CAPITULO I: PLANTEAMIENTO DEL PROBLEMA

1.1- ANALISIS DE LA SITUACIN PROBLEMTICA

Desde que surgen las computadoras existe la necesidad de
proteger la informacin mediante claves de accesos, las
cuales se validaban con el mismo computador, es decir en
una forma local. Los datos

almacenados en un computador

no necesitan tener altos niveles de seguridad porque se

encuentra la informacin en el mismo. Luego surge la
necesidad de transmitir datos desde un computador a otro,
de esta manera surgen las redes en una forma local, es decir
permite la transmisin de datos en un lugar geogrficamente
pequeo, de esta manera se soluciona la necesidad de
compartir informacin a travs de equipos perifricos.
Hasta no hace mucho tiempo, las diferentes
sucursales de una empresa podan tener una red
local a la sucursal que operara aislada de las
dems. Estas redes locales tenan su propio
esquema de nombres, su propio sistema de email, e inclusive usar protocolos que difieran de
los usados en otras sucursales. Es decir, en cada
lugar exista una configuracin totalmente local,
que no necesariamente deba ser compatible con
alguna o todas las dems configuraciones de las
otras reas dentro de la misma empresa.

medida

que

la

computadora

fue

siendo

incorporada a las empresas, surgi la necesidad

de comunicar las diferentes redes locales para
compartir recursos internos de la empresa. Para
cumplir

este

objetivo,

deba

establecerse

un

medio fsico para la comunicacin. Este medio

fueron las lneas telefnicas, con la ventaja de
que la disponibilidad es muy alta y que se
garantiza la privacidad.1
Esto da origen a la transmisin de datos desde un lugar a
otro facilitando as el compartir recursos internos y externos
de las redes locales.
Para transmitir informacin y compartir recurso es necesario
utilizar

los

proveedores

medios
de

de

comunicacin

servicios

de

que

ofrecen

telecomunicaciones,

los

como

Telecom, Telemovil y Telefnica etc.

Estos brindan los servicios de comunicacin que las empresas
necesitan para transmitir informacin a larga distancia por
ejemplo desde San Miguel hasta San Salvador o desde El
Salvador hasta EE.UU. De esta forma las empresas obtienen
un medio de transmisin que les ayuda a agilizar sus
operaciones.
1

Ing. Mario Hevia.

http://www.monografias.com/trabajos12/monvpn/monvpn.s
htm [Consulta: [Abril 2004].

Es comnmente aceptado el hecho que las tecnologas de

informacin en Internet han cambiado la forma como las
compaas se mantienen comunicadas con sus clientes,
socios de negocios, empleados y proveedores.
Inicialmente

las

compaas

eran

conservadoras

con

la

informacin que publicaban en Internet, tal como, productos,

disponibilidad de los mismos u otros tems comerciales.
Pero recientemente, con el auge que ha tenido Internet, por
el cada vez menor costo que la gente tiene que pagar para
acceder a esta gran red y con el significado que esta ha
adquirido como el principal medio mundial de comunicacin,
las redes privadas virtuales han hecho su aparicin con ms
fuerza que nunca y se han ganado un espacio dentro del tan
cambiante mundo de las redes de informacin.
Las Redes Privadas Virtuales (VPN) son una alternativa a la
conexin WAN mediante lneas telefnicas y al Servicios de
Acceso Remoto RAS, a un bajo costo, adems este servicio
nos brinda autenticacin, encriptacin y la creacin de
tneles virtuales en Internet. Una VPN es un sistema para
simular una red privada sobre una red pblica. La idea es
que la red pblica sea vista desde dentro de la red privada
como un cable lgico que une las dos o ms redes que
pertenecen a la red privada.
Las VPN tambin permite la conexin de usuarios mviles a
la red privada, tal como si estuviera en una LAN. Este
servicio resulta muy conveniente para personal que no tiene

lugar fijo de trabajo dentro de la empresa, como vendedores,

ejecutivos que viajan, personal que realiza trabajo desde el
hogar.
Las VPN vienen a solucionar los problemas de privacidad que
necesitaban las empresas o corporaciones, que les permita
conectarse por medio de una red pblica a una red privada,
es decir creando un puente entre la red pblica para
conectarse a sus redes locales.
Las VPN garantizan la autentificacin y proteccin por medio
de los niveles de cifrado que estas ofrecen, estableciendo
tneles virtuales entre dos puntos para los cuales se
negocian esquemas de encriptacin y autentificacin que
asegura

la

confidencialidad

integridad

de

datos

transmitidos utilizando la red pblica, es decir Internet.

