).
3.9.- Ventajas y Desventajas de usar IPSec
3.9.1.- Ventajas de IPSec

IPSec ofrece confidencialidad (cifrado), autenticacin e
integridad.
Basado en estndares y muy adecuado para trficos
totalmente IP.
IPSec est debajo de la capa de transporte, por lo que
resulta transparente para las aplicaciones.
IPSec puede ser transparente a los usuarios finales.
Compatible con la infraestructura de claves pblicas.
Provee un alto grado de encriptacin a bajo nivel.
Estndar abierto del sector. IPSec proporciona una
alternativa de estndar industrial abierto ante las
tecnologas de cifrado IP patentadas. Los administradores
de la red aprovechan la interoperabilidad resultante.
Pgina 33
3.9.2.- Desventajas de IPSec

En la mayora de los casos, su implementacin necesita
modificaciones crticas al kernell.
IPSec no es seguro si el sistema no lo es. Los gateways de
seguridad deben estar en perfectas condiciones para poder
confiar en el buen funcionamiento de IPSec
Puede ser vulnerable a ataques del tipo man in the
middle y de denegacin de servicio (DoS).
Es un protocolo complejo de entender, su configuracin es
complicada y adems requiere una configuracin minuciosa
en el cliente. Su administracin suele ser lenta y complicada.
Tiene un alto coste de implementacin y de
mantenimiento.
IPSec autentica mquinas, no usuarios: el concepto de
identificacin y contrasea de usuarios no es entendido por
IPSec, si lo que se necesita es limitar el acceso a recursos
dependiendo del usuario que quiere ingresar, entonces
habr que utilizar otros mecanismos de autenticacin en
combinacin con IPSec.
Problemas con traduccin de direcciones NAT (Network
AddressTranslation).
Diferentes implementaciones de distintos proveedores
pueden ser incompatibles entre si.
Necesita del uso de muchos puertos y protocolos en el
sistema hardware que lo implemente (router, firewall,...).
Pgina 34
CAPITULO 4
DEFINICIN DE REQUERIMIENTOS
4.1.- Identificacin de Requerimientos

4.1.1.- Red de Comunicaciones
Calidad de servicio aplicada a la red local y enlace
Cableado estructurado 5e+ o superior
4.1.2.- Adecuacin de Espacios fsicos

Acondicionamiento Arquitectnico
Automatizacin
4.1.3.- Equipamiento
Sistema de Dominio
Servidores de Sucursales
4.2.- Identificacin de requerimientos de administracin de la red VPN.

El administrador de la red tiene como obligacin de aprender el uso y configuracin
de los equipos instalados, adems se es imprescindible el mantenimiento de los
equipos para su ptimo rendimiento, el administrador de la red VPN requiere las
siguientes capacidades:
Pgina 35
Mantener la infraestructura de la red para cumplir con los

requerimientos estratgicos de la empresa.
Asegurar la calidad de servicio (QoS) requerida para el trfico de datos.
Garantizar el funcionamiento de la red.
4.3.- Descripcin de Requerimientos.
4.3.1.- Calidad de servicio aplicada a la red local y enlace
Descripcin Permitir la transferencia de datos con gran

velocidad en el entorno de la red.
Precondicin
Contar con una conexin de ISP de alta velocidad.
Secuencia Paso Accin
Normal 1 El trabajador accede desde su ordenador a

su servidor local.
2 Puede realizar cambios a los documentos

guardados en el servidor local dependiendo
de su configuracin y restricciones.
3 El trabajador accede desde su ordenador al

servidor de la otra sucursal.
4 Puede realizar cambios a los documentos

guardados en el servidor de la otra sucursal
dependiendo de su configuracin y
restricciones.
Frecuencia esperada Accesos de 1 15 veces al da
Pgina 36
Urgencia Muy Alta
Tabla 1 Calidad de Servicio
Pgina 37
4.3.2.- Cableado Estructurado
Descripcin Establecimiento del medio fsico en el cual se

proceder la transferencia de datos.
Si existe un cableado en uso ver su eficiencia y

potenciar al uso que deseamos.
Precondicin
Medio fsico, cable categora 5, o redes inalmbricas.
Normal 1 Conexin a un dispositivo switch o router.
2 Establece normas y polticas de conectividad

fsica.
3 Conexin a travs de conectores RJ45 o

Conexin inalmbrica
4 Guarda la configuracin.
Frecuencia esperada Encendido 1 3 veces al da
Urgencia Alta
Tabla 2 Cableado Estructurado
Pgina 38
4.3.3.- Adecuacin de Espacios fsicos
Descripcin Permitir adecuar el entorno dela red VPN en

acondicionamiento arquitectnico y equipos.
Precondicin
Instalacin elctrica.
Normal 1 Acondicionamiento de limpieza de equipos

de comunicacin.
2 Acondicionamiento del clima, a travs de

aires acondicionado.
3 Capacitacin al personal mediante

constantes mensajes de correo interno.
Frecuencia esperada 1 2 veces al da
Urgencia Alta
Tabla 3 Adecuacin de Espacios Fsicos
Pgina 39
4.3.4.- Equipamiento
Descripcin Seleccin adecuada de los dispositivos parte de la

red VPN.
Precondicin
Instalacin de una red punto a punto con protocolo
IPSec.
Normal 1 Configurar los parmetros de un tnel VPN

en un router.
2 Verificar la autentificacin, confidencialidad,

integridad y encriptacin del protocolo.
3 Configurar los parmetros de un PC cliente

remoto con Windows XP.
Frecuencia esperada 1 2 veces al mes
Urgencia Alta
Tabla 4 Equipamiento
Pgina 40
CAPITULO 5
ANLISIS DE RIESGOS
5.1.- Anlisis e Identificacin de Riesgos

Para el anlisis de riesgos nos basamos en los principios de la Norma Australiana As
Nzs 4360. Este Estndar provee una gua genrica para el establecimiento e
implementacin el proceso de administracin de riesgos involucrando el
establecimiento del contexto y la identificacin, anlisis, evaluacin, tratamiento,
comunicacin y el monitoreo en curso de los riegos.
Los riesgos que se han podido detectar en la Consultora AT & Consult son los
siguientes:
5.1.1.- Riesgos por Amenazas Naturales

1) Lluvias torrenciales
2) Vientos Fuertes
3) Tormentas elctricas
4) Incendio
5.1.2.- Riesgos por Factores Tecnolgicos

