Vaca Nuñez Modelo PDF

UNIVERSIDAD AUTONOMA
“GABRIEL RENE MORENO”

FACULTAD DE INGENIERIA EN CIENCIAS
DE LA COMPUTACION Y TELECOMUNICACIONES
Proyecto
“Red VPN para la consultora XTT SRL.”
CARRERA : ING. EN REDES Y TELECOMUNICACIONES.

MATERIA : TALLER DE GRADO I
INTEGRANTES:
Juan Pablo Gutiérrez
Silvia Justiniano Vaca
FECHA : 23/11/2017
Santa Cruz – Bolivia

Red VPN para la consultora AT & Consult
Índice
INTRODUCCIÓN ........................................................................................................................................... 8
CAPITULO 1 .................................................................................................................................................. 9
INTRODUCIÓN AL PROYECTO ....................................................................................................................... 9
1.1.- DEFINICIÓN DEL PROBLEMA ................................................................................................................ 9
1.1.1.- Situación problemática ..................................................................................................................... 9
1.1.2.- Situación deseada ............................................................................................................................. 9
1.1.3.- Objeto de la investigación ............................................................................................................... 10
1.2.- OBJETIVOS ......................................................................................................................................... 11
1.2.1.-Objetivo General.............................................................................................................................. 11
1.2.2.- Objetivo específicos ........................................................................................................................ 11
1.3.- METODOLOGÍA .................................................................................................................................. 12
1.4.- ALCANCE ............................................................................................................................................ 12
1.5.- JUSTIFICACIÓN ................................................................................................................................... 13
CAPITULO 2 ................................................................................................................................................ 14
EMPESA XTT .............................................................................................................................................. 14
2.1.- CONSULTORA XTT. ............................................................................................................................. 14
2.1.1.- Misión ............................................................................................................................................. 14
2.1.2.- Visión .............................................................................................................................................. 15
2.2.- Estructura Organizacional .................................................................................................................. 15
2.3.- Ubicación ........................................................................................................................................... 18
CAPITULO 3 ................................................................................................................................................ 19
VPN Y ENCRIPTACIÓN ................................................................................................................................ 19
3.1.- FUNCIONAMIENTO DE LAS VPNS ....................................................................................................... 19
3.1.1.- Encriptación con Clave Secreta ....................................................................................................... 20
Página 1
3.1.2.- Encriptación de Clave Pública.......................................................................................................... 20
3.2.- Clasificación de las VPNs .................................................................................................................... 22
3.2.1.- VPNs Seguras .................................................................................................................................. 22
3.2.2.- VPNs de confianza........................................................................................................................... 22
3.2.3.- VPNs según su Arquitectura ............................................................................................................ 22
3.2.3.1.- VPNs de Acceso Remotos ............................................................................................................. 23
3.2.3.2.- VPNs Punto a Punto ..................................................................................................................... 23
3.2.3.3.- VPNs Interna ................................................................................................................................ 23
3.3.- VPN IPSec .......................................................................................................................................... 24
3.3.1.- Encapsulated Security Payload (ESP), .............................................................................................. 25
Ilustración 2 - ............................................................................................................................................. 25
3.3.2.- Authentication Header (AH), ........................................................................................................... 26
Ilustración 3 - Funcionamiento de una AH (Barrera, 2007). ........................................................................ 26
3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP) ............................................. 27
3.4.- Security Association SA ...................................................................................................................... 27
3.5.- Modo de Transporte .......................................................................................................................... 28
3.6.- Modo Túnel ....................................................................................................................................... 29
3.7.- Configuración de VPN IPSec ............................................................................................................... 31
3.8.- Filtrado de Paquetes IPSec ................................................................................................................. 33
3.9.- Ventajas y Desventajas de usar IPSec................................................................................................. 33
3.9.1.- Ventajas de IPSec ............................................................................................................................ 33
3.9.2.- Desventajas de IPSec ...................................................................................................................... 34
CAPITULO 4 ................................................................................................................................................ 35
DEFINICIÓN DE REQUERIMIENTOS ............................................................................................................. 35
4.1.- Identificación de Requerimientos ...................................................................................................... 35
Página 2
4.1.1.- Red de Comunicaciones .................................................................................................................. 35
4.1.2.- Adecuación de Espacios físicos ........................................................................................................ 35
4.1.3.- Equipamiento ................................................................................................................................. 35
4.2.- Identificación de requerimientos de administración de la red VPN. ................................................... 35
4.3.- Descripción de Requerimientos. ........................................................................................................ 36
4.3.1.- Calidad de servicio aplicada a la red local y enlace .......................................................................... 36
4.3.2.- Cableado Estructurado .................................................................................................................... 38
4.3.3.- Adecuación de Espacios físicos ........................................................................................................ 39
4.3.4.- Equipamiento ................................................................................................................................. 40
CAPITULO 5 ................................................................................................................................................ 41
ANÁLISIS DE RIESGOS................................................................................................................................. 41
5.1.- Análisis e Identificación de Riesgos .................................................................................................... 41
5.1.1.- Riesgos por Amenazas Naturales .................................................................................................... 41
5.1.2.- Riesgos por Factores Tecnológicos .................................................................................................. 41
5.1.3.- Riesgos por Amenazas en la Organización ....................................................................................... 42
5.1.4.- Riesgos por Amenazas a la Infraestructura...................................................................................... 42
5.1.5.- Riesgos por Amenazas Humanas ..................................................................................................... 42
5.1.6.- Riesgos por Amenazas de Ataques Intencionados ........................................................................... 42
5.1.7.- Riesgos por Amenazas Políticas o legales ........................................................................................ 43
5.2.- Valoración de los Riesgos ................................................................................................................... 43
5.2.1.- Valoración ....................................................................................................................................... 43
5.2.1.1.- Probabilidad ................................................................................................................................ 43
5.2.1.2.- Impacto ........................................................................................................................................ 43
5.2.1.3.- Riesgo .......................................................................................................................................... 45
5.3.- Tabla de Riesgos Cualitativa ............................................................................................................... 46
Página 3
CAPITULO 6 ................................................................................................................................................ 49
DISEÑO DE LA RED ..................................................................................................................................... 49
6.1.- Diseño de la Red VPN ......................................................................................................................... 49
6.2.- Identificación de actividades actuales de la Consultora ..................................................................... 49
6.3.- Diseño lógico de la Red VPN .............................................................................................................. 51
6.4.- Diseño físico de la Red VPN................................................................................................................ 51
CAPITULO 7 ................................................................................................................................................ 52
IMPLEMENTACIÓN Y CONFIGURACIÓN ...................................................................................................... 52
7.1.- Implementación ................................................................................................................................. 52
7.2.- Configuración de la Red ..................................................................................................................... 52
7.3.- Configuración del Router MP1800 – SERVICE_ISP .............................................................................. 55
7.4.- Configuración del Router MPSEC 3005 – Snt-Cruz. ............................................................................. 56
7.4.- Configuración del Router MPSEC 3005 – La-Paz. ................................................................................ 57
7.5.- Especificaciones de comandos. .......................................................................................................... 58
7.6.- Captura de datos................................................................................................................................ 60
7.7.- Configuración del sistema de Red. ..................................................................................................... 63
7.7.1.- Configuración del Servidor DNS. ..................................................................................................... 63
7.7.2.- Configuración del servidor Active Directory. ................................................................................... 70
7.7.3.- Configuración de DHCP. .................................................................................................................. 75
CAPITULO 8 ................................................................................................................................................ 77
EVALUACIÓN ECONÓMICA......................................................................................................................... 77
8.1.- Justificación Económica. .................................................................................................................... 77
8.2.- Costos de Adquisición de los equipos................................................................................................. 77
8.3.- Costos de licencia de Software .......................................................................................................... 79
8.4.- Costos de la Implementación ............................................................................................................. 79
Página 4
8.5.- Costos Totales .................................................................................................................................... 80
CONCLUSIONES .......................................................................................................................................... 81
9.1.- Conclusión ......................................................................................................................................... 81
RECOMENDACIONES .................................................................................................................................. 82
BIBLIOGRAFÍA ............................................................................................................................................ 83
ANEXOS ..................................................................................................................................................... 84
Página 5
Índice de Ilustraciones
Página 6
Índice de Tablas
Tabla 1 – Calidad de Servicio ...................................................................................................... 37