Es por eso que las empresas tienen la necesidad de usar las
VPNs y otros tipos de tecnologas para los diferentes usos
como: operacionales, comerciales, industriales, econmicos y
sociales. Para que ayuden al crecimiento empresarial, y
global.
Pero muchas empresas no invierten en tecnologas nuevas
para agilizar sus operaciones por temor a perder datos o que
estos sean alterados durante el envo. Como ya sabemos los
datos viajan a travs de la gran red que se llama Internet.
Otro inconveniente que tienen las empresas es que la
comunicacin en Internet puede llegar a ser excesivamente
lentas, por lo tanto sus operaciones pueden ser muy

tardadas al usar un servicio como VPN. Pero hoy en da

existen proveedores de servicios que proporcionan tecnologa
de punta y facilitan el crecimiento de las empresas. Existen
muchas amenazas de ataques a las redes de datos, a
continuacin se detallan las siguientes:
LAS AMENAZAS DE SEGURIDAD EN LAS
REDES DE DATOS
En ambientes de redes la seguridad de los datos y
las comunicaciones dependen de tres cosas:
Autenticacin, Confidencialidad e Integridad de
Datos. La Autenticacin significa que la persona o
entidad con la cual se est comunicando es
realmente quien dice ser. La Confidencialidad es
asegurarse que alguien no autorizado pueda
escuchar las comunicaciones, es decir, que nadie
pueda

entender

los

datos

que

han

sido

interceptados. De igual manera, la garantizacin

de la integridad de los datos significa que ningn
dato ha sido alterado en ninguna parte de la
transmisin. Desafortunadamente, el conjunto de
protocolos TCP/IP no fue diseado originalmente
para brindar seguridad a los datos.2
2

Arvalo Jimnez Fernando Andrs

Como Escoger e

Implementar Una VPN Conceptos Tericos Y Prcticos, Pag.

47, Universidad del Valle, Santiago de Cali 2003.

Es por eso que surge la necesidad de proteger la informacin

que se enva a travs de Internet y es all donde las
empresas

tienen

someterse

este

dudas,
tipo

temores
de

cambios

incertidumbres
tecnolgicos

para

transmitir informacin, entre ellos mismos, proveedores y

clientes.
Lo ms importante de las empresas son los datos adquiridos
durante todas sus operaciones realizadas;

es por eso que

ellas salvaguardan y protegen los datos, mximo si estos van

hacer transmitidos por un medio fsico y virtual.
A continuacin se describirn las amenazas de seguridad
ms comunes que se dan en redes de datos:
a) Spoofing
Las redes IP usan direcciones numricas para
cada dispositivo conectado a la misma. Las
direcciones del host fuente y destino son incluido
en cada paquete trasmitido en una red IP,
spoofing aprovecha este Hecho y as un intruso
puede usar alguna de esas direcciones IP y
pretender ser el destinatario.
Despus de que un intruso identifica una pareja
de computadores, A y B por ejemplo, que estn
comunicndose uno con el otro como en una
topologa clienteservidor, intenta establecer una
conexin con el computador B de tal forma que B

cree que est en una conexin con A, cuando en

realidad la conexin se ha establecido con el
computador del intruso.
El establecimiento de una conexin entre A y B
implica un intercambio de mensajes de control, en
estos mensajes de control tanto A como B envan
sus direcciones de origen. Cuando A recibe un
mensaje de B, B tiene que responder con un
mensaje de reconocimiento el cual incluye una
secuencia de nmeros para garantizar el correcto
orden

en

el

recibo

de

los

paquetes.

