Diseño de una VPN para la interconexión de la empresa de transportes El Cortijo
1. UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA DE SISTEMAS E INFORMÁTICA
DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN)
PARA LA INTERCONEXIÓN DE LA EMPRESA “EL CORTIJO”
CON SUS SUCURSALES
INTEGRANTES :
CARRUITERO FAJARDO YOVANA
MAZA RAMOS MIGUEL
ROMERO ZEGARRA BRUNO
VELASQUEZ RUIZ JOSE
DOCENTE : ING. KENE REYNA ROJAS
ASIGNATURA : REDES DE COMPUTADORAS
Nuevo Chimbote, 17 de Enero del 2013
2. INDICE
I. DATOS DE LA EMPRESA
1.1. RESEÑA HISTORICA
1.2. UBICACIÓN GEOGRÁFICA
1.3. MISION
1.4. VISION
1.5. ORGANIGRAMA
1.6. OBJETIVOS
1.7. POLÍTICAS
II. MARCO TEÓRICO
2.1. DEFINICION DE UNA VPN
2.2. CARACTERISTICAS FUNCIONALES DE UNA VPN
2.3. VENTAJAS E INCONVENIENTES DE UNA VPN
2.3.1. VENTAJAS
2.3.2. INCONVENIENTES
2.4. ELEMENTOS PRINCIPALES DE UNA VPN
2.4.1. SERVIDOR VPN
2.4.2. CLIENTE VPN
2.4.3. TÚNEL
2.4.4. CONEXIÓN VPN
2.4.5. PROTOCOLOS DEL TÚNEL
2.4.6. DATOS DEL TÚNEL (TUNELED DATA)
2.4.7. RED DE TRANSITO
2.5. REQUERIMIENTOS BÁSICOS DE LA VPN
2.5.1. AUTENTICACIÓN DE USUARIO.
2.5.2. ADMINISTRACIÓN DE DIRECCIÓN.
2.5.3. ENCRIPTACIÓN DE DATOS.
2.5.4. ADMINISTRACIÓN DE LLAVES.
2.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE.
2.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs
2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN)
2.6.2. SITE-TO-SITE VPN (VPN entre sitios)
2.6.3. EXTRANET VPN
2.7. TOPOLOGÍAS DE VPN
2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall -
cliente)
2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN
2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
3. 2.8. ANALISIS DE PROTOCOLOS
2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD
2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP)
2.8.1.3. IP SECURITY IPSec (Internet Protocol Security)
2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC.
2.8.1.3.2. OTRAS SOLUCIONES
2.8.1.3.2.1. Secure shell (SSH)
2.8.1.3.2.2. CIPE – Crypto Encapsulation
2.8.1.3.2.3. RFC 1234 : Tunneling IPX Traffic through
Networks
2.8.1.3.2.4. RFC 2004: Minim al Encapsulation within
IP
2.9. TÚNELES
2.9.1. MODELOS DE ENTUNELAMIENTO
2.10. PAQUETE DE ENCRIPTACIÓN IP
2.10.1. CAPAS Y CIFRADO DE RED
2.10.1.1. EN EL NIVEL DE RED
2.10.1.2. EN EL NIVEL DE SOCKET
2.10.1.3. EN EL NIVEL DE APLICACIÓN
III. PROBLEMA
IV. SOLUCION
V. JUSTIFICACION
VI. DISEÑO EN PACKET TRACER
6.1. ESQUEMA DE RED SUCURSAL TRUJILLO
6.2. ESQUEMA DE RED SUCURSAL CORNIJO
6.3. ESQUEMA DE RED SUCURSAL PORVENIR
6.4. ESQUEMA DE LA SOLUCIÓN CON VPN
VII. COSTO DE DISEÑO PROPUESTO
VIII. CONCLUSIONES
4. I. DATOS DE LA EMPRESA:
1.1. RESEÑA HISTORICA
Empresa de Transportes “EL CORTIJO” S.A fue fundada el 29 de Agosto del año 1997,
y que se fundó con la iniciativa de prestar servicio de transporte masivo de pasajero en
Trujillo Metropolitano, se inscribió bajo los términos Sociedad Anónima con la
participación de 20 accionistas. Si bien es cierto contábamos con una flota vehicular de
20 unidades, Insuficiente para cubrir el servicio, es que nos abocamos a establecer el
crecimiento de la flota, para poder brindar un mejor servicio, llegando a conformar
hasta el año 1999 una flota de 34 Unidades vehiculares.
A partir del 2000 el Directorio de Turno de la Empresa elaboro un proyecto de
desarrollo de Empresa dentro de ese proyecto estaba la Construcción de un terminal, a
la vez se consideró gestionar el permiso de un consumidor interno de combustible, un
servicio de cambio de aceite, un lavadero de presión, venta de llantas, servicio de frenos
y servicios adicionales, afines del rubro de transportes, llegando a desarrollar a la fecha
el 80 % de nuestro proyecto.
La Empresa de Transporte “EL CORTIJO” S.A en la actualidad cuenta con una flota
operativa de 131 unidades prestando un servicio a satisfacción del Público usuario.
1.2. UBICACIÓN GEOGRAFICA
La empresa de Transporte El cortijo S.A tiene domicilio social en la Av. Jaime Blanco
No 2901-2999, AA.HH Kumamoto, El Porvenir. Provincia de Trujillo, Departamento
de la Libertad.
5. 1.3. MISION
E.T.E.C.S.A es una Empresa que se dedica al transporte de pasajeros en diferentes rutas
locales. Desde su creación brinda el mejor servicio al público en general marcando la
diferencia, contribuye con la movilización de las personas a sus lugares de destino,
facilitando un servicio de calidad y tarifas justas de pasajes manteniendo un clima
donde impera el respeto, justicia, honradez y el cumplimiento de reglas y normas de
tránsito y el cuidado del medio ambiente.
1.4. VISION
E.T.E.C.S.A desea en 5 años llegar a ser la mejor empresa de transporte urbano en
brindar una calidad única y garantizada, manteniendo un trabajo en equipo y la práctica
de valores tanto con el personal de la organización como para el público en general,
alcanzando un reconocimiento de calidad de servicio y convertirse en una empresa
sólida.