Tabla 2 – Cableado Estructurado .............................................................................................. 38
Tabla 3 – Adecuación de Espacios Físicos ............................................................................. 39
Tabla 4 – Equipamiento ................................................................................................................ 40
Tabla 5 – Tabla de Probabilidad ................................................................................................ 43
Tabla 6 – Tabla de Impacto ......................................................................................................... 44
Tabla 7 – Tabla de Riesgo ............................................................................................................ 45
Tabla 8 – Matriz de Riesgo........................................................................................................... 45
Tabla 9 – Identificación de Activos .......................................................................................... 48
Tabla 10 – Costos de Equipos ..................................................................................................... 78
Tabla 11 – Costos de Licencias de Software ......................................................................... 79
Tabla 12 – Costos de la Implementacion ............................................................................... 79
Tabla 13 – Costos Totales. ........................................................................................................... 80
Página 7
INTRODUCCIÓN
Existe una gran diferencia en el acceso e infraestructura de tecnologías de
información y comunicación entre los países desarrollados y los que están en vía de
desarrollo.
La tecnología, y como caso particular las redes, pueden considerarse como
herramientas para fortalecer los vínculos internos y externos de las comunidades y
facilitar su acceso a herramientas e información, así como abrir espacios de trabajo
para el intercambio de información.
La idea de realizar este trabajo surgió en la asignatura de Taller de Grado I para poner
en práctica los conocimientos adquiridos a lo largo de la carrera de Ingeniería en
Redes y Telecomunicaciones.
Tomamos la iniciativa de elaborar una Red Privada Virtual (Virtual Private Network,
VPN) que es una conexión entre dos puntos, que permite una extensión segura de una
red local LAN sobre una red pública WAN usando como medio la internet, esta medida
surgió con la necesidad que las redes de área local superen la barrera de lo local
permitiendo la conectividad de personas y oficinas que se encuentran en otros
edificios, ciudades, universidades e incluso países uniendo así redes LAN separadas
geográficamente.
La tecnología de red VPN permite enviar información privada de forma segura por
una red pública. La red privada que se forma con el uso de la VPN envía la
información de manera segura entre estas dos ubicaciones o redes que se establece
mediante la creación de un túnel. Un túnel VPN conecta dos computadoras o redes y
permite transmitir datos a través de Internet como si los puntos de cada extremo
estuviesen dentro de una misma red. No se trata literalmente de un túnel, sino que es
una conexión protegida mediante la encriptación de los datos enviados o mediante el
uso de conexiones dedicadas entre ambas redes. Una VPN no es más que la creación
en una red pública de un entorno de carácter confidencial y privado que permitirá
trabajar al usuario como si estuviera en su misma red local.
Página 8
CAPITULO 1
INTRODUCIÓN AL PROYECTO
1.1.- DEFINICIÓN DEL PROBLEMA