Esas

secuencias de nmeros son nicas entre las dos

mquinas.
Para completar la configuracin de la seccin
entre A y B, B esperara de A un reconocimiento
en la secuencia de nmeros de B antes de
proceder con cualquier tipo de intercambio de
operacin. Pero para que un atacante se haga
pasar

como

el

tendra

que

detectar

la

secuencia de nmeros que B usar. Sabiendo lo

anterior,

no

es

muy

difcil

identificar

las

secuencias de nmeros en una conexin entre dos

hosts. De esta manera un atacante podra hacerse

pasar como cualquiera de los dos hosts y as

poder ganar privilegios no autorizados.3
Como podemos observar los atacantes en las redes capturan
las direcciones IP de origen y destino por medio de los
mensajes de control que estos llevan, y poder as

simular

ser parte del computador destino sin que el usuario se de

cuenta. De este tipo de ataque puede causar fugas de
informacin y alteracin de la misma, es por eso que se tiene
la

necesidad

de

implementar

nuevas

tecnologas

que

restrinjan y controlen este tipo de ataque. Otro amenaza

comn es la siguiente:
b) Hijacking
Hijacking es una amenaza de seguridad que se
vale del spoofing, pero sta consiste en tomar
Una conexin existente entre dos computadores.
El primer paso en este tipo de ataques es tomar el
control de un dispositivo de red LAN como un
firewall que pueda monitorear la conexin. Una
vez monitoreando el enlace, el atacante puede
determinar la secuencia de nmeros usadas por
ambas partes.
3

Arvalo Jimnez Fernando Andrs

Como Escoger e

Implementar Una VPN, Conceptos Tericos Y Prcticos, Pag.

47, Universidad del Valle, Santiago de Cali 2003.

Despus

de

hecho

esto,

el

atacante

puede

generar trfico que parezca venir de una de las

partes envueltas en la comunicacin, robando la
sesin de los individuos envueltos. Como en
spoofing, el atacante podra sobrecargar uno de
los dos computadores con exceso de paquetes
que haga que la sesin se caiga.

El hecho que un host haya identificado la

persona con la cual se est comunicando no
podra asegurar que desde ese mismo IP est el
host autntico durante el resto de la sesin.
Para esto se necesita de un esquema que
autentique

los

datos

durante

toda

la

transmisin. Pero de igual forma, usando el

mtodo de autenticacin ms poderoso no
podra prevenir 100% ataques por hijacking; en
realidad la nica defensa contra tales ataques
es

la

implementacin

de

mecanismos

de

encriptacin.4
4

Arvalo Jimnez Fernando Andrs

Como Escoger e Implementar Una VPN

Conceptos Tericos y Prcticos, Pg. 48, Universidad del
Valle, Santiago de Cali 2003.

Este funciona similar al anterior descrito, con la nica

diferencia que este identifica primero el servidor de una
red loca para as visualizar las direcciones de ambas
partes y realizar trafico de datos para una de las partes,
de esta forma se corre siempre el mismo riesgo de perder
informacin, por lo tanto lo ms importante es establecer
mecanismos de seguridad de cifrado, que garanticen la
informacin aunque sea interceptada.
c) Sniffing
Sniffing es un ataque que es posible hacer en
redes donde el medio es compartido, tales como
redes

ethernet,

donde

generalmente,

los

paquetes estn disponibles para todos los nodos

en la red. Lo normal es que cada NIC (Tarjeta de
interfaz de Red) solamente escuche y respondan
los

paquetes

especficamente

que
para

van
este.

Sin

direccionados
embargo,

es

relativamente fcil colocar una NIC en modo

promiscuo, es decir, que ellas pueden recolectar
cada paquete que pasa por el cable. Estas NIC en
modo promiscuo, no pueden ser detectadas por
algn otro computador en la red, porque cuando
escuchan paquetes no cambian absolutamente
nada en ellos, simplemente los guardan.

Un

tipo

de

software

aprovecharse
tecnologa

de

llamado

esta

ethernet.

sniffer

caracterstica

Tal

puede
de

herramienta

la

puede

grabar todo el trfico que pasa por el nodo. Los

sniffer

son

necesarios

para

diagnosticar

problemas en redes ethernet. Sin embargo, en

manos

de

alguien

comunicaciones

que

privadas,

quiera
un

escuchar

sniffer

es

una

poderosa herramienta de olfateo. Por ejemplo, un

atacante podra usar un sniffer para grabar todos
los paquetes que contienen nombres de usuarios
y claves en una red y luego usar esa informacin
para entrar a sistemas para los cuales l no est
autorizado a acceder.
Otro de los malos usos que se le puede dar a un
sniffer es el de coleccionar datos y mensajes de
una compaa para poder as identificar quien se
comunica con quien, qu se est comunicado y
poder

usar

esta

informacin

en

labores

de

espionaje corporativos.
Encriptar datos es una forma de proteger contra
sniffing, aunque el atacante podra tener los
recursos para guardar los datos encriptados y

luego

tratar

de

descifrarlos

cuando

est

desconectado.