6. 1.5. ORGANIGRAMA
PRESIDENTE DEL DIRECTORIO
SECRETARIA GERENTE GENERAL
DIRECTOR DE ECONOMIA DIRECTOR DISCIPLINA Y DIRECTOR DEL PERSONAL
TRANSPORTES
CONTABILIDAD INTERNA VIGILANCIA Y LIMPIEZA
SUPERVISION DE UNIDADES
COBRANZA
CONDUCTORES DE
UNIDADES DE
DESPACHO DE LUBRICANTES TRANSPORTE
ABASTECIMIENTO DEL COMBUSTIBLE
7. 1.6. OBJETIVOS DE LA EMPRESA
Lograr eficaz y eficiente servicio de transporte urbano de personas en la Ruta:
Trujillo metropolitano- El Provenir y viceversa,en ómnibus y unidades autorizadas
por el M.P.T.
Prestación de servicios de transporte turístico, de acuerdo con la autorización
operacional que otorgen los Organismos Pertinentes.
La prestación de servicio de prevención, mantenimiento y reparación de los
vehículos motorizados que están adjudicados al servicio público de transportes de
personas en las rutas autorizadas.
La prestación de servicio público de personas en Trujillo Metropolitano, para lo cual
contará con la correspondiente autorización
1.7. POLITICA DE LA EMPRESA
Hacer cumplir las disposiciones legales vigentes en materia de seguridad e higiene,
relativos al servicio de transporte público de personas en Trujillo Metropolitano, en
las rutas autorizadas por la M.P.T, las mismas que están amparadas en las
Resoluciones de Permiso de Operación.
Respetar las normas constitucionales, aplicarlas, así como las leyes, normas y
disposiciones legales que en materia laboral sean pertinentes aplicarlas al personal
dependiente de la empresa y en el caso de los conductores o cobradores u otro
personal eventual que labore para los propietarios de las unidades de transporte
público, aplicar las disposiciones emanada de la Municipalidad Provincial de
Trujillo, respecto al comportamiento con el usuario, con relación al buen trato que
deben tener con los pasajeros, especialmente con los niños, ancianos y
minusválidos.
Respetar la dignidad de los pasajeros o usuarios del transporte público; respetar sus
sentimientos, creencia e ideología de los socios, de los trabajadores, de los
conductores y cobradores.
Establecer la política adecuada para prevenir, investigar y resolver los conflictos
laborales de acuerdo con los fines y objetivos de ETECSA.
Disponer que la gerencia y demás niveles jerárquicos de la empresa, guarden el
debido respeto y observen buen trato con los accionistas, los conductores y
cobradores, respetando las normas de disciplina impuestas por la empresa para la
buena marcha de la sociedad en beneficio del público usuario.
Exigir a los socios o terceros que las unidades de servicio público se encuentren en
buen estado de conservación.
Disponer la suscripción de los contratos al socio que emplee su unidad y personal
operativo para el cumplimiento de una comisión de servicio
8. II. MARCO TEÓRICO:
2.1.DEFINICION DE UNA VPN
Una Red Privada Virtual (VPN) es una forma de compartir y transmitir información
entre un círculo cerrado de usuarios que están situados en diferentes áreas
geográficas. Es una red de datos de gran seguridad que utilizando Internet como
medio de transmisión permite la transmisión de información confidencial entre la
empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus
empleados o sus clientes. Aunque Internet es una red pública y abierta, la transmisión
de los datos se realiza a través de la creación de túneles virtuales, asegurando la
confidencialidad e integridad de los datos transmitidos.
Figura: Esquema de una Red VPN
9. Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por
medio de la conexión de los usuarios de distintas redes a través de un "túnel" que se
construye sobre Internet o sobre cualquier otra red pública, negociando un esquema
de encriptación y autentificación de los paquetes de datos para el transporte,
permitiendo el acceso remoto a servicios de red de forma transparente y segura con el
grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están
implementadas con firewalls, con routers para lograr esa encriptación y
autentificación.
Es así como las Redes Privadas Virtuales (VPN) se convierten en un componente
importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar
una infraestructura de redes publicas para la comunicación en vez de utilizar
conexiones privadas o estructuras de acceso remoto que poseen un costo elevado,
permitiendo compartir y transmitir información de forma segura y confidencial entre
una empresa y sus sucursales, socios, proveedores, etc.
2.2.CARACTERISTICAS FUNCIONALES
Para que una VPN proporcione la comunicación que se espera, el sistema que se
implante ha de contemplar varios aspectos de funcionamiento para determinar que
será una buena solución.
Transparente a las aplicaciones
Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el
correcto funcionamiento de las aplicaciones.
Confidencialidad
Los datos que circulan por el canal sólo pueden ser leídos por el emisor y el
receptor. La manera de conseguir esto es mediante técnicas de encriptación.
Autentificación
El emisor y el receptor son capaces de determinar de forma inequívoca sus
identidades, de tal manera que no exista duda sobre las mismas. Esto puede
conseguirse mediante firmas digitales o aplicando mecanismos desafío-respuesta.
10. Integridad
Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean
exactamente los que el emisor transmitió por el canal. Para esto se pueden utilizar
firmas digitales.
No repudio
Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo
emitió él.
Control de acceso
Capacidad para controlar el acceso de los usuarios a distintos recursos.
Viabilidad
Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de tiempo
real.
2.3.VENTAJAS E INCONVENIENTES
2.3.1. VENTAJAS
Una VPN permite disponer de una conexión a red con todas las características
de la red privada a la que se quiere acceder. El cliente VPN adquiere
totalmente la condición de miembro de esa red, con lo cual se le aplican todas
las directivas de seguridad y permisos de un ordenador en esa red privada,
pudiendo acceder a la información publicada para esa red privada a través de
un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet
desde el ordenador cliente VPN se realizaran usando los recursos y conexiones
que tenga la red privada.
11. Representa una gran solución en cuanto a seguridad, confidencialidad e
integridad de los datos y reduce significativamente el costo de la transferencia
de datos de un lugar a otro.
