Proyecto final de vpn buses
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Proyecto final de vpn buses

on

  • 2,205 views

 

Statistics

Views

Total Views
2,205
Views on SlideShare
2,205
Embed Views
0

Actions

Likes
1
Downloads
86
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Proyecto final de vpn buses Document Transcript

  • 1. UNIVERSIDAD NACIONAL DEL SANTA FACULTAD DE INGENIERIA DE SISTEMAS E INFORMÁTICADESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN)PARA LA INTERCONEXIÓN DE LA EMPRESA “EL CORTIJO” CON SUS SUCURSALES INTEGRANTES :  CARRUITERO FAJARDO YOVANA  MAZA RAMOS MIGUEL  ROMERO ZEGARRA BRUNO  VELASQUEZ RUIZ JOSEDOCENTE : ING. KENE REYNA ROJASASIGNATURA : REDES DE COMPUTADORAS Nuevo Chimbote, 17 de Enero del 2013
  • 2. INDICEI. DATOS DE LA EMPRESA 1.1. RESEÑA HISTORICA 1.2. UBICACIÓN GEOGRÁFICA 1.3. MISION 1.4. VISION 1.5. ORGANIGRAMA 1.6. OBJETIVOS 1.7. POLÍTICASII. MARCO TEÓRICO 2.1. DEFINICION DE UNA VPN 2.2. CARACTERISTICAS FUNCIONALES DE UNA VPN 2.3. VENTAJAS E INCONVENIENTES DE UNA VPN 2.3.1. VENTAJAS 2.3.2. INCONVENIENTES 2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. SERVIDOR VPN 2.4.2. CLIENTE VPN 2.4.3. TÚNEL 2.4.4. CONEXIÓN VPN 2.4.5. PROTOCOLOS DEL TÚNEL 2.4.6. DATOS DEL TÚNEL (TUNELED DATA) 2.4.7. RED DE TRANSITO 2.5. REQUERIMIENTOS BÁSICOS DE LA VPN 2.5.1. AUTENTICACIÓN DE USUARIO. 2.5.2. ADMINISTRACIÓN DE DIRECCIÓN. 2.5.3. ENCRIPTACIÓN DE DATOS. 2.5.4. ADMINISTRACIÓN DE LLAVES. 2.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE. 2.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) 2.6.3. EXTRANET VPN 2.7. TOPOLOGÍAS DE VPN 2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente) 2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
  • 3. 2.8. ANALISIS DE PROTOCOLOS 2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD 2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) 2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC. 2.8.1.3.2. OTRAS SOLUCIONES 2.8.1.3.2.1. Secure shell (SSH) 2.8.1.3.2.2. CIPE – Crypto Encapsulation 2.8.1.3.2.3. RFC 1234 : Tunneling IPX Traffic through Networks 2.8.1.3.2.4. RFC 2004: Minim al Encapsulation within IP 2.9. TÚNELES 2.9.1. MODELOS DE ENTUNELAMIENTO 2.10. PAQUETE DE ENCRIPTACIÓN IP 2.10.1. CAPAS Y CIFRADO DE RED 2.10.1.1. EN EL NIVEL DE RED 2.10.1.2. EN EL NIVEL DE SOCKET 2.10.1.3. EN EL NIVEL DE APLICACIÓNIII. PROBLEMAIV. SOLUCIONV. JUSTIFICACIONVI. DISEÑO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIÓN CON VPNVII. COSTO DE DISEÑO PROPUESTOVIII. CONCLUSIONES
  • 4. I. DATOS DE LA EMPRESA:1.1. RESEÑA HISTORICAEmpresa de Transportes “EL CORTIJO” S.A fue fundada el 29 de Agosto del año 1997,y que se fundó con la iniciativa de prestar servicio de transporte masivo de pasajero enTrujillo Metropolitano, se inscribió bajo los términos Sociedad Anónima con laparticipación de 20 accionistas. Si bien es cierto contábamos con una flota vehicular de20 unidades, Insuficiente para cubrir el servicio, es que nos abocamos a establecer elcrecimiento de la flota, para poder brindar un mejor servicio, llegando a conformarhasta el año 1999 una flota de 34 Unidades vehiculares.A partir del 2000 el Directorio de Turno de la Empresa elaboro un proyecto dedesarrollo de Empresa dentro de ese proyecto estaba la Construcción de un terminal, ala vez se consideró gestionar el permiso de un consumidor interno de combustible, unservicio de cambio de aceite, un lavadero de presión, venta de llantas, servicio de frenosy servicios adicionales, afines del rubro de transportes, llegando a desarrollar a la fechael 80 % de nuestro proyecto.La Empresa de Transporte “EL CORTIJO” S.A en la actualidad cuenta con una flotaoperativa de 131 unidades prestando un servicio a satisfacción del Público usuario.1.2. UBICACIÓN GEOGRAFICALa empresa de Transporte El cortijo S.A tiene domicilio social en la Av. Jaime BlancoNo 2901-2999, AA.HH Kumamoto, El Porvenir. Provincia de Trujillo, Departamentode la Libertad.
  • 5. 1.3. MISIONE.T.E.C.S.A es una Empresa que se dedica al transporte de pasajeros en diferentes rutaslocales. Desde su creación brinda el mejor servicio al público en general marcando ladiferencia, contribuye con la movilización de las personas a sus lugares de destino,facilitando un servicio de calidad y tarifas justas de pasajes manteniendo un climadonde impera el respeto, justicia, honradez y el cumplimiento de reglas y normas detránsito y el cuidado del medio ambiente.1.4. VISIONE.T.E.C.S.A desea en 5 años llegar a ser la mejor empresa de transporte urbano enbrindar una calidad única y garantizada, manteniendo un trabajo en equipo y la prácticade valores tanto con el personal de la organización como para el público en general,alcanzando un reconocimiento de calidad de servicio y convertirse en una empresasólida.