5) Fallas en los equipos (PCs, UPSs, Switches, etc.)
6) Fallas en la red.
7) Uso de Software ilegal, no autorizado o pirata.
Pgina 41
8) Spam.
9) Mal funcionamiento del dispositivo de Backup.
10) Ausencia de polticas de Backups.
11) Falta de actualizacin de antivirus en las PCs.
12) Ausencia de polticas de cuentas de usuario.
13) Ausencia de polticas de acceso a ciertas pginas Web.
14) Abuso de privilegios de acceso al sistema.
5.1.3.- Riesgos por Amenazas en la Organizacin

15) Excesiva Burocracia en la adquisicin de equipos.
16) Excesiva Burocracia en la contratacin de personal.
17) Incumplimiento del proveedor del servicio.
18) Riesgo de liquidez.
5.1.4.- Riesgos por Amenazas a la Infraestructura

19) Fallos de servicios de comunicaciones.
20) Condiciones inadecuadas de temperatura o humedad.
21) Sobrecargas elctricas.
22) Cortes de energa.
23) Ambiente inadecuado para el alojamiento de los servidores.
24) No se cuenta con extintor.
5.1.5.- Riesgos por Amenazas Humanas

25) Personal no capacitado.
26) Errores de los administradores.
27) Errores de mantenimiento o actualizacin.
28) Indisponibilidad del personal.
29) Fraude de empleados.
30) El personal no cumple con las pautas de seguridad.
31) Exposicin de la informacin de sus cuentas.
5.1.6.- Riesgos por Amenazas de Ataques Intencionados

32) Manipulacin indebida de la informacin.
33) Suplantacin de identidad.
34) Uso de recursos para fines no previstos.
Pgina 42
35) Accesos no autorizados.

36) Interceptacin de informacin.
37) Robo.
38) Ataque destructivo de informacin.
39) Destruccin del cableado de las redes.
40) Destruccin del cableado elctrico.
5.1.7.- Riesgos por Amenazas Polticas o legales

41) Cambio o Actualizacin de los sistemas de Servicios de Impuestos.
42) Cambio de personal debido al cambio de directiva.
5.2.- Valoracin de los Riesgos

5.2.1.- Valoracin
5.2.1.1.- Probabilidad
Probabilidad Valor
Casi certeza 5
Probable 4
Posible 3
Improbable 2
Raro 1
Tabla 5 Tabla de Probabilidad
5.2.1.2.- Impacto
Impacto Valor
Catastrfico 5
Mayor 4
Moderado 3
Menor 2
Pgina 43
Insignificante 1
Tabla 6 Tabla de Impacto
Pgina 44
5.2.1.3.- Riesgo
Riesgo
Extremo
Alto
Moderado
Bajo
Tabla 7 Tabla de Riesgo
Tabla 8 Matriz de Riesgo
Pgina 45
5.3.- Tabla de Riesgos Cualitativa

La siguiente tabla de riesgos se ha elaborado a travs de la Herramienta
Methodware Pro AuditAdvisor. Para ello se tom la valoracin mostrada en las
tablas anteriores, en base a ella se elabor las tabla de riesgos.
Consecuencia Probabilidad Severidad Riesgo

Nombre Abs. Abs. Riesgo Abs. Abs.
1 Alto
Lluvias Torrenciales 3 3 9,0
2 Bajo
Vientos Fuertes 2 2 4,0
3 Alto
Tormentas Elctricas 4 2 8,0
4 Extremo
Incendio 5 3 15,0
5 Fallas en los equipos (PC's,
Extremo
medidores, contadores, etc.) 3 5 15,0
6 Alto
Fallas en la red 4 3 12,0
7 Uso de Software ilegal, no
Moderado
autorizado o pirata. 2 3 6,0
8
Spam
9 Mal funcionamiento de
Bajo
dispositivo de backup. 1 1 1,0
10 Ausencia de polticas de
Backups.
Bajo
2 1 2,0
11 Falta de Actualizacin de
Alto
antivirus en las PCs 4 3 12,0
12 Ausencia de polticas de
cuentas de usuario.
Alto
3 3 9,0
Pgina 46
13 Ausencia de polticas de acceso

Alto
a ciertas pginas Web. 4 3 12,0
14 Abuso de privilegios de acceso
Moderado
al sistema 3 2 6,0
15 Excesiva Burocracia en la
adquisicin de equipos.
Alto
4 3 12,0
16 Excesiva Burocracia en la
Moderado
contratacin de personal. 3 2 6,0
17 Incumplimiento del proveedor
Alto
de servicio 5 2 10,0
18 Bajo
Riesgo de liquidez 2 2 4,0
19 Fallos de servicios de
Moderado
comunicaciones. 2 3 6,0
20 Condiciones inadecuadas de
Moderado
temperaturas o humedad. 3 2 6,0
21 Moderado
Sobrecargas elctricas. 3 2 6,0
22 Moderado
Cortes de energas. 5 1 5,0
23 Ambiente inadecuado para
Extremo
alojamiento de servidores. 5 5 25,0
24 Alto
No se cuenta con extintor. 3 3 9,0
25 Alto
Personal no capacitado. 4 3 12,0
26 Alto
Errores del administrador. 3 3 9,0
27 Errores de mantenimiento o
Alto
actualizacin. 3 3 9,0
28 Moderado
Indisponibilidad del personal 2 3 6,0
Pgina 47
29 Moderado
Fraude de empleados. 3 2 6,0
30 El personal no cumple con las
Moderado
pautas de seguridad. 3 2 6,0
31 Exposicin de la informacin
Bajo
de sus cuentas 2 2 4,0
32 Manipulacin indebida de la
Alto
informacin 3 3 9,0
33 Moderado
Suplantacin de Identidad. 3 2 6,0
34 Uso de recursos para fines no
Moderado
previstos. 4 2 8,0
35 Moderado
Accesos no Autorizados. 3 2 6,0
36 Interceptacin de la
Moderado
informacin. 5 1 5,0
37 Alto
Robo 4 3 12,0
38 Ataque destructivo de
Alto
informaciones. 3 3 9,0
39 Destruccin del cableado de
Moderado
las redes 4 2 12,0
40 Destruccin del cableado
Moderado
elctrico 3 2 6,0
41 Cambio o actualizacin de los
sistemas de Servicios de
Moderado
Impuestos. 3 2 6,0
42 Cambio de personal debido al
Moderado
cambio de directiva. 3 3 9,0
Tabla 9 Identificacin de Activos
Pgina 48
CAPITULO 6
DISEO DE LA RED
6.1.- Diseo de la Red VPN