Simplifica la integración y crecimiento de una Red ya que la VPN provee una
solución propietaria flexible y escalable para su implementación y
crecimiento.
Permite la integración de diversos ambientes computacionales en una sola red
de información cohesiva. Esto se debe fundamentalmente a estar basado en
estándares abiertos.
Minimiza el costo de administración y soporte de la red. Las VPN ayudan a
aumentar la productividad del personal de soporte y administración de la red.
Provee un punto central para la distribución de software y updates, manuales,
etc. El browser al ser único, reduce los costos de entrenamiento de personal,
pues emplea aplicaciones existentes o nuevas manteniendo la misma
apariencia a través de todas las aplicaciones.
2.3.2. INCONVENIENTES
Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de
encapsular los paquetes de datos, situación que se agrava cuando además se
realiza encriptación de los datos; lo cual origina que las conexiones sean
mucho mas lentas.
Mayor complejidad en el tráfico de datos que puede producir efectos no
deseados al cambiar la numeración asignada al cliente VPN y que puede
requerir cambios en las configuraciones de aplicaciones o programas (proxy,
servidor de correo, permisos basados en nombre o número IP) .
Las VPN primero deben establecer correctamente las políticas de seguridad y
de acceso.
12. 2.4. ELEMENTOS PRINCIPALES DE UNA VPN
2.4.1. Servidor VPN
Es un servidor que se pone como gateway en la salida de Internet de la red. Permite
conectarse con otros servidores VPN generando túneles de comunicación seguros con
otras redes o usuarios remotos, proporcionando una conexión de acceso remoto VPN
o una conexión de enrutador a enrutador.
2.4.2. Cliente VPN
El cliente VPN permite la comunicación privada virtual iniciada desde el cliente de la
red (VPN). Es en si una computadora que inicia una conexión VPN con un servidor
VPN.
Un cliente VPN o un enrutador tiene una conexión de enrutador a enrutador a través
de una red pública, así es como los usuarios finales logran la comunicación dentro de
un ambiente de la empresa que requieren una conexión segura del extremo usuario-a-
anfitrión.
2.4.3. Túnel
Porción de la conexión en la cual sus datos son encapsulados.
2.4.4. Conexión VPN
Es la porción de la conexión en la cual sus datos son encriptados.
Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma
porción de la conexión.
2.4.5. Protocolos del Túnel
Se utiliza para administrar los túneles y encapsular los datos privados. Los datos que
son enviados por el túnel deben de ser encriptados para que sea una conexión VPN.
13. 2.4.6. Datos del Túnel (Tuneled Data)
Datos que son generalmente enviados a través de un enlace VPN.
2.4.7. Red de Transito
La red pública o compartida que es cruzada por los datos encapsulados. Generalmente
una red IP. La red de tránsito debe ser Internet o una intranet IP privada.
Figura: Elementos de una VPN
2.5. REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solución de red remota, una compañía desea
facilitar un acceso controlado a los recursos y a la información de la misma. La
solución deberá permitir la libertad para que los clientes roaming o remotos
autorizados se conecten con facilidad a los recursos corporativos de la red de área
local (LAN). Así como las oficinas remotas se conecten entre si para compartir
recursos e información (conexiones de N).
14. Por último, la solución debe garantizar la privacidad y la integridad de los datos al
viajar a través de Internet público. Lo mismo se aplica en el caso de datos sensibles
que viajan a través de una red corporativa.
Por lo tanto, una VPN debe presentar los siguientes requerimiento básicos:
2.5.1. Autenticación de usuario.
La solución deberá verificar la identidad de un usuario y restringir el acceso de la
VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y
registros contables para mostrar quién accedió a qué información, y cuándo lo hizo.
2.5.2. Administración de dirección.
La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de
que las direcciones privadas se mantengan así.
2.5.3. Encriptación de datos.
Los datos que viajan en una red pública no podrán ser leídos por clientes no
autorizados en la red.
2.5.4. Administración de llaves.
La solución deberá generar y renovar las llaves de encriptación para el cliente y para
el servidor.
15. 2.5.5. Soporte de protocolo múltiple.
La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos
incluyen protocolo de Internet. Una solución de VPN de Internet basada en un
Protocolo de túnel de punto a punto (PPTP).
2.6. LOS 3 ESCENARIOS MÁS COMUNES DE VPNs
2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN)
La mayoría de las compañías necesitan proveer acceso remoto a los empleados.
Generalmente se utiliza una conexión dial-up (DUN) del cliente al servidor de acceso
remoto (RAS) vía módems.
Para acceso remoto VPN hay que considerar: tecnología en la Workstation cliente,
qué sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la
relación con el usuario remoto.
El usuario remoto puede ser un empleado o individuo de menor confianza (un
consultor a partner de negocios). Usualmente, el cliente de la Workstation estará
corriendo bajo el SO Windows, pero podrá ser una estación MAC, Linux o Unix.
SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones
sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs
pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download
desde Microsoft.
Cómo accede el usuario remoto al VPN Server vía Internet no es de importancia. Pero
si debe considerarse el ancho de banda apropiado para que la conexión tenga sentido.
Normalmente los proveedores de Internet (ISP) no bloquean los protocolos que se
utilizan. Sólo puede haber problemas en el caso de que el usuario remoto trate de
conectarse al VPN Server (vía Internet) desde dentro de una red (un empleado
visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de
situaciones, una solución es un http-tunnel, que permite llegar a Internet vía el puerto
80 de http y entonces establecer el túnel VPN.
16. Una vez que el usuario remoto "disca" al número IP del servidor VPN se ingresa a la
etapa de autenticación y autorización. Básicamente: ¿quién es usted?: Nombre de
usuario y password y luego, ¿de qué modo lo autorizo a entrar en la red? (horario,
protocolo). Toda ésta infraestructura deberá ser configurara por el administrador para
garantizar seguridad.
Según el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirán
diferentes modos de autenticar (passwords tradicionales, certificados de usuario,
tokens o biométrica).
Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo
limitará a áreas específicas. Se puede implementar esta "restricción" de diferentes
modos: en el Server VPN, en los routers, o en las workstations y servers usando IPSec
y políticas asociadas. En servidores VPN con W2K existe la posibilidad de usar
Remote Acceses Policies (RAP).
En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el
servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle
entra en Intranet, se restringe el acceso al servidor correspondiente creando un grupo
llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces
mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una
política de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a
la política que limite el tráfico del usuario remoto a destino, el servidor Oracle.
2.6.2. SITE-TO-SITE VPN (VPN entre sitios)
Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones
geográficas, para ello emplea un link VPN a través de Internet, reemplazando así
líneas dedicadas que en general son muy caras. Todo lo que se necesita es un
servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere
autenticación de usuario pero sí deben autenticarse los servidores VPN entre sí.
17. Cuando se establece la conexión VPN, uno de los servidores VPN asume el rol de
cliente e inicia una conexión con otro servidor VPN. Después de establecida la
conexión VPN, los usuarios de cada sitio pueden conectarse a los servidores como si
estuvieran en la misma red local.
¿Cómo saben los servidores VPN que cada uno es auténtico y no un impostor? De
acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la
autenticación site-to-site en contraseñas asociadas con cuentas de usuario creadas para
cada servidor, en llaves secretas pre-acordadas o en certificados para cada máquina
emitidos por una autoridad certificadora (CA, Certificate Authority).
2.6.3. EXTRANET VPN
Permite conectar la red de una empresa con uno o más "partners". Este escenario es
muy similar a site-to-site aunque existen pequeñas diferencias. Básicamente la
confianza entre ambas partes es diferente. Se permitirá a una sucursal acceder a todos
los recursos de la red corporativa (site-to-site), pero es posible limitarlos para un
partner. Normalmente se los restringirá a sólo unos cuantos servidores de la red. Con
el tipo de restricción ya descriptos en Remote Access, podemos solucionar el
problema.
La segunda diferencia con site-to-site es que muy probablemente nuestro "partner"
use una solución VPN diferente. Aparece aquí un problema de interoperabilidad a
resolver. Para ello, se deberá atender, por ejemplo, a qué protocolos se usan en ambas
soluciones VPNs y a qué tipo de autenticación se usará.
2.7. TOPOLOGIAS DE VPN
Existen muchos tipos de topologías de VPN que pueden adecuarse a las necesidades
de una organización o se adaptan a una configuración de red ya existente.
Estas topologías pueden ser definidas a través de acceso remoto (por ejemplo, una
laptop tratando de acceder a un servidor de su organización), conexión entre dos
LANs (Local Area Network), a través de Intranet e Extranet, utilizando una
tecnología Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT
(Network Address Translation).
18. Examinaremos ahora como funcionan algunas de las topologías de VPN mas usadas.
2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall -
cliente)
Este tipo de VPN es el mas común y mas usado en nuestros tiempos. Nace de la
necesidad de un cliente externo que se necesita conectarse a la red interna de una
organización. Para que esto sea posible, la organización precisará tener un firewall
instalado conteniendo los softwares necesarios para implementar a VPN. El cliente
tiene que tener también instalado un software de criptografía compatible con los
software del firewall.
La comunicación ocurre cuando el cliente necesita de una comunicación confidencial
con la organización, y sin embargo no se encuentre localizado dentro de la empresa, o
tal puede surgir si el cliente necesita acceder al servidor de organización a partir de
una red externa.
La figura inferior ilustra como se establece este tipo de comunicación.
Figura: VPN de acceso remoto
19. Los pasos siguientes describen el proceso de comunicación entre el equipo portátil y
el firewall de la organización:
El usuario con el equipo portátil marca a su PSI local y establece una conexión
PPP.
El equipo portátil solicita las claves del dispositivo del firewall.
El firewall responde con la clave apropiada.
El software VPN instalado en el equipo portátil ve la solicitud echa por el usuario
del equipo portátil, cifra el paquete y lo envía a la dirección IP publica de el
Firewall.
El firewall le quita la dirección IP, descifra el paquete y lo envía al servidor al que
ha sido direccionado dentro de la LAN local.
El servidor interno procesa la información recibida, responde a la solicitud y envía
el documento de regreso.
El firewall examina el trafico y reconoce que es información de túnel VPN así que
toma el paquete, lo cifra y lo envía al equipo portátil.
La pila de VPN en el equipo portátil ve el flujo de datos, reconoce que viene del
dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles.
Figura: Diagrama de acceso remoto
20. 2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN
Este tipo de topología es la segunda mas utilizada, se usa cuando es necesario
comunicar dos redes locales separadas geográficamente. Las LANs pueden estar
operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado
y un firewall NT del otro.
Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando
el mismo algoritmo de criptografía y estar configurados para saber que cuando ocurre
algún tráfico para uno u otro firewall, este tiene que ser criptografiado.
Podemos observar en la figura inferior como se da el acceso entre dos redes de este
tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT
que será transmitido por FTP (File Transfer Protocol).
El usuario de la LAN UNIX intenta conectarse a través de una aplicación FTP con un
servidor LAN NT.
El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es
cifrado y se envía hacia una dirección IP pública de el firewall LAN NT.
Este firewall acepta y descifra el paquete y envía para o servidor al que se le ha
enviado la información.
Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT.
Este a su vez cifra el paquete y envía la información hacia el firewall da LAN UNIX
que descifra y transmite la información para el usuario que solicito el requerimiento
Figura: diagrama de VPN LAN
21. 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
(Network Address Translation) Traducción de Direcciones de Nombres es el proceso
de cambiar una dirección IP de una organización (una dirección privada de la
organización) por una dirección IP pública enrutable, es decir poseen la capacidad
para esconder las direcciones privadas de una organización.
Entretanto, el NAT interfiere directamente en la implementación de la VPN, pues
cambia la dirección IP a la hora que el paquete de datos sale de la red interna. La
utilización de NAT no resulta complicado, pero la ubicación del dispositivo VPN es
importante.