Este tipo de software puede ser mal utilizada por parte de los
que se dedican a hacer ataques a las redes, ya que puede
grabar

todo

trafico

que

pasa

por

los

nodos

de

comunicacin y posterior hacer uso de estos datos grabados

para hacer dao a las empresas alterando su informacin
como tambin lo pueden ocupar para espionaje corporativo.
d) Ataque del Hombre-en-la-Mitad
Aunque se ha dicho que usar tecnologas de
cifrado y autenticacin previenen en cierta medida
de las amenazas en una red IP, el cifrado no es
una solucin del todo confiable. Los ataques del
hombre-en-la-mitad son tendientes a burlar los
sistemas de cifrado.
Para cifrar se debe primero intercambiar las llaves
de cifrado. Pero es conveniente intercambiar
dichas llaves con ciertas precauciones. Un intruso
podra emplear tcnicas de spoofing, hijacking y
5

Arvalo Jimnez Fernando Andrs

Como Escoger e Implementar Una VPN

Conceptos Tericos Y Prcticos, Pg. 49, Universidad del
Valle, Santiago de Cali 2003.

sniffing para capturar las llaves de cifrado que se

intercambian en un sistema.
El

podra

introducir

su

propia

llave

anticipadamente en el proceso y la otra persona

podra creer que se est comunicando con la llave
de la otra parte cuando en realidad esa llave es la
conocida por el invasor.
Este ataque es conocido como el-hombre-en-lamitad.6
Este tipo de ataque es ms completo y complejo que los
dems porque hace uso de cada uno de los anteriores para
realizar los ataques, y no es solamente de control de acceso
sino de control de envi de informacin.
Existen diferentes tipos de

amenazas que interrumpen,

alteran, sobrecargan las redes de una determinada empresa.

La mayora de las empresas no tienen los datos protegidos
cuando circulan por la red, por lo que los empleados, el
personal de asistencia o los visitantes pueden conectarse a la
red y copiar datos para analizarlos posteriormente. Es por
eso que surge la necesidad de sobreproteger y crear redes
flexibles y escalables para garantizar la informacin enviada
6

Arvalo Jimnez Fernando Andrs

Como Escoger e Implementar Una VPN

Conceptos Tericos Y Prcticos, Pg. 50, Universidad del
Valle, Santiago de Cali 2003.

a travs de las redes internas y externas, haciendo uso de

nuevas tecnologas que den solucin a este tipo de amenaza
y al control de trafico de paquetes para que las empresas
puedan tener un alto grado de confianza al usar este tipo de
servicios.
Las

amenazas

descritas

anteriormente

muestran

las

deficiencias que tienen las redes si no cuentan con tecnologa

de punta, para poder obstaculizar los diferentes ataques
hechos a estas. Por lo tanto las empresas corren el riesgo de
perder informacin importante si no cuentan con sistemas de
autenticacin y cifrado de datos desde su origen hasta su
destino.
Se muestran dos tecnologas que vienen a dar solucin a los
problemas que se dan al momento de transmitir datos, voz,
imagen y video a travs de Internet.
El crecimiento imparable de la Internet, as como la demanda
sostenida de nuevos y ms sofisticados servicios, supone
cambios tecnolgicos fundamentales respecto a las prcticas
habituales desarrolladas a mitad de los aos 90. Nuevas
tecnologas de transmisin sobre fibra ptica, tales como
Dense

Wavelength

Division

Multiplexing

(DWDM),

proporcionan una eficaz alternativa al ATM para multiplexar

mltiples servicios sobre circuitos individuales. Adems, los
tradicionales conmutadores ATM estn siendo desplazados
por

una

nueva

generacin

de

routers

con

funciones

especializadas en el transporte de paquetes en el ncleo de

las redes. Esta situacin se complementa con una nueva

arquitectura de red de reciente aparicin, conocida como
Multi-Prototocol Label Switching (MPLS). MPLS se considera
fundamental en la construccin de los nuevos cimientos para
la Internet del siglo XXI.
Por eso es importante tomar en cuenta nuevas herramientas
que

garanticen la proteccin y el envi integro de la

informacin, para mantener la privacidad y la expansin

corporativas de cada empresa. De tal manera que

se

investigo sobre los siguientes protocolos: IPSec. (Internet

Protocol Security) que encripta y autentica la informacin y
MPLS.