  • 6. 1.5. ORGANIGRAMA PRESIDENTE DEL DIRECTORIO SECRETARIA GERENTE GENERAL DIRECTOR DE ECONOMIA DIRECTOR DISCIPLINA Y DIRECTOR DEL PERSONAL TRANSPORTES CONTABILIDAD INTERNA VIGILANCIA Y LIMPIEZA SUPERVISION DE UNIDADES COBRANZA CONDUCTORES DE UNIDADES DE DESPACHO DE LUBRICANTES TRANSPORTE ABASTECIMIENTO DEL COMBUSTIBLE
  • 7. 1.6. OBJETIVOS DE LA EMPRESA  Lograr eficaz y eficiente servicio de transporte urbano de personas en la Ruta: Trujillo metropolitano- El Provenir y viceversa,en ómnibus y unidades autorizadas por el M.P.T.  Prestación de servicios de transporte turístico, de acuerdo con la autorización operacional que otorgen los Organismos Pertinentes.  La prestación de servicio de prevención, mantenimiento y reparación de los vehículos motorizados que están adjudicados al servicio público de transportes de personas en las rutas autorizadas.  La prestación de servicio público de personas en Trujillo Metropolitano, para lo cual contará con la correspondiente autorización1.7. POLITICA DE LA EMPRESA  Hacer cumplir las disposiciones legales vigentes en materia de seguridad e higiene, relativos al servicio de transporte público de personas en Trujillo Metropolitano, en las rutas autorizadas por la M.P.T, las mismas que están amparadas en las Resoluciones de Permiso de Operación.  Respetar las normas constitucionales, aplicarlas, así como las leyes, normas y disposiciones legales que en materia laboral sean pertinentes aplicarlas al personal dependiente de la empresa y en el caso de los conductores o cobradores u otro personal eventual que labore para los propietarios de las unidades de transporte público, aplicar las disposiciones emanada de la Municipalidad Provincial de Trujillo, respecto al comportamiento con el usuario, con relación al buen trato que deben tener con los pasajeros, especialmente con los niños, ancianos y minusválidos.  Respetar la dignidad de los pasajeros o usuarios del transporte público; respetar sus sentimientos, creencia e ideología de los socios, de los trabajadores, de los conductores y cobradores.  Establecer la política adecuada para prevenir, investigar y resolver los conflictos laborales de acuerdo con los fines y objetivos de ETECSA.  Disponer que la gerencia y demás niveles jerárquicos de la empresa, guarden el debido respeto y observen buen trato con los accionistas, los conductores y cobradores, respetando las normas de disciplina impuestas por la empresa para la buena marcha de la sociedad en beneficio del público usuario.  Exigir a los socios o terceros que las unidades de servicio público se encuentren en buen estado de conservación.  Disponer la suscripción de los contratos al socio que emplee su unidad y personal operativo para el cumplimiento de una comisión de servicio
  • 8. II. MARCO TEÓRICO: 2.1.DEFINICION DE UNA VPN Una Red Privada Virtual (VPN) es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes áreas geográficas. Es una red de datos de gran seguridad que utilizando Internet como medio de transmisión permite la transmisión de información confidencial entre la empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus empleados o sus clientes. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos. Figura: Esquema de una Red VPN
  • 9. Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por medio de la conexión de los usuarios de distintas redes a través de un "túnel" que se construye sobre Internet o sobre cualquier otra red pública, negociando un esquema de encriptación y autentificación de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, con routers para lograr esa encriptación y autentificación. Es así como las Redes Privadas Virtuales (VPN) se convierten en un componente importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar una infraestructura de redes publicas para la comunicación en vez de utilizar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir y transmitir información de forma segura y confidencial entre una empresa y sus sucursales, socios, proveedores, etc.2.2.CARACTERISTICAS FUNCIONALES Para que una VPN proporcione la comunicación que se espera, el sistema que se implante ha de contemplar varios aspectos de funcionamiento para determinar que será una buena solución. Transparente a las aplicaciones Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones. Confidencialidad Los datos que circulan por el canal sólo pueden ser leídos por el emisor y el receptor. La manera de conseguir esto es mediante técnicas de encriptación. Autentificación El emisor y el receptor son capaces de determinar de forma inequívoca sus identidades, de tal manera que no exista duda sobre las mismas. Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafío-respuesta.
  • 10. Integridad Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal. Para esto se pueden utilizar firmas digitales. No repudio Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emitió él. Control de acceso Capacidad para controlar el acceso de los usuarios a distintos recursos. Viabilidad Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de tiempo real.2.3.VENTAJAS E INCONVENIENTES2.3.1. VENTAJAS Una VPN permite disponer de una conexión a red con todas las características de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada a través de un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.