A continuacin se explicara el funcionamiento de la red con la que cuenta la
consultora AT & Consult.
6.2.- Identificacin de actividades actuales de la Consultora

Todos los ordenadores tienen acceso libre a internet permitiendo el uso de
pginas Web contra producentes como el Facebook y YouTube por nombrar
algunas.
El sistema operativo con el que cuentan los ordenadores es el Windows 7 y el
paquete Office 2010 en los que ocupan en su mayor parte las herramientas de
Word, Excel y Outlook. Adems de los programas contables como el Da Vinci V-
2.2.1.0 y el Constam.
La configuracin del sistema de la red actual es la de grupo de trabajo o work
group en la que todos los ordenadores que pertenecen a una sucursal es decir
a una red LAN se encuentran enlazados entre s, permitiendo as el acceso de
todos los documentos compartidos sin ningn tipo de restriccin de jerarqua
del personal.
Pgina 49
El intercambio de informacin y consultas entre los trabajadores de ambas

sucursales se realiza mediante correo electrnico las cuales cada trabajador es
dueo y administrador de sus cuentas de correo electrnico y al momento de
retirarse de la consultora se queda con dicha cuenta de correo cometiendo tal
vez involuntariamente el delito de robo de informacin.
El cableado estructurado es de topologa estrella y se encuentra en buenas
condiciones para la implementacin de la Red VPN.
Pgina 50
6.3.- Diseo lgico de la Red VPN

Para el diseo lgico de la red VPN se tendr que modificar primero la red LAN
de cada sucursal se habr instalar un servidor, crear un dominio del mismo
para asignar cuentas de usuarios, tambin ser necesario configurar los
servicios de DHCP, servidor de DNS y Active Directory. Despus se proceder a
las configuraciones de la Red VPN en sus respectivos routers, todo este trabajo
debe ser realizado por el administrador de red siguiendo los pasos que se
detallaran en el siguiente captulo.
6.4.- Diseo fsico de la Red VPN

Para el diseo fsico de la red VPN despus de una previa evaluacin se decidi
que el cableado estructurado de la consultora se encuentra en condiciones
adecuadas para la implementacin de la red VPN, solo ser necesario la
adquisicin del router marca MAIPU modelo MPSEC VPN3005, puesto que esta
tiene un switch con los puertos necesarios para cada ordenador y adems tiene
un router que le fue proporcionado por la empresa proveedora de internet que
es por donde realizaremos nuestro tnel para enlazar ambas sucursales.
La estructura que deber tener la red y los procedimientos que sern
necesarios para su correcto funcionamiento debe ser realizado por el
administrador de red siguiendo los pasos que se detallaran en el siguiente
captulo.
Pgina 51
CAPITULO 7
IMPLEMENTACIN Y CONFIGURACIN
7.1.- Implementacin
Antes que empecemos a configurar las opciones de red debemos aclarar que
los pasos a seguir se desarrollaran en un simulador puesto que debemos
presentar la propuesta a la consultora para su posterior aprobacin.
7.2.- Configuracin de la Red

Podemos simular la configuracin de la red VPN usando los routers que se
encuentran en los laboratorios de la carrera de ingeniera en Redes y
Telecomunicaciones para ello necesitaremos:
o DOS SERVIDORES VPN MARCA MAIPU MODELO MPSEC VPN3005.

o UN ROUTER 2FETH+8LAN, MARCA MAIPU MODELO MP1800-3.
o UN HUB.
o TRES COMPUTADORES.
Los servidores MPSEC 3005 son los que se pretende colocar en cada
sucursal para la configuracin del tnel VPN.
El router MP1800 simulara a un servidor ISP de Internet, la
configuracin que se realizara en este router no se har en la
implementacin puesto que el servidor de ISP proporciona sus propias
direcciones IP.
Pgina 52
El Hub es un dispositivo de capa 1, aprovechando este concepto y con la

ayuda del programa Wireshark analizaremos el trfico de red para
comprobar si nuestra red VPN en realidad encripta los paquetes de
datos y las direcciones IP de origen y destino.
Pgina 53
Los tres computadores no servirn de interfaz visual para la

configuracin de los routers, sern colocados uno a cada extremo del
tnel VPN y un computador conectado al HUB para ver el flujo y la
captura de paquetes de datos atraves del Wireshark y comprobar de
esta manera que nuestra red VPN funciona.
Ilustracin 7 Esquema lgico de la Red VPN.
Pgina 54
7.3.- Configuracin del Router MP1800 SERVICE_ISP
El router MP1800 como lo mencionamos anteriormente nos simulara el

servidor de internet o ISP, debido a esto es que al momento de implementar la
red VPN en la consultora no ser necesario configurar este router puesto que
las direcciones le son asignadas por el proveedor de internet, en el ordenador
PC2 tendremos instalado un emulador de interfaz del Router, en nuestro caso
usaremos el Putty que nos ser de mucha, para la prctica asignaremos las
siguientes direcciones IP:
Puerto FastEthernet0/0
IP y Mascara de Red: 203.25.25.254 y 255.255.255.0
Ambas direcciones IP son pblicas, es decir son las que se mostrara como
direcciones de la red VPN, los comandos para la configuracin del Router son
los siguientes:
SERVICE_ISP>enable
SERVICE_ISP #configure terminal
SERVICE_ISP (config)# interface FastEthernet0/0
SERVICE_ISP (config-if)#ip address 203.25.25.254 255.255.255.0
SERVICE_ISP (config-if)# no shutdown
SERVICE_ISP (config-if)#exit
SERVICE_ISP (config)# interface FastEthernet0/1
SERVICE_ISP (config-if)# ip address 201.18.8.254 255.255.255.0
SERVICE_ISP (config-if)# no shutdown
SERVICE_ISP (config-if)#exit
Pgina 55
7.4.- Configuracin del Router MPSEC 3005 Snt-Cruz.