La figura inferior ilustra el proceso
Figura: Diagrama VPN con NAT
22. Los pasos siguientes describen el proceso de comunicación de entrada y salida con un
dispositivo NAT
Cuando un paquete precisa salir de la red interna, este es enviado hacia el
firewall implementado con NAT. Este por primera vez, cambia la dirección IP
enrutable
El firewall implementado con NAT reenvía el paquete al dispositivo VPN que
realiza el proceso de cifrado del paquete.
El paquete es enviado hacia el enrutador externo que sea transmitido a su destino.
Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el
dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado
hacia el firewall implementado con NAT que cambia la dirección IP por el
número original, este es enviado hacia el ruteador interno para ser dirigido hacia
su destino.
2.8. ANALISIS DE PROTOCOLOS
Los conocimientos que fundamentan a una VPN son una criptografía y un
tunelamiento. Una criptografía se utilizada para garantizar la autentificación,
onfidencialidad e integridad de las conexiones y es la base para la seguridad de las
redes; mas el tunelamiento es el responsable por el encapsulamiento y transmisión de
los datos sobre una red publica entre dos puntos distintos.
Dentro del mercado existen diversos protocolos que nos proporcionan este servicio y
que difieren entre si dependiendo del nivel del modelo ISO/OSI donde actúan, de la
criptografía utilizada y de como influye directamente el nivel de seguridad en el
acceso remoto VPN.
23. 2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD
Las características básicas de un análisis de seguridad de los principales protocolos
utilizados actualmente para acceso remoto VPN en plataformas ya sea Windows Linux
o Unix son las siguientes:
2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por
ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft,
y ECI Telematics para proveer una red privada virtual entre usuarios de acceso
remoto y servidores de red.
Como protocolo de túnel, PPTP encapsula data gramas de cualquier protocolo de red
en data gramas IP, que luego son tratados como cualquier otro paquete IP. La gran
ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado
a través de una red IP, como Internet.
La idea básica de PPTP es la de dividir las funciones de acceso remoto de tal modo
que las personas de las empresas pudiesen utilizar una infraestructura de Internet
“VXpara proveer una conectividad segura entre clientes remotos y redes privadas, es
por eso que PPTP provee un mecanismo para tunelamineto de trafico PPP (Point to
Point Protocol ) sobre redes IP.
24. Figura: Diagrama del Protocolo PPTP
El PPTP es un protocolo de red que permite el tráfico seguro de datos desde un cliente
remoto a un servidor corporativo privado, estableciéndose así una Red Privada Virtual
(VPN) basada en TCP/IP. PPTP soporta múltiples protocolos de red (IP, IPX y
NetBEUI) y puede ser utilizado para establecer dichas redes virtuales a través de otras
redes públicas o privadas como líneas telefónicas, redes de área local o extensa
(LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP.
Una red privada virtual consiste en dos máquinas (una en cada "extremo" de la
conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o
privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre
ambos ordenadores son encriptados por el Point-to-Point protocolo (PPP), un
protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una
conexión previa también remota, LAN o WAN, por un dispositivo PPTP.
La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing
Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a
través de Internet. La versión PPTP, denominada GREv2, añade extensiones para
temas específicos como Call Id y velocidad de conexión.
25. El paquete PPTP está compuesto por un header de envío, un header IP, un header
GREv2 y el paquete de carga. El header de envío es el protocolo enmarcador para
cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet,
frame relay, PPP. El header IP contiene información relativa al paquete IP, como es,
direcciones de origen y destino, longitud del data grama enviado, etc.
El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos
específicos de PPTP concernientes a la conexión entre el cliente y servidor. El
paquete de carga es el paquete encapsulado, que en el caso de PPP, el data grama es el
original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete
IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del
encapsulamiento PPTP.
Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y acepta
cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo de autentificación
por reto), standard en el que se intercambia un "secreto" y se comprueba ambos
extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows
NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un
standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la
tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password
Autenthication Protocol), que no encripta las contraseñas. Para la encriptación, PPTP
utiliza el sistema RC4.
2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP)
Layer Two Tunneling Protocol es una extensión del PPTP (Point-to-Point Protocol),
que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F de Cisco. Los dos
componentes principales del L2TP son: El LAC (L2TP Access Concentrator), que es
el dispositivo que físicamente termina una llamada; y el LNS (L2TP Network Server),
que es el dispositivo que autentifica y termina el enlace PPP. L2TP utiliza redes
conmutadas de paquetes para hacer posible que los extremos de la conexión estén
ubicados en distintas computadoras.
26. El usuario tiene una conexión L2 al LAC, el cual crea el túnel de paquetes PPP. Así,
los paquetes pueden ser procesados en el otro extremo de la conexión, o bien,
terminar la conexión desde un extremo. L2TP soporta cualquier protocolo incluyendo
IP, IPX y AppleTalk, así como también cualquier tecnología de backbone WAN,
incluyendo Frame Relay, modos de transferencia asíncrono ATM, X.25 y SONET.
Figura: Diagrama del Protocolo L2TP
2.8.1.3. IP SECURITY IPSec (Internet Protocol Security)
IPSec es un conjunto de extensiones al protocolo IP. Es un estándar de la IETF
(Internet Engineering Task Force) definido en el RFC 2401. Provee servicios de
seguridad como autenticación, integridad, control de acceso y confidencialidad. Es
implementado en la capa de Red, de tal forma que su funcionamiento es
completamente transparente al nivel de aplicaciones, y es mucho más poderoso. IPSec
provee un mecanismo estándar, robusto y con posibilidades de expansión, para
proveer seguridad al protocolo IP y protocolos de capas superiores.
27. Figura: Diagrama del Protocolo IPSec
La arquitectura de IPSec define la granularidad con la que el usuario puede
especificar su política de seguridad. Permite que cierto tráfico sea identificado para
recibir el nivel de protección deseado.
Figura: Diagrama de funcionamiento de IPSec
28. IPSec está diseñado para proveer seguridad interoperable de alta calidad basada en
criptografía, tanto para IPv4 como para IPv6 [RFC2401, 1998]. Está compuesto por
dos protocolos de seguridad de tráfico: el Authentication Header (AH) y el
Encapsulating Security Payload (ESP), además de protocolos y procedimientos para
el manejo de llaves encriptadas. AH provee la prueba de los datos de origen en los
paquetes recibidos, la integridad de los datos, y la protección contra-respuesta. ESP
provee lo mismo que AH adicionando confidencialidad de datos y de flujo de tráfico
limitado.