  • 11. Representa una gran solución en cuanto a seguridad, confidencialidad e integridad de los datos y reduce significativamente el costo de la transferencia de datos de un lugar a otro. Simplifica la integración y crecimiento de una Red ya que la VPN provee una solución propietaria flexible y escalable para su implementación y crecimiento. Permite la integración de diversos ambientes computacionales en una sola red de información cohesiva. Esto se debe fundamentalmente a estar basado en estándares abiertos. Minimiza el costo de administración y soporte de la red. Las VPN ayudan a aumentar la productividad del personal de soporte y administración de la red. Provee un punto central para la distribución de software y updates, manuales, etc. El browser al ser único, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la misma apariencia a través de todas las aplicaciones.2.3.2. INCONVENIENTES Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos, situación que se agrava cuando además se realiza encriptación de los datos; lo cual origina que las conexiones sean mucho mas lentas. Mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP) . Las VPN primero deben establecer correctamente las políticas de seguridad y de acceso.
  • 12. 2.4. ELEMENTOS PRINCIPALES DE UNA VPN2.4.1. Servidor VPN Es un servidor que se pone como gateway en la salida de Internet de la red. Permite conectarse con otros servidores VPN generando túneles de comunicación seguros con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto VPN o una conexión de enrutador a enrutador.2.4.2. Cliente VPN El cliente VPN permite la comunicación privada virtual iniciada desde el cliente de la red (VPN). Es en si una computadora que inicia una conexión VPN con un servidor VPN. Un cliente VPN o un enrutador tiene una conexión de enrutador a enrutador a través de una red pública, así es como los usuarios finales logran la comunicación dentro de un ambiente de la empresa que requieren una conexión segura del extremo usuario-a- anfitrión.2.4.3. Túnel Porción de la conexión en la cual sus datos son encapsulados.2.4.4. Conexión VPN Es la porción de la conexión en la cual sus datos son encriptados. Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma porción de la conexión.2.4.5. Protocolos del Túnel Se utiliza para administrar los túneles y encapsular los datos privados. Los datos que son enviados por el túnel deben de ser encriptados para que sea una conexión VPN.
  • 13. 2.4.6. Datos del Túnel (Tuneled Data) Datos que son generalmente enviados a través de un enlace VPN.2.4.7. Red de Transito La red pública o compartida que es cruzada por los datos encapsulados. Generalmente una red IP. La red de tránsito debe ser Internet o una intranet IP privada. Figura: Elementos de una VPN 2.5. REQUERIMIENTOS BASICOS DE LAS VPN Por lo general, al implementar una solución de red remota, una compañía desea facilitar un acceso controlado a los recursos y a la información de la misma. La solución deberá permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de área local (LAN). Así como las oficinas remotas se conecten entre si para compartir recursos e información (conexiones de N).
  • 14. Por último, la solución debe garantizar la privacidad y la integridad de los datos al viajar a través de Internet público. Lo mismo se aplica en el caso de datos sensibles que viajan a través de una red corporativa. Por lo tanto, una VPN debe presentar los siguientes requerimiento básicos:2.5.1. Autenticación de usuario. La solución deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y registros contables para mostrar quién accedió a qué información, y cuándo lo hizo.2.5.2. Administración de dirección. La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así.2.5.3. Encriptación de datos. Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red.2.5.4. Administración de llaves. La solución deberá generar y renovar las llaves de encriptación para el cliente y para el servidor.
  • 15. 2.5.5. Soporte de protocolo múltiple. La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen protocolo de Internet. Una solución de VPN de Internet basada en un Protocolo de túnel de punto a punto (PPTP).2.6. LOS 3 ESCENARIOS MÁS COMUNES DE VPNs2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) La mayoría de las compañías necesitan proveer acceso remoto a los empleados. Generalmente se utiliza una conexión dial-up (DUN) del cliente al servidor de acceso remoto (RAS) vía módems. Para acceso remoto VPN hay que considerar: tecnología en la Workstation cliente, qué sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la relación con el usuario remoto. El usuario remoto puede ser un empleado o individuo de menor confianza (un consultor a partner de negocios). Usualmente, el cliente de la Workstation estará corriendo bajo el SO Windows, pero podrá ser una estación MAC, Linux o Unix. SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download desde Microsoft. Cómo accede el usuario remoto al VPN Server vía Internet no es de importancia. Pero si debe considerarse el ancho de banda apropiado para que la conexión tenga sentido. Normalmente los proveedores de Internet (ISP) no bloquean los protocolos que se utilizan. Sólo puede haber problemas en el caso de que el usuario remoto trate de conectarse al VPN Server (vía Internet) desde dentro de una red (un empleado visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de situaciones, una solución es un http-tunnel, que permite llegar a Internet vía el puerto 80 de http y entonces establecer el túnel VPN.
  • 16. Una vez que el usuario remoto "disca" al número IP del servidor VPN se ingresa a la etapa de autenticación y autorización. Básicamente: ¿quién es usted?: Nombre de usuario y password y luego, ¿de qué modo lo autorizo a entrar en la red? (horario, protocolo). Toda ésta infraestructura deberá ser configurara por el administrador para garantizar seguridad. Según el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirán diferentes modos de autenticar (passwords tradicionales, certificados de usuario, tokens o biométrica). Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo limitará a áreas específicas. Se puede implementar esta "restricción" de diferentes modos: en el Server VPN, en los routers, o en las workstations y servers usando IPSec y políticas asociadas. En servidores VPN con W2K existe la posibilidad de usar Remote Acceses Policies (RAP). En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle entra en Intranet, se restringe el acceso al servidor correspondiente creando un grupo llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una política de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a la política que limite el tráfico del usuario remoto a destino, el servidor Oracle.2.6.2. SITE-TO-SITE VPN (VPN entre sitios) Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un link VPN a través de Internet, reemplazando así líneas dedicadas que en general son muy caras. Todo lo que se necesita es un servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere autenticación de usuario pero sí deben autenticarse los servidores VPN entre sí.