Este router ser instalado en una de las sucursales, mas propiamente en la
sucursal Santa Cruz, conectando el puerto consola con el ordenador PC2
podremos realizar las configuraciones correspondientes, asignaremos las
siguientes direcciones IP:
Direccin IP Privada
Direccin IP Pblica
Los comandos para la configuracin del Router son los siguientes:
ROUTER_Snt-Cruz>enable
ROUTER_Snt-Cruz # configure terminal
ROUTER_Snt-Cruz (config)# interface FastEthernet0/0
ROUTER_Snt-Cruz (config-if)# ip address 192.168.8.1 255.255.255.0
ROUTER_Snt-Cruz (config-if)#no shutdown
ROUTER_Snt-Cruz (config-if)# exit
ROUTER_Snt-Cruz (config)# interface FastEthernet0/1
ROUTER_Snt-Cruz (config-if)# ip address 203.25.25.1 255.255.255.0
ROUTER_Snt-Cruz (config-if)#no shutdown
ROUTER_Snt-Cruz (config-if)# exit
ROUTER_Snt-Cruz (config)# crypto ike key key123 address 201.18.8.1
ROUTER_Snt-Cruz (config)# crypto tunnel tun1
ROUTER_Snt-Cruz (config-tunnel)#peer address 201.18.8.1
ROUTER_Snt-Cruz (config-tunnel)#local address 203.25.25.1
ROUTER_Snt-Cruz (config-tunnel)#set auto-up
ROUTER_Snt-Cruz (config-tunnel)#exit
ROUTER_Snt-Cruz (config)#crypto policy p1
ROUTER_Snt-Cruz (config-policy)#flow 192.168.8.0 255.255.255.0 192.168.9.0
255.255.255.0 ip tunnel tun1
ROUTER_Snt-Cruz (config-policy)#exit
ROUTER_Snt-Cruz (config)#ip route 0.0.0.0 0.0.0.0 203.25.25.254
Pgina 56
7.4.- Configuracin del Router MPSEC 3005 La-Paz.

Este router ser instalado en una de las sucursales, mas propiamente en la
sucursal La Paz, conectando el puerto consola con el ordenador PC2 podremos
realizar las configuraciones correspondientes, asignaremos las siguientes
direcciones IP:
Direccin IP Privada
Direccin IP Pblica
Los comandos para la configuracin del Router son los siguientes:
ROUTER_La-Paz>enable
ROUTER_La-Paz # configure terminal
ROUTER_La-Paz (config)# interface FastEthernet0/0
ROUTER_La-Paz (config-if)# ip address 192.168.9.1 255.255.255.0
ROUTER_La-Paz (config-if)#no shutdown
ROUTER_La-Paz (config-if)# exit
ROUTER_La-Paz (config)# interface FastEthernet0/1
ROUTER_La-Paz (config-if)# ip address 201.18.8.1 255.255.255.0
ROUTER_La-Paz (config-if)#no shutdown
ROUTER_La-Paz (config-if)# exit
ROUTER_La-Paz (config)#crypto ike key key123 address 203.25.25.1
ROUTER_La-Paz (config)#crypto tun tun1
ROUTER_La-Paz (config-tunnel)#peer address 203.25.25.1
ROUTER_La-Paz (config-tunnel)#local address 201.18.8.1
ROUTER_La-Paz (config-tunnel)#exit
ROUTER_La-Paz (config)#crypto policy p1
ROUTER_La-Paz (config-policy)#flow 192.168.9.0 255.255.255.0 192.168.8.0
255.255.255.0 ip tunnel tun1
ROUTER_La-Paz (config-policy)#exit
ROUTER_La-Paz (config)#ip route 0.0.0.0 0.0.0.0 201.18.8.254
Pgina 57
7.5.- Especificaciones de comandos.

El Comando Crypto es el que nos generara la VPN key 123 sera la contrasea para
ambos extremos de nuestra red.
Con el comando flow se habilita toda la red para formar parte de la VPN.
Con el comando ip route nos habilita la ruta por defecto para el paso de datos.
Ahora procederemos a ejecutar un par de comandos para mostrar el correcto
funcionamiento de nuestra VPN.
ROUTER_La-Paz#show crypto ipsec sa
policy name : p1
f (src, dst, protocol, src port, dst port) : 192.168.9.0/24 192.168.8.0/24 ip any any
local tunnel endpoint : 201.18.8.1 remote tunnel endpoint : 203.25.25.1
the pairs of ESP ipsec sa : id : 2, algorithm : DES HMAC-SHA1-96
inbound esp ipsec sa : spi : 0X42930201(1116930561)
current input 8 packets, 0 kbytes
encapsulation mode : Tunnel
replay protection : ON
remaining lifetime (seconds/kbytes) : 28760/4607999
uptime is 0 hour 0 minute 40 second
outbound esp ipsec sa : spi : 0Xf7580201(4149740033)
current output 8 packets, 0 kbytes
encapsulation mode : Tunnel
replay protection : ON
remaining lifetime (seconds/kbytes) : 28760/4607999
uptime is 0 hour 0 minute 40 second
ROUTER_La-Paz#show crypto ike sa
localaddr peeraddr peer-identity negotiation-state sa-id

201.18.8.1 203.25.25.1 203.25.25.1 STATE_QUICK_R2 2
201.18.8.1 203.25.25.1 203.25.25.1 STATE_MAIN_R3 1
Pgina 58
ROUTER_B#show crypto ike proposal
crypto ike proposal : g1-des-sha1 ref : 0

encryption : des
integrity : sha1
group : group1
lifetime : 86400 seconds
crypto ike proposal : g1-des-md5 ref : 0
encryption : des
integrity : md5
group : group1
crypto ike proposal : g2-3des-sha1 ref : 0
encryption : 3des
integrity : sha1
group : group2
crypto ike proposal : g2-3des-md5 ref : 0
encryption : 3des
integrity : md5
group : group2
crypto ike proposal : g2-aes128-sha1 ref : 0
encryption : aes128
integrity : sha1
group : group2
crypto ike proposal : g2-aes128-md5 ref : 0
encryption : aes128
integrity : md5
group : group2
crypto ike proposal : g5-3des-sha256 ref : 0
encryption : 3des
integrity : sha2-256
group : group5
crypto ike proposal : g5-aes256-sha256 ref : 0
encryption : aes256
integrity : sha2-256
group : group5
Pgina 59
7.6.- Captura de datos.