En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el mecanismo de
AH se aplican algoritmos de autenticación, con la aplicación del mecanismo ESP,
además de autenticación, también algoritmos de encriptación. El esquema de
interoperabilidad se maneja a través de Asociaciones de Seguridad (SA), almacenadas
en una base de datos.
Los parámetros que se negocian para establecer los canales seguros se denominan
Dominio de Interpretación IPSec (Domain of Interpretation, DOI), bajo políticas pre-
establecidas dentro de un esquema de funcionamiento estático con valores fijos y
previamente establecidos, o bien, en un esquema de funcionamiento dinámico
utilizando un protocolo de manejo de llaves, Interchange Key Exchange (IKE).
29. Figura II.10.9: Diagrama de la Arquitectura IPSec
2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC
El diseño de IPSec plantea dos modos de funcionamiento para sus protocolos: el de
transporte y el de túnel, la diferencia radica en la unidad que se esté protegiendo, en
modo transporte se protege la carga útil IP (capa de transporte), en modo túnel se
protegen paquetes IP (capa de red) y se pueden implementar tres combinaciones: AH
en modo transporte, ESP en modo transporte, ESP en modo túnel (AH en modo túnel
tiene el mismo efecto que en modo transporte).
30. El modo transporte se aplica a nivel de hosts. AH y ESP en este modo interceptarán
los paquetes procedentes de la capa de transporte a la capa de red y aplicarán la
seguridad que haya sido configurada. En la figura siguiente se aprecia un esquema de
IPSec en modo transporte, si la política de seguridad define que los paquetes deben
ser encriptados, se utiliza ESP en modo transporte, en caso que solo haya sido
requerida autenticación, se utiliza AH en modo transporte.
Figura: Modos de funcionamiento de IPSEC
Los paquetes de la capa de transporte como TCP y UDP pasan a la capa de red, que
agrega el encabezado IP y pasan a las capas inferiores. Cuando se habilita IPSec en
modo transporte, los paquetes de la capa de transporte pasan al componente de IPSec
(que es implementado como parte de la capa de red, en el caso de sistemas
operativos), el componente de IPSec agrega los encabezados AH y/o ESP, y la capa
de red agrega su encabezado IP.
31. En el caso que se apliquen ambos protocolos, primero debe aplicarse la cabecera de
ESP y después de AH, para que la integridad de datos se aplique a la carga útil de
ESP que contiene la carga útil de la capa de transporte.
Figura: Cabeceras de IPSec
El modo túnel se utiliza cuando la seguridad es aplicada por un dispositivo diferente al
generador de los paquetes, como el caso de las VPN, o bien, cuando el paquete necesita ser
asegurado hacia un punto seguro como destino y es diferente al destino final. Como se
ilustra en la figura inferior, el flujo de tráfico es entre A y B, e IPSec puede aplicarse con
una asociación de seguridad entre RA y RB, o bien una asociación de seguridad entre A y
RB.
Figura: Flujo de paquetes
32. IPSec en modo túnel, tiene dos encabezados IP, interior y exterior. El encabezado
interior es creado por el host y el encabezado exterior es agregado por el dispositivo
que está proporcionando los servicios de seguridad. IPSec encapsula el paquete IP
con los encabezados de IPSec y agrega un encabezado exterior de IP. IPSec también
soporta túneles anidados, aunque no son recomend ados por lo complicado
de su construcción, mantenimiento y consumo de recursos de red.
Figura II.10.8: Encabezados IP en modo tunel
2.8.1.4. OTRAS SOLUCIONES
La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos
casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están
haciendo- a IPSec, otras posibilidades son:
2.8.1.4.1. Secure shell (SSH)
Protege conexiones TCP mediante criptografía (a nivel de OSI de presentación, no a
nivel de transporte o inferiores). Protege por tanto, conexión a conexión.
2.8.1.4.2. CIPE – Crypto Encapsulation
Encapsula datagramas IP dentro de UDP. De momento sólo está disponible para
Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso,
bastante interesante.
33. 2.8.1.4.3. RFC 1234: Tunneling IPX Traffic through Networks
Encapsulado de datagramas IPX (Novell Netware) sobre UDP.
2.8.1.4.4. RFC 2004: Minim al Encapsulation within IP
En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el
datagrama original y le añade información para deshacer los cambios. El protocolo IP
asociado es el 55.
2.9. TUNELES
PPTP permite a los usuarios y a las ISPs crear varios tipos de túneles,
basados en la capacidad del computador del usuario final y en el soporte de la
ISP para implementar PPTP. De esta manera, el computador del usuario final
determina el lugar de terminación del túnel, bien sea en su computador, si está
corriendo un cliente PPTP, o en el servidor de acceso remoto de la ISP, si su
computador solo soporta PPP y no PPTP. En este segundo caso el servidor de
acceso de la ISP debe soportar PPTP, a diferencia del primer caso, donde la
ISP no se involucra en ningún proceso de entunelamiento de datos.
Dado lo anterior, los túneles se pueden dividir en dos clases, voluntarios y
permanentes.
Los túneles voluntarios son creados por requerimiento de un usuario y para
un uso específico. Los túneles permanentes son creados automáticamente
sin la acción de un usuario y no le permite escoger ningún tipo de privilegio.
34. En los túneles voluntarios, la configuración del mismo depende del usuario final,
cuando se usan túneles de este tipo, el usuario puede simultáneamente acceder a
Internet y abrir un túnel seguro hacia el servidor PPTP. En este caso el cliente
PPTP reside en el computador del usuario. Los túneles voluntarios proveen más
privacidad e integridad de los datos que un túnel permanente. La figura 5.3
muestra un escenario de túneles voluntarios creados desde dos clientes
distintos a un mismo servidor PPTP a través de Internet.