  • 17. Cuando se establece la conexión VPN, uno de los servidores VPN asume el rol de cliente e inicia una conexión con otro servidor VPN. Después de establecida la conexión VPN, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local. ¿Cómo saben los servidores VPN que cada uno es auténtico y no un impostor? De acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticación site-to-site en contraseñas asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre-acordadas o en certificados para cada máquina emitidos por una autoridad certificadora (CA, Certificate Authority).2.6.3. EXTRANET VPN Permite conectar la red de una empresa con uno o más "partners". Este escenario es muy similar a site-to-site aunque existen pequeñas diferencias. Básicamente la confianza entre ambas partes es diferente. Se permitirá a una sucursal acceder a todos los recursos de la red corporativa (site-to-site), pero es posible limitarlos para un partner. Normalmente se los restringirá a sólo unos cuantos servidores de la red. Con el tipo de restricción ya descriptos en Remote Access, podemos solucionar el problema. La segunda diferencia con site-to-site es que muy probablemente nuestro "partner" use una solución VPN diferente. Aparece aquí un problema de interoperabilidad a resolver. Para ello, se deberá atender, por ejemplo, a qué protocolos se usan en ambas soluciones VPNs y a qué tipo de autenticación se usará.2.7. TOPOLOGIAS DE VPN Existen muchos tipos de topologías de VPN que pueden adecuarse a las necesidades de una organización o se adaptan a una configuración de red ya existente. Estas topologías pueden ser definidas a través de acceso remoto (por ejemplo, una laptop tratando de acceder a un servidor de su organización), conexión entre dos LANs (Local Area Network), a través de Intranet e Extranet, utilizando una tecnología Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network Address Translation).
  • 18. Examinaremos ahora como funcionan algunas de las topologías de VPN mas usadas.2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente) Este tipo de VPN es el mas común y mas usado en nuestros tiempos. Nace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organización. Para que esto sea posible, la organización precisará tener un firewall instalado conteniendo los softwares necesarios para implementar a VPN. El cliente tiene que tener también instalado un software de criptografía compatible con los software del firewall. La comunicación ocurre cuando el cliente necesita de una comunicación confidencial con la organización, y sin embargo no se encuentre localizado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organización a partir de una red externa. La figura inferior ilustra como se establece este tipo de comunicación. Figura: VPN de acceso remoto
  • 19. Los pasos siguientes describen el proceso de comunicación entre el equipo portátil yel firewall de la organización: El usuario con el equipo portátil marca a su PSI local y establece una conexión PPP. El equipo portátil solicita las claves del dispositivo del firewall. El firewall responde con la clave apropiada. El software VPN instalado en el equipo portátil ve la solicitud echa por el usuario del equipo portátil, cifra el paquete y lo envía a la dirección IP publica de el Firewall. El firewall le quita la dirección IP, descifra el paquete y lo envía al servidor al que ha sido direccionado dentro de la LAN local. El servidor interno procesa la información recibida, responde a la solicitud y envía el documento de regreso. El firewall examina el trafico y reconoce que es información de túnel VPN así que toma el paquete, lo cifra y lo envía al equipo portátil. La pila de VPN en el equipo portátil ve el flujo de datos, reconoce que viene del dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles. Figura: Diagrama de acceso remoto
  • 20. 2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN Este tipo de topología es la segunda mas utilizada, se usa cuando es necesario comunicar dos redes locales separadas geográficamente. Las LANs pueden estar operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado y un firewall NT del otro. Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando el mismo algoritmo de criptografía y estar configurados para saber que cuando ocurre algún tráfico para uno u otro firewall, este tiene que ser criptografiado. Podemos observar en la figura inferior como se da el acceso entre dos redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT que será transmitido por FTP (File Transfer Protocol). El usuario de la LAN UNIX intenta conectarse a través de una aplicación FTP con un servidor LAN NT. El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es cifrado y se envía hacia una dirección IP pública de el firewall LAN NT. Este firewall acepta y descifra el paquete y envía para o servidor al que se le ha enviado la información. Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT. Este a su vez cifra el paquete y envía la información hacia el firewall da LAN UNIX que descifra y transmite la información para el usuario que solicito el requerimiento Figura: diagrama de VPN LAN
  • 21. 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT (Network Address Translation) Traducción de Direcciones de Nombres es el proceso de cambiar una dirección IP de una organización (una dirección privada de la organización) por una dirección IP pública enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organización. Entretanto, el NAT interfiere directamente en la implementación de la VPN, pues cambia la dirección IP a la hora que el paquete de datos sale de la red interna. La utilización de NAT no resulta complicado, pero la ubicación del dispositivo VPN es importante. La figura inferior ilustra el proceso Figura: Diagrama VPN con NAT
  • 22. Los pasos siguientes describen el proceso de comunicación de entrada y salida con undispositivo NAT Cuando un paquete precisa salir de la red interna, este es enviado hacia el firewall implementado con NAT. Este por primera vez, cambia la dirección IP enrutable El firewall implementado con NAT reenvía el paquete al dispositivo VPN que realiza el proceso de cifrado del paquete. El paquete es enviado hacia el enrutador externo que sea transmitido a su destino. Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado hacia el firewall implementado con NAT que cambia la dirección IP por el número original, este es enviado hacia el ruteador interno para ser dirigido hacia su destino.2.8. ANALISIS DE PROTOCOLOSLos conocimientos que fundamentan a una VPN son una criptografía y untunelamiento. Una criptografía se utilizada para garantizar la autentificación,onfidencialidad e integridad de las conexiones y es la base para la seguridad de lasredes; mas el tunelamiento es el responsable por el encapsulamiento y transmisión delos datos sobre una red publica entre dos puntos distintos.Dentro del mercado existen diversos protocolos que nos proporcionan este servicio yque difieren entre si dependiendo del nivel del modelo ISO/OSI donde actúan, de lacriptografía utilizada y de como influye directamente el nivel de seguridad en elacceso remoto VPN.