Para la captura de datos tenemos que tener previamente instalado el
Wireshark en la PC2 que va conectada al HUB, debemos configurar los
adaptadores de red de los ordenadores que se encuentran a cada extremo de la
red LAN como lo muestra la ilustracin 7.
Para ello hacemos clic derecho en adaptador de rea local, luego clic en
propiedades, seguidamente seleccionamos el protocolo de internet versin 4,
propiedades nuevamente y procedemos a poner en red el ordenador asignando
una direccin IP que este dentro del rango de direcciones IP de la NetWork,
este paso se debe hacer para el PC0 y PC1, puesto que el PC2 no pertenece a
ninguna red.
Ilustracin 8 Asignacin de Direccin IP a los ordenadores.
Pgina 60
Ahora procederemos a Ejecutar el Wireshark y a travs de un computador conectado

al Hub podremos verificar el trfico y las cabeceras que generamos al hacer un ping,
como el Hub es un dispositivo que trabaja en la capa 1 nos botara por todos sus
puertos los pulsos elctricos que nos generan las tramas para su posterior captura.
En la imagen siguiente estamos haciendo ping desde una consola de Windows y desde
el emulador PuTTy a diferentes destinos de nuestra red y todos son respondidos.
Ilustracin 9 Ejecutando el comando PING.
En la siguiente imagen se puede apreciar la trama de un Ping que realizamos desde el

Router A hacia el Router B a su direccin IP publica, como vern la respuesta es
correcta pues estos IP pertenecen a la direccin Publica y por tal razn el Wireshark
nos muestra como todas las peticiones y respuestas echas.
Ilustracin 10 Comando PING a direcciones pblicas.
Pgina 61
En la siguiente imagen veremos la trama generada al hacer ping desde la consola de

un ordenador perteneciente a la red 192.168.8.0 hacia otro ordenador perteneciente
a la red 192.168.9.0 como vern solo nos muestra las direcciones de red o IP publica y
en la columna de protocolos nos nuestra el protocolo ISAKMP en ves del ICMP que es
el protocolo correcto esto nos demuestra que la encriptacin de los paquetes al viajar
por nuestra red se realiza de manera satisfactoria.
Ilustracin 11 Comando PING a direcciones privadas.
Ilustracin 12 Equipos de prctica de la Red VPN.
Pgina 62
7.7.- Configuracin del sistema de Red.

Para la configuracin del sistema de red partiremos por seleccionar un
ordenador el que se encuentre en mejor condiciones previa evaluacin e
instalaremos el sistema operativo Windows Server 2008.
Posteriormente realizaremos todas las configuraciones que complementan
adecuadamente una eficaz red de trabajo.
7.7.1.- Configuracin del Servidor DNS.

Como primer paso se debe instalar las funciones para el servidor DNS,
para ello vamos a inicio > herramientas > administrador del servidor.
Una vez ah vamos a funciones > agregar funciones.
Ilustracin 13 Configuracin del servidor DNS.
Seleccionamos la opcin Servidor DNS. Presionamos la opcin siguiente.

Luego nos aparecer un resumen del proceso de instalacin. Si todo esta
correcto presionamos el botn instalar.
Luego nos dirigimos a inicio > herramientas administrativas y
seleccionamos DNS.
En este punto entraremos a configurar las zonas. En las zonas es donde
especificamos, nombre de dominio, tipo de servidor si
es maestro o esclavo y ruta del archivo.
Pgina 63
Existen diferentes zonas con sus perspectivas configuraciones las cuales

son:
Zona directa:
La zona directa nos permite crear zonas primarias y segundarias. En
dichas zonas podemos crear distintos tipos de registro tales como: A,
CNAME, NS, MX, y asociarlos con una direccin Ip.
Las resoluciones de esta zona devuelven la Ip correspondiente al
nombre de dominio solicitado.
Registro A: este registro se usa para traducir nombres de servidores de
alojamiento a direcciones IPv4.
Registro CNAME: Se usa para crear nombres de servidores de
alojamiento adicionales, o alias, para los servidores de alojamiento de
un dominio.
Registro NS: Define la asociacin que existe entre un nombre de dominio
y los servidores de nombres que almacenan la informacin de dicho
dominio.
Registro MX: Asocia un nombre de dominio a una lista de servidores de
intercambio de correo para ese dominio.
Zona inversa: nos permite por el contrario crear registros PTR, los
cuales nos permiten asociar una Ip con un nombre. Es como hacer una
pregunta Cul es el nombre DNS del equipo que utiliza la direccin IP
192.168.8.1?.
Registro PTR: Tambin conocido como registro inverso, funciona a la
inversa del registro A, traduciendo IPs en nombres de dominio.
Ya teniendo claro las zonas y cada uno de los registros procedamos a la
configuracin les las zonas.
Pgina 64
Para crear una nueva zona directa, damos clic derecho en zona de
bsqueda directa > nueva zona y seguimos el asistente.
En el primer pantallazo se nos da una introduccin al asistente de

configuracin de la zona directa. Presionamos el botn siguiente.
Nos aparecer entonces un cuadro de dialogo que nos preguntara el tipo

de zona que queremos crear (zona principal, zona secundaria o zona de
rutas internas) y nos dan una especificaciones de cada una. En este caso
crearemos una zona principal. Presionamos el botn siguiente.
En el siguiente cuadro de dialogo debemos dar nombre a la zona, el cual

puede ser el nombre de dominio o el nombre de un subdominio. En este
caso ser el nombre del dominio podra ser atconsult.local.
En el siguiente cuadro de dialogo debemos crear o dar la ruta a un

archivo de zona. En este caso crearemos uno nuevo que se llamara
vpn.atconsult.local. presionamos el botn siguiente.
Pgina 65
En la siguiente ventana debemos especificar si el servidor DNS

tendr actualizaciones dinmicas seguras, no seguras o no dinmicas.
Nota: Las actualizaciones dinmicas seguras solo se activan si la zona
est integrada en active directory, por ende en este caso esta
deshabilitada.
En este caso seleccionamos la opcin Permitir todas las actualizaciones
dinmicas (seguras y no seguras). Presionamos el botn siguiente.
En la siguiente pantalla nos aparecer un resumen de la configuracin
de nuestra zona. Si todo est correctamente presionamos el botn
finalizar.
Procedemos entonces a configurar una nueva zona inversa. Damos clic

derecho en zona de bsqueda inversa > nueva zona y seguimos el
asistente.
En el primer pantallazo se nos da una introduccin al asistente de

configuracin de la zona directa. Presionamos el botn siguiente.
Nos aparecer entonces un cuadro de dialogo que nos preguntara el tipo