Los túneles permanentes son creados sin el consentimiento del usuario, por lo
tanto, son transparentes para el mismo. El cliente PPTP reside en el servidor de
acceso remoto de la ISP al que se conectan los usuarios finales. Todo el
tráfico originado desde el computador del usuario final es reenviado por el RAS
sobre el túnel PPTP. En este caso la conexión del usuario se limita solo a la
utilización del túnel PPTP, no hay acceso a la red pública (Internet) sobre la cual se
establece el túnel. Un túnel permanente PPTP permite que múltiples conexiones
sean transportadas sobre el mismo túnel. La figura 5.4 muestra un túnel
permanente entre un RAS con capacidad para encapsular sesiones PPP usando
PPTP y por medio del cual van multiplexadas dos sesiones de clientes A y B.
35. Dado que los túneles permanentes tienen predeterminados sus puntos finales y
que el usuario no puede acceder a Internet, estos túneles ofrecen mejor
control de acceso que los túneles voluntarios. Otra ventaja de los túneles
permanentes, es que reducen el ancho de banda utilizado, ya que múltiples
sesiones pueden ser transportadas sobre un único túnel, a diferencia de los
túneles voluntarios donde cada sesión tiene que trabajar con cabeceras
independientes que ocupan un ancho de banda.
Una desventaja de los túneles permanentes es que la conexión inicial, es decir,
entre el usuario final y el servidor de acceso que esta actuando como cliente
PPTP, no hace parte del túnel, por lo tanto, puede ser vulnerable a un ataque.
36. Los túneles permanentes se dividen en estáticos y dinámicos. Los túneles estáticos
son aquellos que requieren equipos dedicados y su configuración es manual. En
este tipo de túneles el usuario final tiene a su disposición varios RAS, los cuales
tienen establecidos diferentes túneles a diferentes servidores PPTP. Por ejemplo,
si un usuario necesita hacer una VPN a su oficina regional ubicada en la ciudad
A tiene que marcar un número X, pero si ese mismo usuario quiere hacer una
VPN con su oficina en una ciudad B, tiene que marcar un número Y.
Los túneles permanentes dinámicos usan el nombre del usuario para determinar el
túnel asociado con él, es decir que se encargan de aprovechar mejor los recursos
y el usuario puede marcar al mismo número para establecer túneles a
diferentes sitios. La información asociada con cada usuario puede residir en el
servidor Radius en el cual ese servidor de acceso esta autenticando todas las
conexiones.
Claramente se observa que los túneles permanentes estáticos son más costosos que
los dinámicos, ya que involucran un servidor de acceso por cada destino que un
cliente VPN quiera alcanzar.
2.10.1. MODELOS DE ENTUNELAMIENTO
En las VPN los sitios de terminación (terminadores) de los túneles son
aquellos donde se toman las decisiones de autenticación y las políticas de
control de acceso y donde los servicios de seguridad son negociados y otorgados.
En la práctica hay tres tipos posibles de servicios de seguridad que dependen de la
ubicación de los terminadores. El primer caso es aquel donde el terminador está en
el host mismo, donde los datos se originan y terminan. En el segundo caso el
terminador está en el gateway de la LAN corporativa donde todo el tráfico
converge en un solo enlace. El tercer caso es aquel donde el terminador está
localizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) de
la ISP.
37. Dado que un túnel VPN se compone de dos terminadores, se pueden obtener seis
tipos de modelos de seguridad derivados de la posible combinación de las
diferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to-LAN,
LAN-to-POP y POP-to-POP, en la figura 3.11 se notan cada uno de ellos.
En el modelo End-to-End el túnel va desde un extremo hasta el otro del sistema.
Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y
en el destino de la comunicación. Este escenario presenta el más alto nivel de
seguridad dado que los datos siempre están seguros en todos los segmentos de la
red, bien sea pública o privada. Sin embargo, el total de túneles que pueden
haber en una empresa grande, dificulta el manejo de los servicios de seguridad
requeridos por dichos host. Este modelo de seguridad es comúnmente visto en
implementaciones de capas superiores, como es el caso de SSL (Secure Sockets
Layer). Tales implementaciones no son consideradas como modelos de
entunelamiento.
38. En el caso de LAN-to-POP el túnel comienza en un dispositivo VPN localizado en la
frontera de la red corporativa y termina en un dispositivo VPN el cual se encuentra en
un POP de la ISP. En la actualidad prácticamente este modelo de entunelamiento no
es aplicado.
Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizados en la
propia red de la ISP. Por lo tanto los servicios de seguridad son completamente
transparentes para los usuarios finales del túnel. Este modelo permite a los
proveedores de servicio implementar valores agregados a los clientes sin que éstos
alteren la infraestructura de sus redes.
De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los más
extensamente usados en las soluciones VPN. Sin embargo, el POP-to-POP o modelo
de seguridad basado en red, ha cobrado vigencia últimamente dado que permite a las
ISPs implementar servicios de valores agregados para sus clientes.
En el modelo End-to-LAN, el túnel comienza en un host y termina en el
perímetro de una LAN en la cual reside el host destino. Un dispositivo VPN
localizado en el perímetro de la red es el responsable de la negociación y
obtención de los servicios de seguridad de los host remotos. De esta manera, la
seguridad de un gran número de dispositivos en una red corporativa puede ser
manejada en un único punto, facilitando así la escalabilidad del mismo. Dado que la
red corporativa es considerada un sitio seguro, comúnmente no hay necesidad de
encriptar la información que transita dentro de ella. La mayoría de implementaciones
de acceso remoto VPN trabajan con este modelo.
El modelo de entunelamiento End-to-POP es aquel en el cual un host remoto termina
el túnel en un POP de la ISP. Un dispositivo VPN o un equipo con funciones de
terminador VPN y que se encuentra en la red de la ISP es el responsable por la
negociación y concesión de los servicios de seguridad. La entrega de los datos desde
el POP hasta el host destino es por lo general asegurada con infraestructura física,
la cual separa el tráfico del resto de la red pública.
39. Por lo general en este caso el ISP administra los permisos y controla el acceso según
las directivas de los administradores de red de las empresas clientes. La arquitectura
de acceso remoto VPN también usa este modelo.