  • 23. 2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDADLas características básicas de un análisis de seguridad de los principales protocolosutilizados actualmente para acceso remoto VPN en plataformas ya sea Windows Linuxo Unix son las siguientes:2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer una red privada virtual entre usuarios de acceso remoto y servidores de red. Como protocolo de túnel, PPTP encapsula data gramas de cualquier protocolo de red en data gramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. La idea básica de PPTP es la de dividir las funciones de acceso remoto de tal modo que las personas de las empresas pudiesen utilizar una infraestructura de Internet “VXpara proveer una conectividad segura entre clientes remotos y redes privadas, es por eso que PPTP provee un mecanismo para tunelamineto de trafico PPP (Point to Point Protocol ) sobre redes IP.
  • 24. Figura: Diagrama del Protocolo PPTPEl PPTP es un protocolo de red que permite el tráfico seguro de datos desde un clienteremoto a un servidor corporativo privado, estableciéndose así una Red Privada Virtual(VPN) basada en TCP/IP. PPTP soporta múltiples protocolos de red (IP, IPX yNetBEUI) y puede ser utilizado para establecer dichas redes virtuales a través de otrasredes públicas o privadas como líneas telefónicas, redes de área local o extensa(LANs y WANs) e Internet u otras redes públicas basadas en TCP/IP.Una red privada virtual consiste en dos máquinas (una en cada "extremo" de laconexión) y una ruta o "túnel" que se crea dinámicamente en una red pública oprivada. Para asegurar la privacidad de esta conexión los datos transmitidos entreambos ordenadores son encriptados por el Point-to-Point protocolo (PPP), unprotocolo de acceso remoto, y posteriormente enrutados o encaminados sobre unaconexión previa también remota, LAN o WAN, por un dispositivo PPTP.La técnica de encapsulamiento de PPTP se basa en el protocolo Generic RoutingEncapsulation (GRE), que puede ser usado para realizar túneles para protocolos através de Internet. La versión PPTP, denominada GREv2, añade extensiones paratemas específicos como Call Id y velocidad de conexión.
  • 25. El paquete PPTP está compuesto por un header de envío, un header IP, un header GREv2 y el paquete de carga. El header de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene información relativa al paquete IP, como es, direcciones de origen y destino, longitud del data grama enviado, etc. El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. El paquete de carga es el paquete encapsulado, que en el caso de PPP, el data grama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP. Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y acepta cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo de autentificación por reto), standard en el que se intercambia un "secreto" y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. Para la encriptación, PPTP utiliza el sistema RC4.2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) Layer Two Tunneling Protocol es una extensión del PPTP (Point-to-Point Protocol), que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F de Cisco. Los dos componentes principales del L2TP son: El LAC (L2TP Access Concentrator), que es el dispositivo que físicamente termina una llamada; y el LNS (L2TP Network Server), que es el dispositivo que autentifica y termina el enlace PPP. L2TP utiliza redes conmutadas de paquetes para hacer posible que los extremos de la conexión estén ubicados en distintas computadoras.
  • 26. El usuario tiene una conexión L2 al LAC, el cual crea el túnel de paquetes PPP. Así, los paquetes pueden ser procesados en el otro extremo de la conexión, o bien, terminar la conexión desde un extremo. L2TP soporta cualquier protocolo incluyendo IP, IPX y AppleTalk, así como también cualquier tecnología de backbone WAN, incluyendo Frame Relay, modos de transferencia asíncrono ATM, X.25 y SONET. Figura: Diagrama del Protocolo L2TP2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) IPSec es un conjunto de extensiones al protocolo IP. Es un estándar de la IETF (Internet Engineering Task Force) definido en el RFC 2401. Provee servicios de seguridad como autenticación, integridad, control de acceso y confidencialidad. Es implementado en la capa de Red, de tal forma que su funcionamiento es completamente transparente al nivel de aplicaciones, y es mucho más poderoso. IPSec provee un mecanismo estándar, robusto y con posibilidades de expansión, para proveer seguridad al protocolo IP y protocolos de capas superiores.
  • 27. Figura: Diagrama del Protocolo IPSecLa arquitectura de IPSec define la granularidad con la que el usuario puedeespecificar su política de seguridad. Permite que cierto tráfico sea identificado pararecibir el nivel de protección deseado. Figura: Diagrama de funcionamiento de IPSec
  • 28. IPSec está diseñado para proveer seguridad interoperable de alta calidad basada encriptografía, tanto para IPv4 como para IPv6 [RFC2401, 1998]. Está compuesto pordos protocolos de seguridad de tráfico: el Authentication Header (AH) y elEncapsulating Security Payload (ESP), además de protocolos y procedimientos parael manejo de llaves encriptadas. AH provee la prueba de los datos de origen en lospaquetes recibidos, la integridad de los datos, y la protección contra-respuesta. ESPprovee lo mismo que AH adicionando confidencialidad de datos y de flujo de tráficolimitado.En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el mecanismo deAH se aplican algoritmos de autenticación, con la aplicación del mecanismo ESP,además de autenticación, también algoritmos de encriptación. El esquema deinteroperabilidad se maneja a través de Asociaciones de Seguridad (SA), almacenadasen una base de datos.Los parámetros que se negocian para establecer los canales seguros se denominanDominio de Interpretación IPSec (Domain of Interpretation, DOI), bajo políticas pre-establecidas dentro de un esquema de funcionamiento estático con valores fijos ypreviamente establecidos, o bien, en un esquema de funcionamiento dinámicoutilizando un protocolo de manejo de llaves, Interchange Key Exchange (IKE).