(Multi-Protocol

enrutamiento

travs

Label
de

Switching)
etiquetas,

que

realiza

brindando

el

mayor

seguridad y control de envi de paquetes en las Redes

Privadas Virtuales, las cuales son una nueva alternativa de
solucin de seguridad y enrutamiento de paquetes para el
amplio crecimiento corporativo de las empresas.
1.2- ENUNCIADO DEL PROBLEMA
De qu manera protegen y envan la informacin los
protocolos IPSec y MPLS, en las empresas que utilizan Redes
Privadas Virtuales?

1.3- JUSTIFICACION
La investigacin se realizo con el propsito de conocer
nuevas tecnologas para proteger y enviar informacin a
travs de una VPN, entre los cuales estn los protocolos
IPSec y MPLS. Los cuales son de mucha importancia para
brindar los elementos necesarios de seguridad, autenticidad,
encriptacin y flexibilidad de envi de informacin en las
redes corporativas. Las empresas especialmente los bancos
que utilizan el servio de las VPNs para hacer transacciones
bancarias desde un lugar a otro, les son de mucha utilidad ya
que los protocolos les brindan seguridad y control de trfico
de la informacin til. En El Salvador existen muchas
empresas que hacen uso de las VPNs, por lo tanto surge la
necesidad de proteger y agilizar la informacin transmitida
por Internet, con un servicio de alto nivel de seguridad y con
mayor control de trafico en las redes, para que estas sean
flexibles, seguras y dinmicas.
Es por eso que se presento el funcionamiento de estos
protocolos que protegen y agilizan los datos en las VPN. Se
planeo desarrollar un estudio que

permita conocer las

ventajas y desventajas de los protocolos IPSec y MPLS, para

realizar

comparaciones

entre

los

mismos

probar

el

funcionamiento y su similitud. Para que las empresas tengan

una herramienta informativa que les facilite optar por uno de

los dos protocolos, segn las necesidades que deseen cubrir.

Esto les ayuda a tener

mayor confianza y seguridad al

momento de adquirir un servicio. Adems estos protocolos

ofrecen seguridad y calidad de trfico en la Intranet, Extranet
e Internet y otras redes de comunicacin, en la transferencia
de informacin de Empresa a Empresa, de proveedor a la
empresa y viceversa, ya que son confiables, autnticos e
ntegros los datos

transmitidos a travs de las VPN,

utilizando

protocolos

La

los

investigacin

es

de

suma

IPSec

importancia

MPLS.
para

las

organizaciones pblicas o privadas, pequea y mediana

empresa especialmente las agencias bancarias donde la
informacin transmitida es muy delicada.

Esto no requiere

de grandes inversiones para adquirir esta tecnologa para los

beneficios obtenidos a largo plazo que vienen a compensar la
inversin realizada. Es decir que es preferible que un banco
invierta un poco ms de lo normal para protegerse de
ataques a sus redes de datos que perder ms por no tener
un sistema de cifrado de datos. Se plantean dos servicios en
las VPNs, los cuales les ayudan a solucionar los problemas de
autenticidad, confidencialidad, integracin y envi de datos a
travs de Internet.
El valor terico que tiene esta investigacin es de mucha
importancia ya que les puede ser til a todas las empresas
que usan VPNs para que tengan una herramienta slida y
actualizada para que puedan llevar a cabo la implementacin

de uno de los dos protocolos segn su conveniencia. Esta

investigacin est beneficiando a todas las empresas e
instituciones bancarias que usan VPN

ya que al usar este

servicio los datos viajan a travs de Internet por lo tanto

estos

estn propensos a ser interceptados y alterados. La

manera en que las empresas son beneficiadas, es a travs

de una gua de configuracin, que les facilite la incorporacin
de uno de los dos protocolos en su empresa, por ende van a
proteger y enviar la informacin por los diferentes medios de
comunicacin, de cualquier tipo de amenaza, robo o fraude
de informacin. Estos dos protocolos brindan un canal
confiable para quienes opten por esta tecnologa. Tambin se
reducen los costos de operacin en el rea de proteccin y
enrutamiento de la

informacin a travs de Internet,

simplificando los recursos materiales y humanos. Tambin de

esta forma se estn

fundamentando los conocimientos en

Informtica y abriendo nuevas brechas de investigacin que

ayudan a integrar nuevas tecnologas de seguridad en
Internet.