de zona que queremos crear (zona principal, zona secundaria o zona de
rutas internas) y nos dan una especificacin de cada una. En este caso
crearemos una zona principal. Presionamos el botn siguiente.
Pgina 66
En el siguiente cuadro de dialogo debemos configurar el nombre de

nuestra zona inversa. Como las zonas inversas hacen la traduccin de IP
a nombre de dominio, el nombre de la zona debe ir ligado a los octetos
de red del identificador de nuestra red. En este caso el direccionamiento
es IPv4. Presionamos el botn siguiente.
En el siguiente cuadro de dialogo debemos ingresar los valores del ID de

nuestra red que pertenezcan a la porcin red, en este caso 168.192.8
pues la mscara es de /24. Podemos ver como se autocompleta el
nombre de la zona de bsqueda inversa.
Luego nos aparecer un cuadro de dialogo debemos crear o dar la ruta a

un archivo de zona. En este caso crearemos uno nuevo que se llamara
8.168.192.in-addr.arpa.dns.
En la siguiente ventana debemos especificar si el servidor DNS

tendr actualizaciones dinmicas seguras, no seguras o no dinmicas.
Nota: Las actualizaciones dinmicas seguras solo se activan si la zona
est integrada en active directory, por ende en este caso esta
deshabilitada.
En este caso seleccionamos la opcin Permitir todas las actualizaciones
dinmicas (seguras y no seguras). Presionamos el botn siguiente.
Pgina 67
En la siguiente pantalla nos aparecer un resumen de la configuracin

de nuestra nueva zona inversa. Si todo est correctamente presionamos
el botn finalizar.
Despus de haber creado la zona inversa, damos doble clic sobre ella
(8.192.168.in.addr-arpa).
Podemos observar dos registros (SOA y NS). Seleccionamos la primera

opcin (registro SOA).
Debe salir un cuadro donde podemos especificar el nombre del servidor

primario en este caso dns.atconsult.local y el correo de la persona
responsable de la configuracin de la zona en este caso
webmaster.atconsult.local. Los dems valores los dejaremos por defecto.
Presionaremos el botn aceptar.
Pgina 68
Ahora crearemos los registros A para el DNS. Para ello damos clic
derecho sobre algn lugar del cuadro perteneciente a la zona
atconsult.local. Seleccionamos Host Nuevo (A o AAA).
En el nuevo cuadro de dialogo debemos especificar el nombre de host en

este caso dns, adems de la direccin IP del host, en este caso
192.168.8.1, seleccionamos la opcin crear registro del punto (PTR)
asociado para que automticamente se agregar en la zona inversa el
registro PTR para este host. Presionamos el botn agregar host.
Presionamos el botn agregar host.
Nos aparecer un aviso que nos informa que el registro fue creado
exitosamente.
Debemos configurar entonces la interface de red adecuadamente. Nos

dirigimos a inicio > panel de control > centro de redes y recursos
compartidos > administrar conexiones de red. All damos clic derecho
en el adaptador > propiedades > protocolo de internet TCP/IPv4 >
propiedades. Configuramos en este caso la interface.
Pgina 69
Procedemos a la verificacin del funcionamiento del servidor DNS.
Usaremos un cliente bajo Windows Seven que se encuentra en red con el

servidor DNS. Realizamos entonces una bsqueda directa buscando con
el nombre del host la direccin IP del mismo. Procedemos a abrir la
consola cmd.exe y all ejecutamos el comando nslookup
dns.atconsult.local y nos aparecer el nombre y la direccin del servidor
nos responde la solicitud, adems de la IP del host que se
llama dns.atconsult.local.
Podemos adems hacer una consulta inversa buscando con la direccin

IP, el nombre del host. Para ello ejecutamos el comando nslookup
192.168.8.2 y podemos observar el nombre y la direccin del servidor
nos responde la solicitud, adems del nombre del host que tiene como
IP192.168.8.2.
7.7.2.- Configuracin del servidor Active Directory.

Una vez configurado el servidor DNS y la configuracin del protocolo
TCP/IP, ejecutamos el comando dcpromo y esperamos que se
configuren para la promocin de un Controlador de dominio.
Ilustracin 21 Configuracin de Active Directory.
Cargar la ventana de Bienvenida para promocin de un Controlador de

dominio. El check para la instalacin en modo avanzado brinda
configuraciones avanzadas para la promocin de controladores de
dominio. En esta ocasin no marcaremos el check. Luego Cargar un
mensaje de advertencia, informndonos de las nuevas caractersticas de
los controladores de dominio sobre Windows Server 2008 como la
seguridad. Seleccionamos, Add a domain controller to an existing
domain.
Pgina 70
Esta opcin nos permitir acceder a nuestro dominio creado

anteriormente en el servidor DNS. Escribimos el nombre atconsult para
nuestro dominio. En este caso ser atconsult.local. Luego de aceptar el
nombre de dominio se revisar el nombre DNS y NetBIOS para
comprobar que no existan conflictos de nombres.
A continuacin seleccionamos el nivel funcional del bosque. En este caso

aprovecharemos las ventajas del nivel funcional Windows Server 2008.
A continuacin seleccionamos verificamos que el controlador de
dominio Windows Server 2008 ejecute el servicio de DNS, para la
resolucin de nombres.
Por defecto el primer controlador de dominio es Global Catalog. Como es

el primer controlador de dominio promovido no puede ser Read-Only
Domain Controller.
Aceptamos el mensaje de advertencia. Este mensaje explica que es

necesario delegar la zona primaria si es que se requiere que los nombres
DNS se resuelvan desde fuera del dominio atconsult.local, en nuestro
caso no es necesario delegar porque este DNS slo resolver nombres
locales y de Internet pero desde la red interna.
Pgina 71
A continuacin ingresamos una contrasea para la restauracin del