  • 29. Figura II.10.9: Diagrama de la Arquitectura IPSec2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC El diseño de IPSec plantea dos modos de funcionamiento para sus protocolos: el de transporte y el de túnel, la diferencia radica en la unidad que se esté protegiendo, en modo transporte se protege la carga útil IP (capa de transporte), en modo túnel se protegen paquetes IP (capa de red) y se pueden implementar tres combinaciones: AH en modo transporte, ESP en modo transporte, ESP en modo túnel (AH en modo túnel tiene el mismo efecto que en modo transporte).
  • 30. El modo transporte se aplica a nivel de hosts. AH y ESP en este modo interceptaránlos paquetes procedentes de la capa de transporte a la capa de red y aplicarán laseguridad que haya sido configurada. En la figura siguiente se aprecia un esquema deIPSec en modo transporte, si la política de seguridad define que los paquetes debenser encriptados, se utiliza ESP en modo transporte, en caso que solo haya sidorequerida autenticación, se utiliza AH en modo transporte. Figura: Modos de funcionamiento de IPSECLos paquetes de la capa de transporte como TCP y UDP pasan a la capa de red, queagrega el encabezado IP y pasan a las capas inferiores. Cuando se habilita IPSec enmodo transporte, los paquetes de la capa de transporte pasan al componente de IPSec(que es implementado como parte de la capa de red, en el caso de sistemasoperativos), el componente de IPSec agrega los encabezados AH y/o ESP, y la capade red agrega su encabezado IP.
  • 31. En el caso que se apliquen ambos protocolos, primero debe aplicarse la cabecera de ESP y después de AH, para que la integridad de datos se aplique a la carga útil de ESP que contiene la carga útil de la capa de transporte. Figura: Cabeceras de IPSecEl modo túnel se utiliza cuando la seguridad es aplicada por un dispositivo diferente algenerador de los paquetes, como el caso de las VPN, o bien, cuando el paquete necesita serasegurado hacia un punto seguro como destino y es diferente al destino final. Como seilustra en la figura inferior, el flujo de tráfico es entre A y B, e IPSec puede aplicarse conuna asociación de seguridad entre RA y RB, o bien una asociación de seguridad entre A yRB. Figura: Flujo de paquetes
  • 32. IPSec en modo túnel, tiene dos encabezados IP, interior y exterior. El encabezado interior es creado por el host y el encabezado exterior es agregado por el dispositivo que está proporcionando los servicios de seguridad. IPSec encapsula el paquete IP con los encabezados de IPSec y agrega un encabezado exterior de IP. IPSec también soporta túneles anidados, aunque no son recomend ados por lo complicado de su construcción, mantenimiento y consumo de recursos de red. Figura II.10.8: Encabezados IP en modo tunel2.8.1.4. OTRAS SOLUCIONES La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están haciendo- a IPSec, otras posibilidades son:2.8.1.4.1. Secure shell (SSH) Protege conexiones TCP mediante criptografía (a nivel de OSI de presentación, no a nivel de transporte o inferiores). Protege por tanto, conexión a conexión.2.8.1.4.2. CIPE – Crypto Encapsulation Encapsula datagramas IP dentro de UDP. De momento sólo está disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso, bastante interesante.
  • 33. 2.8.1.4.3. RFC 1234: Tunneling IPX Traffic through Networks Encapsulado de datagramas IPX (Novell Netware) sobre UDP.2.8.1.4.4. RFC 2004: Minim al Encapsulation within IP En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el datagrama original y le añade información para deshacer los cambios. El protocolo IP asociado es el 55.2.9. TUNELES PPTP permite a los usuarios y a las ISPs crear varios tipos de túneles, basados en la capacidad del computador del usuario final y en el soporte de la ISP para implementar PPTP. De esta manera, el computador del usuario final determina el lugar de terminación del túnel, bien sea en su computador, si está corriendo un cliente PPTP, o en el servidor de acceso remoto de la ISP, si su computador solo soporta PPP y no PPTP. En este segundo caso el servidor de acceso de la ISP debe soportar PPTP, a diferencia del primer caso, donde la ISP no se involucra en ningún proceso de entunelamiento de datos. Dado lo anterior, los túneles se pueden dividir en dos clases, voluntarios y permanentes. Los túneles voluntarios son creados por requerimiento de un usuario y para un uso específico. Los túneles permanentes son creados automáticamente sin la acción de un usuario y no le permite escoger ningún tipo de privilegio.