En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situados en la
frontera de la red corporativa para negociar y conceder servicios de
seguridad. De esta manera, las funciones de seguridad no necesitan ser implementadas
en los hosts finales donde los datos son generados y recibidos. La
implementación de los servicios de seguridad es completamente transparente para los
hosts. Esta implementación reduce drásticamente la complejidad en el manejo de las
políticas de seguridad. La arquitectura Intranet VPN encaja en este modelo.
2.11. PAQUETE DE ENCRIPTACIÓN IP
2.11.1. CAPAS Y CIFRADO DE RED
Existen diversos lugares en donde el encriptación se puede construir
dentro de una infraestructura de red existente, correspondientemente
a los protocolos de las diferentes capas.
2.11.1.1. En el nivel de Red: Los paquetes que viajan entre los
hosts en la red son encriptados. El motor de encriptación se coloca
cerca del driver que envía y recibe los paquetes. Una implementación
se encuentra en CIPE.
2.10.1.2. En el nivel de Socket: Una conexión lógica entre los
programas que funcionan en diversos hosts (conexión TCP; capa de
transporte o de sesión en OSI) es encriptada. El motor de encriptación
intercepta o procura conexiones. SSH y el SSL trabajan esta manera.
2.10.1.3. En el nivel de Aplicación: Las aplicaciones
contienen su propio motor del cifrado y cifran los datos ellos mismos.
El mejor ejemplo sabido es PGP para cifrar correo.
40. El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja
que puede ser hecho para trabajar de manera transparente, sin ningún cambio a
la aplicación software. En el caso de los paquetes de encriptación IP, este
puede ser construido dentro de los routers IP que actúan generalmente como
"cajas negras" entre el trafico de ruta y el host, Los mismos hosts no ven como
trabajan los routers. Un router de encriptación se ve de manera tan exacta
como un host que no cifra, sin ninguna diferencia vista por otros hosts y
aplicaciones. Puede ser utilizada así en lugares donde no sean factibles los
cambios de software a niveles más altos.
El encriptado de bajo nivel tiene la desventaja que no protege contra los
intrusos en un nivel más alto, por ejemplo. usos de Troyanos, bug exploit
dentro del software del sistema o administradores pillos "sniffers" en los
dispositivos terminales.
III. PROBLEMA
La Empresa de Transporte “El Cortijo” se encuentra ubicado en la ciudad de
Trujillo, cuenta con dos sucursales, una en la ciudad de Chiclayo y otra en la
ciudad de Cajamarca. Dichas dependencias manejan la información de manera
individual y aislada de la empresa matriz, y para el proceso de sus datos no
consideran las aplicaciones cliente servidor - usadas actualmente por la
empresa central- sino que más bien, emplean una aplicación antiguamente
desarrollada por la sede principal.
De esta manera, el Sistema Integrado de la empresa demanda mensualmente
gastos necesarios para centralizar toda la información en Trujillo, debido a que
existen áreas y procesos que requieren la data completa de la empresa central
y sus dependencias-, por citar las áreas de contabilidad, secretaria y finanzas,
etc.
41. IV. SOLUCION
Debido a esto y a la necesidad de tener un control de las actividades de sus
sucursales surge la necesidad de establecer una conexión (un medio de
transmisión seguro) entre la sede central y sus sucursales, para que se pueda
utilizar las aplicaciones cliente - servidor entre dichas dependencias evitando
con ello un doble trabajo y el incurrir en sobrecostos que generen el mantener
la información de la empresa de forma separada y descentralizada.
V. JUSTIFICACION
Con la implementación de la conexión se podrá utilizar las aplicaciones
cliente-servidor entre dichas dependencias evitando con ello un doble trabajo y
el incurrir en sobrecostos, y así no cometer gastos innecesarios en la demora
de la información.
42. VI. DISEÑO EN PACKET TRACER
6.1. ESQUEMA DE RED SUCURSAL TRUJILLO
6.2. ESQUEMA DE RED SUCURSAL CORNIJO
6.3. ESQUEMA DE RED SUCURSAL PORVENIR
6.4. ESQUEMA DE LA SOLUCIÓN CON VPN
VII. COSTO DE DISEÑO PROPUESTO
43. VIII. CONCLUSIONES
Actualmente las VPN ofrecen un servicio ventajoso para las empresas que
quieran tener una comunicación segura con sus proveedores, clientes u otros,
de forma segura, sin necesidad de implantar una red de comunicación costosa
que permita lo mismo.
Además esta solución VPN nos permitirá no solo crear la interconexión con
dos sucursales sino que es escalable, es decir nos permitirá crear conexiones
virtuales con otros puntos cuando la empresa lo requiera, generando solo un
gasto de mínimo con el PSI de la localidad en la que esta destinados la
interconexión y un CPU con mínimas características
Por último las VPN representan una gran solución para las empresas en cuanto
a seguridad, confidencialidad e integridad de los datos y prácticamente se ha
vuelto un tema importante en las organizaciones, debido a que reduce
significativamente el costo de la transferencia de datos de un lugar a otro, el
único inconveniente que pudieran tener las VPN es que primero se deben
establecer correctamente las políticas de seguridad y de acceso porque si esto
no está bien definido pueden existir consecuencias serias.
IX RECOMENDACIONES
Cabe desatacar que algunas aplicaciones que necesitan de procesos bastantes
complejos se tienen que correr en maquinas solamente dedicadas a esas
operaciones ya que como son procesos bastantes pesados como calculo de
planillas, requieren ser procesadas por maquinas potentes y dedicadas a esta
labor para que no se sienta algún retardo o problema en la interconexión.
Otro punto a tener en cuenta es el proveedor de servicio de Internet a utilizar,
si bien es cierto existen varios proveedores que nos pueden proporcionar este
servicio, algunos que nos proporcionan un buen servicio son realmente muy
caros para mantener en una empresa relativamente pequeña, y los que ofrecen
una interconexión a Internet con precios módicos, su servicio es muy inestable
y en algunos casos con interrupciones en el servicio de manera constante
haciendo imposible una conexión VPN cuando se corren procesos largos, es
por eso necesario la constante evaluación de los proveedores de servicio de
Internet.