Active Directory en modo de Directory Services Restore Mode.
Aparecer un sumario con el resumen de lo seleccionado para
instalacin del AD DS. Empezar la promocin del Controlador Windows
Server 2008. Este proceso se llevar a cabo durante unos minutos.
Cuando el proceso finaliza debemos reiniciar el nuevo Controlador de

dominio.
Ahora podremos ingresar a nuestro Controlador de dominio con nuestro

domain admin. Podemos acceder a la consola de administracin del
servicio de Directorio Activo. Desde Server Manager o dirigindonos a
Administrative Tools.
Pgina 72
Ahora procederemos a crear una carpeta compartida dndole control

total para todos los usuarios. Estos valores pueden ser modificados por
el administrador dando permisos de lectura y escritura as como ambas,
tambin puede no dar ningn privilegio a cada usuario individualmente.
Para agregar un nuevo usuario bastara con desplazarse a la carpeta user

dando clic derecho podemos agregar un nuevo usuario, luego de
rellenar los espacios con los datos correspondientes finalmente se le
asignara un nombre dentro del dominio y servicio DNS, como por
ejemplo user1@atconsult.local.
Pgina 73
Todas las configuraciones echas anteriormente se realizan en el

ordenador que se encuentra instalado el servidor. Procedemos a
ingresar a otro ordenador en el cual se tenga instalado el sistema
operativo Windows Seven o XP, las configuraciones siguientes son las
mismas.
Ejecutamos el comando sysdm.cpl.
Seguidamente visualizamos una ventana con las propiedades del

sistema. Para entrar al dominio vamos hasta nombre de equipo y
pulsamos en cambiar y seleccionamos dominio y asignamos un nombre
de equipo de esta manera cualquier trabajador podr acceder a su
usuario desde cualquier ordenador.
Pgina 74
7.7.3.- Configuracin de DHCP.

Una vez instalado el servidor DNS y el servidor de Active Directory
procederemos a instalar el servidor de DHCP que es el encargado de
administrar las direcciones IP.
Vamos al administrador del servidor, hacemos clic derecho sobre

funciones y agregar funcione, nos aparecer el tpico asistente para
agregar funciones, elegiremos el servidor DHCP y hacemos clic en
siguiente, saldr una serie de advertencias dicindonos las cosas que
hay que tener en cuenta antes de instalar el servidor.
Ilustracin 29 Configuracin del servidor DHCP.

El asistente nos permitir seleccionar los enlaces de conexin de red
entre las conexiones detectadas con configuraciones IP estatica,
presionamos el botone siguiente, podemos especificar la configuracin
IP versin 4 del servidor DNS de nuestra red, ah ponemos nuestra
propia IP, como servidor DNS alternativo podemos poner por ejemplo el
servidor DNS de Google (8.8.8.8).
Pgina 75
El asistente nos permite especificar la configuracin del servidor WIN

IPv4. En este caso no usaremos WIN y presionaremos el botn siguiente.
Despus de hacer clic en siguiente nos aparecer la pantalla con la

configuracin ms importante que debemos hacer en el servidor DHCP,
configurar y agregar los mbitos DHCP. Hacemos clic en agregar y
rellenamos todos los campos con nuestros datos de red, en nombre
colocaremos el nombre del mbito que nos corresponden nuestro caso
ser administrador, tambin nos pedir las direcciones de IP inicial y
final, es muy importante excluir el Gateway, el ID de red y el broadcast,
tambin deberemos establecer el Gateway por defecto de la red este
parmetro es opcional, se deber establecer si la red es cableada o
inalmbrica para definir la duracin de la concepcin, podemos crear
ms de una mbito pero para nuestro desarrollo no ser necesario.
Despus nos aparecer una ventana para la configuracin del modo sin
estado de DHCP Versin 6 pero en este caso lo deshabilitaremos,
presionamos el botn aceptar. Luego nos aparecer una pantalla con el
resumen de la configuracin de nuestro servidor DHCP. Si todo est bien
configurado presionamos el botn instalar, cuando el proceso de
instalacin finaliza aparece una ventana indicando que se ha finalizado
el proceso correctamente.
Si deseamos hacer una modificacin de las configuraciones de nuestro
servidor DHCP podemos dirigirnos a los archivos de configuracin que
se encuentran en inicio > herramientas > administrativas > DHCP.
Pgina 76
CAPITULO 8
EVALUACIN ECONMICA
8.1.- Justificacin Econmica.

Una vez presentada esta solucin al problema, se proceder a justificar de
manera econmica la misma.
Para ello proporcionamos unos listados de tablas en las que especificaremos
las inversiones que la consultora debera asumir.
Los datos listados a continuacin son costos en los que incluye la entrega de la
red en correcto funcionamiento para la sucursales de la ciudad de Santa Cruz
de la Sierra y La Paz, el costo de mantenimiento de la red VPN es un punto que
trataremos en el desglose de costos, los datos de precios de hardware nos
fueron proporcionados por la empresa ClearTec Ltda. y las licencias de
software nos fueron proporcionadas por la empresa Orbitla S.A.
8.2.- Costos de Adquisicin de los equipos
Precio Precio
Descripcin Cantidad
Unitario Total ($)
Router MAIPU modelo MPSEC VPN3005 760 2 1520
Switch MAIPU modelo SM 3100
402 2 804
(Recomendado)
Sub_Total1 2324
Pgina 77
Tabla 10 Costos de Equipos
Pgina 78
8.3.- Costos de licencia de Software
Precio Precio
Descripcin Cantidad
Unitario Total ($)
Windows Server 2008, licencia. 469 1 469
Windows Seven Enterprise, licencia. 45 2 90
Anti-virus Kaspersky
129 2 258
(Recomendado)
Sub_Total2 817
Tabla 11 Costos de Licencias de Software
8.4.- Costos de la Implementacin
Precio Precio
Descripcin Cantidad
Unitario Total ($)
Instalacin de Equipos.
3 12 36
(Routers y Ordenadores)
Configuracin de equipos.
8 12 96
(Routers y Ordenadores)
Restructuracin de la red cableada 20 - 20
Sub_Total3 152
Tabla 12 Costos de la Implementacin
Pgina 79
8.5.- Costos Totales
De acuerdo a los costos obtenidos en esta seccin se va hacer una suma total
para saber el costo total que tendr dicha implementacin, en la siguiente tabla
se mostrara el costo total.
Es muy importante saber el costo total ya que de acuerdo a ese dato se
analizaran y se tomaran decisiones, para poner en marcha o no el presente
proyecto.
Descripcin Costo Total ($)