  • 34. En los túneles voluntarios, la configuración del mismo depende del usuario final,cuando se usan túneles de este tipo, el usuario puede simultáneamente acceder aInternet y abrir un túnel seguro hacia el servidor PPTP. En este caso el clientePPTP reside en el computador del usuario. Los túneles voluntarios proveen másprivacidad e integridad de los datos que un túnel permanente. La figura 5.3muestra un escenario de túneles voluntarios creados desde dos clientesdistintos a un mismo servidor PPTP a través de Internet.Los túneles permanentes son creados sin el consentimiento del usuario, por lotanto, son transparentes para el mismo. El cliente PPTP reside en el servidor deacceso remoto de la ISP al que se conectan los usuarios finales. Todo eltráfico originado desde el computador del usuario final es reenviado por el RASsobre el túnel PPTP. En este caso la conexión del usuario se limita solo a lautilización del túnel PPTP, no hay acceso a la red pública (Internet) sobre la cual seestablece el túnel. Un túnel permanente PPTP permite que múltiples conexionessean transportadas sobre el mismo túnel. La figura 5.4 muestra un túnelpermanente entre un RAS con capacidad para encapsular sesiones PPP usandoPPTP y por medio del cual van multiplexadas dos sesiones de clientes A y B.
  • 35. Dado que los túneles permanentes tienen predeterminados sus puntos finales yque el usuario no puede acceder a Internet, estos túneles ofrecen mejorcontrol de acceso que los túneles voluntarios. Otra ventaja de los túnelespermanentes, es que reducen el ancho de banda utilizado, ya que múltiplessesiones pueden ser transportadas sobre un único túnel, a diferencia de lostúneles voluntarios donde cada sesión tiene que trabajar con cabecerasindependientes que ocupan un ancho de banda.Una desventaja de los túneles permanentes es que la conexión inicial, es decir,entre el usuario final y el servidor de acceso que esta actuando como clientePPTP, no hace parte del túnel, por lo tanto, puede ser vulnerable a un ataque.
  • 36. Los túneles permanentes se dividen en estáticos y dinámicos. Los túneles estáticos son aquellos que requieren equipos dedicados y su configuración es manual. En este tipo de túneles el usuario final tiene a su disposición varios RAS, los cuales tienen establecidos diferentes túneles a diferentes servidores PPTP. Por ejemplo, si un usuario necesita hacer una VPN a su oficina regional ubicada en la ciudad A tiene que marcar un número X, pero si ese mismo usuario quiere hacer una VPN con su oficina en una ciudad B, tiene que marcar un número Y. Los túneles permanentes dinámicos usan el nombre del usuario para determinar el túnel asociado con él, es decir que se encargan de aprovechar mejor los recursos y el usuario puede marcar al mismo número para establecer túneles a diferentes sitios. La información asociada con cada usuario puede residir en el servidor Radius en el cual ese servidor de acceso esta autenticando todas las conexiones. Claramente se observa que los túneles permanentes estáticos son más costosos que los dinámicos, ya que involucran un servidor de acceso por cada destino que un cliente VPN quiera alcanzar. 2.10.1. MODELOS DE ENTUNELAMIENTOEn las VPN los sitios de terminación (terminadores) de los túneles sonaquellos donde se toman las decisiones de autenticación y las políticas decontrol de acceso y donde los servicios de seguridad son negociados y otorgados.En la práctica hay tres tipos posibles de servicios de seguridad que dependen de laubicación de los terminadores. El primer caso es aquel donde el terminador está enel host mismo, donde los datos se originan y terminan. En el segundo caso elterminador está en el gateway de la LAN corporativa donde todo el tráficoconverge en un solo enlace. El tercer caso es aquel donde el terminador estálocalizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) dela ISP.
  • 37. Dado que un túnel VPN se compone de dos terminadores, se pueden obtener seistipos de modelos de seguridad derivados de la posible combinación de lasdiferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to-LAN,LAN-to-POP y POP-to-POP, en la figura 3.11 se notan cada uno de ellos. En el modelo End-to-End el túnel va desde un extremo hasta el otro del sistema. Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y en el destino de la comunicación. Este escenario presenta el más alto nivel de seguridad dado que los datos siempre están seguros en todos los segmentos de la red, bien sea pública o privada. Sin embargo, el total de túneles que pueden haber en una empresa grande, dificulta el manejo de los servicios de seguridad requeridos por dichos host. Este modelo de seguridad es comúnmente visto en implementaciones de capas superiores, como es el caso de SSL (Secure Sockets Layer). Tales implementaciones no son consideradas como modelos de entunelamiento.
  • 38. En el caso de LAN-to-POP el túnel comienza en un dispositivo VPN localizado en lafrontera de la red corporativa y termina en un dispositivo VPN el cual se encuentra enun POP de la ISP. En la actualidad prácticamente este modelo de entunelamiento noes aplicado.Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizados en lapropia red de la ISP. Por lo tanto los servicios de seguridad son completamentetransparentes para los usuarios finales del túnel. Este modelo permite a losproveedores de servicio implementar valores agregados a los clientes sin que éstosalteren la infraestructura de sus redes.De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los másextensamente usados en las soluciones VPN. Sin embargo, el POP-to-POP o modelode seguridad basado en red, ha cobrado vigencia últimamente dado que permite a lasISPs implementar servicios de valores agregados para sus clientes.En el modelo End-to-LAN, el túnel comienza en un host y termina en elperímetro de una LAN en la cual reside el host destino. Un dispositivo VPNlocalizado en el perímetro de la red es el responsable de la negociación yobtención de los servicios de seguridad de los host remotos. De esta manera, laseguridad de un gran número de dispositivos en una red corporativa puede sermanejada en un único punto, facilitando así la escalabilidad del mismo. Dado que lared corporativa es considerada un sitio seguro, comúnmente no hay necesidad deencriptar la información que transita dentro de ella. La mayoría de implementacionesde acceso remoto VPN trabajan con este modelo.El modelo de entunelamiento End-to-POP es aquel en el cual un host remoto terminael túnel en un POP de la ISP. Un dispositivo VPN o un equipo con funciones determinador VPN y que se encuentra en la red de la ISP es el responsable por lanegociación y concesión de los servicios de seguridad. La entrega de los datos desdeel POP hasta el host destino es por lo general asegurada con infraestructura física,la cual separa el tráfico del resto de la red pública.