1.4- OBJETIVOS
1.4.1- OBJETIVO GENERAL

Determinar la proteccin y envi de la informacin

mediante la comparacin de los protocolos IPSec y
MPLS, para las empresas que utilizan Redes Privadas
Virtuales.
1.4.2- OBJETIVOS ESPECIFICOS.

Probar el funcionamiento del Hardware/Software de

IPSec y MPLS en las Redes Privadas Virtuales.

Analizar las ventajas y desventajas a travs del

funcionamiento del protocolo de seguridad IPSec.

Analizar las ventajas y desventajas a travs del

funcionamiento de MPLS.

Determinar las diferencias entre los protocolos IPSec y

MPLS

con

respecto

la

seguridad

envi

de

informacin sobre VPN.

Comparar las ventajas y desventajas que ofrece cada

uno de los estndares IPSec y MPLS.

Proporcionar una gua de configuracin de IPSec y

MPLS para las empresas que necesiten implementar un
de los dos protocolos.

1.5- ALCANCES Y LIMITACIONES

1.5.1- ALCANCES

Configuracin de IPSec y MPLS con una VPN y

comprobar su funcionamiento.

La investigacin se orient a descubrir las ventajas y

desventajas que ofrece IPSec y MPLS en las VPN y
como pueden ser incorporadas en las empresas que
usan VPN.

Se realizaron pruebas necesarias para descubrir los

beneficios que los dos protocolos ofrecen a las
empresas

que

utilizan

VPN.

Las

pruebas

se

efectuaran en privado, para obtener resultados de los

dos protocolos.
Se llevo a cabo estas pruebas con el siguiente equipo
especializado: 3 computadoras con Windows XP, 1
computadoras con Linux, 1 MODEM, 1 Hub, 2 Rotures
Cisco y el servicio VPN, cuando se obtuvo este equipo,
se procedi a hacer las pruebas necesarias para
identificar las ventajas y desventajas de cada uno de
los protocolos. Esto se realizo en un periodo de tiempo
aproximado de un mes, el cual se divide en dos
periodos de accin. En el primer periodo se hicieron
las

pruebas

funcionamiento

necesarias
y

para

documentar

comprobar
la

su

informacin

recopilada. El segundo perodo se realizo la grabacin

un video, para explicar y probar el funcionamiento de
IPSec y MPLS haciendo uso de las VPN, dicho video
fue utilizado en la presentacin del proyecto final.

Se hicieron las comparaciones necesarias entre los

dos protocolos y se defini las virtudes de cada uno
de ellos.

Se

recopilo

toda

la

informacin

necesaria

actualizada, para enriquecer la investigacin.

Se tomaron en cuenta las empresas que tienen VPN

y los protocolos IPSec y MPLS como lo es Telefnica
de El Salvador, en la cual se recopilo informacin
sobre el tema en estudio.

Facilitar una gua de informacin a las empresas que

desean implementar IPSec y MPLS sobre VPN segn
los resultados obtenidos.
1.5.2- LIMITACIONES

No todas las empresas que tienen servicio VPN

proporcionan informacin de IPSec y MPLS, ya que las
empresas tienden a ser muy cuidadosas en

la

divulgacin de la informacin.

No todas las empresas que tienen VPNs, cuentan con

uno de los dos protocolos en estudio, por lo tanto no

pudieron

brindar

informacin

necesaria

para

el

conocimiento de estos.

Las pruebas no se realizaron en las instalaciones de la

empresa antes mencionada ya que no permiten hacer
uso completo de sus equipos.

Las empresas que se identificaron con uno de los dos

protocolos

en

estudio,

no

proporcionaron

la

informacin solicitada, tal es el caso del Banco

Salvadoreo.