Costo de Adquisicin de Equipos 2324
Costo de Licencia de Software 817
Costo de Implementacin 152
Total 3293
Tabla 13 Costos Totales.
Pgina 80
CONCLUSIONES
9.1.- Conclusin
El trabajo de investigacin tuvo como objetivo general el realizar el diseo de
una red VPN y sus respectivas configuraciones para brindar seguridad en la
transferencia de datos de la consultora.
La metodologa empleada dio lugar a que se realizara un anlisis de riesgo, la
correcta eleccin de equipos de acuerdo con el anlisis costo/beneficio, la
ubicacin adecuada de los mismos, comprender a profundidad el
funcionamiento de una red VPN en los aspecto de confidencialidad, integridad
y autenticidad de los datos que fluyen atraves de la red.
Una vez realizado el diseo de la red VPN, se presentan las siguientes
conclusiones:
La principal ventaja es que una red VPN nos da el respaldo suficiente de

una transmisin de informacin segura y confiable.
Se con la implementacin de un servidor se centraliza el acceso a la
informacin, evitando el robo de informacin por parte de los
trabajadores.
La movilidad de acceder desde cualquier ordenador perteneciente a la
red, esto debido a las cuentas de usuarios proporcionadas por el
administrador.
Por lo tanto, la inversin puesta en los equipos para la implementacin de la

red VPN resultara viable, ya que estos proporcionan diferentes soluciones a
los problemas de seguridad informtica, teniendo as una red de ptimo
funcionamiento.
Pgina 81
RECOMENDACIONES
Pgina 82
BIBLIOGRAFA
Alarcos, B., Redes Privadas Virtuales VPN [Online]. 15-Sep-2013. Alcal, Espaa,
< http://it.aut.uah.es/enrique/docencia/ii/seguridad/documentos/t9-0506.pdf >
15-Sep-2013.
Barrera, Luis. (2013). Internet Protocol security [Online]. 2007. Buenos Aires,
< http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/IPSec-2008.pdf
Caire, Ramiro. (30-Ene-2006). Introduccin a las redes privadas virtuales [online]..Rosario,

Argentina. < http://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.html>.
15-Sep-2013.
Libros
Herrera, Enrique. (2003). Tecnologa y Redes de transmisin de Datos. Mxico: LIMUSA.
Pgina 83
ANEXOS
CURRCULO VITAE
Pgina 84

Vaca Nuñez

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Vaca Nuñez

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD AUTONOMA

GABRIEL RENE MORENO

CARRERA : ING. EN REDES Y TELECOMUNICACIONES.

Juan Pablo Gutirrez

Silvia Justiniano Vaca

Santa Cruz Bolivia

INTRODUCIN AL PROYECTO ....................................................................................................................... 9

1.1.- DEFINICIN DEL PROBLEMA ................................................................................................................ 9

1.1.1.- Situacin problemtica ..................................................................................................................... 9

1.1.2.- Situacin deseada ............................................................................................................................. 9

1.1.3.- Objeto de la investigacin ............................................................................................................... 10

1.2.- OBJETIVOS ......................................................................................................................................... 11

1.2.2.- Objetivo especficos ........................................................................................................................ 11

1.3.- METODOLOGA .................................................................................................................................. 12

1.4.- ALCANCE ............................................................................................................................................ 12

1.5.- JUSTIFICACIN ................................................................................................................................... 13

EMPESA XTT .............................................................................................................................................. 14

2.1.- CONSULTORA XTT. ............................................................................................................................. 14

2.1.1.- Misin ............................................................................................................................................. 14

2.1.2.- Visin .............................................................................................................................................. 15

2.2.- Estructura Organizacional .................................................................................................................. 15

2.3.- Ubicacin ........................................................................................................................................... 18

VPN Y ENCRIPTACIN ................................................................................................................................ 19

3.1.- FUNCIONAMIENTO DE LAS VPNS ....................................................................................................... 19

3.1.1.- Encriptacin con Clave Secreta ....................................................................................................... 20

3.1.2.- Encriptacin de Clave Pblica.......................................................................................................... 20

3.2.- Clasificacin de las VPNs .................................................................................................................... 22

3.2.1.- VPNs Seguras .................................................................................................................................. 22

3.2.2.- VPNs de confianza........................................................................................................................... 22

3.2.3.- VPNs segn su Arquitectura ............................................................................................................ 22

3.2.3.1.- VPNs de Acceso Remotos ............................................................................................................. 23

3.2.3.2.- VPNs Punto a Punto ..................................................................................................................... 23

3.2.3.3.- VPNs Interna ................................................................................................................................ 23

3.3.- VPN IPSec .......................................................................................................................................... 24

3.3.1.- Encapsulated Security Payload (ESP), .............................................................................................. 25

3.3.2.- Authentication Header (AH), ........................................................................................................... 26

Ilustracin 3 - Funcionamiento de una AH (Barrera, 2007). ........................................................................ 26

3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP) ............................................. 27

3.4.- Security Association SA ...................................................................................................................... 27

3.5.- Modo de Transporte .......................................................................................................................... 28

3.6.- Modo Tnel ....................................................................................................................................... 29

3.7.- Configuracin de VPN IPSec ............................................................................................................... 31

3.8.- Filtrado de Paquetes IPSec ................................................................................................................. 33

3.9.- Ventajas y Desventajas de usar IPSec................................................................................................. 33

3.9.1.- Ventajas de IPSec ............................................................................................................................ 33

3.9.2.- Desventajas de IPSec ...................................................................................................................... 34

DEFINICIN DE REQUERIMIENTOS ............................................................................................................. 35

4.1.- Identificacin de Requerimientos ...................................................................................................... 35

4.1.1.- Red de Comunicaciones .................................................................................................................. 35

4.1.2.- Adecuacin de Espacios fsicos ........................................................................................................ 35

4.1.3.- Equipamiento ................................................................................................................................. 35

4.2.- Identificacin de requerimientos de administracin de la red VPN. ................................................... 35

4.3.- Descripcin de Requerimientos. ........................................................................................................ 36

4.3.1.- Calidad de servicio aplicada a la red local y enlace .......................................................................... 36

4.3.2.- Cableado Estructurado .................................................................................................................... 38

4.3.3.- Adecuacin de Espacios fsicos ........................................................................................................ 39

4.3.4.- Equipamiento ................................................................................................................................. 40

5.1.- Anlisis e Identificacin de Riesgos .................................................................................................... 41

5.1.1.- Riesgos por Amenazas Naturales .................................................................................................... 41

5.1.2.- Riesgos por Factores Tecnolgicos .................................................................................................. 41

5.1.3.- Riesgos por Amenazas en la Organizacin ....................................................................................... 42

5.1.4.- Riesgos por Amenazas a la Infraestructura...................................................................................... 42

5.1.5.- Riesgos por Amenazas Humanas ..................................................................................................... 42