  • 39. Por lo general en este caso el ISP administra los permisos y controla el acceso segúnlas directivas de los administradores de red de las empresas clientes. La arquitecturade acceso remoto VPN también usa este modelo.En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situados en lafrontera de la red corporativa para negociar y conceder servicios deseguridad. De esta manera, las funciones de seguridad no necesitan ser implementadasen los hosts finales donde los datos son generados y recibidos. Laimplementación de los servicios de seguridad es completamente transparente para loshosts. Esta implementación reduce drásticamente la complejidad en el manejo de laspolíticas de seguridad. La arquitectura Intranet VPN encaja en este modelo. 2.11. PAQUETE DE ENCRIPTACIÓN IP 2.11.1. CAPAS Y CIFRADO DE RED Existen diversos lugares en donde el encriptación se puede construir dentro de una infraestructura de red existente, correspondientemente a los protocolos de las diferentes capas. 2.11.1.1. En el nivel de Red: Los paquetes que viajan entre los hosts en la red son encriptados. El motor de encriptación se coloca cerca del driver que envía y recibe los paquetes. Una implementación se encuentra en CIPE. 2.10.1.2. En el nivel de Socket: Una conexión lógica entre los programas que funcionan en diversos hosts (conexión TCP; capa de transporte o de sesión en OSI) es encriptada. El motor de encriptación intercepta o procura conexiones. SSH y el SSL trabajan esta manera. 2.10.1.3. En el nivel de Aplicación: Las aplicaciones contienen su propio motor del cifrado y cifran los datos ellos mismos. El mejor ejemplo sabido es PGP para cifrar correo.
  • 40. El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que puede ser hecho para trabajar de manera transparente, sin ningún cambio a la aplicación software. En el caso de los paquetes de encriptación IP, este puede ser construido dentro de los routers IP que actúan generalmente como "cajas negras" entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los routers. Un router de encriptación se ve de manera tan exacta como un host que no cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada así en lugares donde no sean factibles los cambios de software a niveles más altos. El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en un nivel más alto, por ejemplo. usos de Troyanos, bug exploit dentro del software del sistema o administradores pillos "sniffers" en los dispositivos terminales.III. PROBLEMA La Empresa de Transporte “El Cortijo” se encuentra ubicado en la ciudad de Trujillo, cuenta con dos sucursales, una en la ciudad de Chiclayo y otra en la ciudad de Cajamarca. Dichas dependencias manejan la información de manera individual y aislada de la empresa matriz, y para el proceso de sus datos no consideran las aplicaciones cliente servidor - usadas actualmente por la empresa central- sino que más bien, emplean una aplicación antiguamente desarrollada por la sede principal. De esta manera, el Sistema Integrado de la empresa demanda mensualmente gastos necesarios para centralizar toda la información en Trujillo, debido a que existen áreas y procesos que requieren la data completa de la empresa central y sus dependencias-, por citar las áreas de contabilidad, secretaria y finanzas, etc.
  • 41. IV. SOLUCION Debido a esto y a la necesidad de tener un control de las actividades de sus sucursales surge la necesidad de establecer una conexión (un medio de transmisión seguro) entre la sede central y sus sucursales, para que se pueda utilizar las aplicaciones cliente - servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos que generen el mantener la información de la empresa de forma separada y descentralizada.V. JUSTIFICACION Con la implementación de la conexión se podrá utilizar las aplicaciones cliente-servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos, y así no cometer gastos innecesarios en la demora de la información.
  • 42. VI. DISEÑO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIÓN CON VPNVII. COSTO DE DISEÑO PROPUESTO
  • 43. VIII. CONCLUSIONES  Actualmente las VPN ofrecen un servicio ventajoso para las empresas que quieran tener una comunicación segura con sus proveedores, clientes u otros, de forma segura, sin necesidad de implantar una red de comunicación costosa que permita lo mismo.  Además esta solución VPN nos permitirá no solo crear la interconexión con dos sucursales sino que es escalable, es decir nos permitirá crear conexiones virtuales con otros puntos cuando la empresa lo requiera, generando solo un gasto de mínimo con el PSI de la localidad en la que esta destinados la interconexión y un CPU con mínimas características  Por último las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no está bien definido pueden existir consecuencias serias.IX RECOMENDACIONES  Cabe desatacar que algunas aplicaciones que necesitan de procesos bastantes complejos se tienen que correr en maquinas solamente dedicadas a esas operaciones ya que como son procesos bastantes pesados como calculo de planillas, requieren ser procesadas por maquinas potentes y dedicadas a esta labor para que no se sienta algún retardo o problema en la interconexión.  Otro punto a tener en cuenta es el proveedor de servicio de Internet a utilizar, si bien es cierto existen varios proveedores que nos pueden proporcionar este servicio, algunos que nos proporcionan un buen servicio son realmente muy caros para mantener en una empresa relativamente pequeña, y los que ofrecen una interconexión a Internet con precios módicos, su servicio es muy inestable y en algunos casos con interrupciones en el servicio de manera constante haciendo imposible una conexión VPN cuando se corren procesos largos, es por eso necesario la constante evaluación de los proveedores de servicio de Internet.