El servicio de consultoría y asesoramiento tributario que presta la consultora
AT & Consult va cada día en crecida según datos proporcionados por dicha
consultora en el último trimestre del año 2012 se dio un incremento de clientes
en un 43% a comparación de su anterior gestión, debido a esto es que se vieron
en la necesidad de mejorar la seguridad de su actual base de datos.
1.1.1.- Situación problemática

Al fundarse la consultora no se llegó a prever su rápido crecimiento y
expansión de la misma, quedando su diseño inicial para la compartición de
datos y recurso totalmente obsoleto, además de que la forma de intercambiar
información de clientes se hace de una forma bastante rustica e insegura.
1.1.2.- Situación deseada

Con la Implementación de una Red VPN se busca que el intercambio de datos
(Planillas de cálculo, Datos de los Clientes y Base de datos generadas por los
Página 9
Software Da Vinci y Constans) entre las dos sucursales con las que cuenta la
consultora AT & Consult, sea fácilmente accedidas desde cualquier dispositivo
que pertenezca a la Red VPN de la consultora restringiendo de esta manera los
accesos de elementos externos, accediendo únicamente en horarios
establecidos o de oficina.
1.1.3.- Objeto de la investigación
Describir el objeto un esquema gráfico.
Página 10
1.2.- OBJETIVOS
1.2.1.-Objetivo General
El Objetivo general es el de diseñar e implementar una Red VPN para el
intercambio seguro de datos (Planillas de cálculo, Datos de los Clientes y
Base de datos generadas por los Software Da Vinci y Constans) que será
de gran ayuda al momento de reestructurar nuevos formularios y
expedientes, además que será indispensable al momento de hacer una
auditoria interna.
1.2.2.- Objetivo específicos
1. Realizar entrevistas al gerente y al personal

administrativo para obtener los requerimientos que se
necesiten para el desarrollo de la red VPN.
2. Realizar un análisis de todos los requerimientos
obtenidos.
3. Conocer los equipos, hardware y/o software que se usan
en una red VPN (IPSec) para su correcta elección de
Equipos.
4. Diseñar la Red VPN.
5. Realizar un análisis de riesgos.
6. Análisis de costos y beneficios de la implementación de
la Red VPN.
Página 11
1.3.- METODOLOGÍA
La metodología estará compuesta por 3 fases:
Fase 1 – Analizar Requerimientos.
• Analizar metas técnicas, pros y contras.
• Estudio sobre los recursos económicos de la consultora, es decir con
cuanto capital desean apoyar la elaboración de la red VPN.
• Estudiar los planos de los edificios para su correcto cableado
estructurado y ubicación de dispositivos.
Fase 2 – Diseño Físico de la Red.

• Seleccionar tecnologías (Sistemas Operativos y Estándares) y
dispositivos (Router y Switch) que actuaran en el desarrollo de la red.
• Verificar si se existe alguna red de cableado estructurado que
podríamos utilizar, para de esta manera amortizar costos.
Fase 3 – Análisis de riesgos del Diseño de la Red.

• Probar el diseño de la Red VPN.
• Documentar el diseño de la Red VPN.
1.4.- ALCANCE
Al implementar una red VPN se quiere proporcionar una conexión segura y
directa entre dos o más sucursales con las que puedan contar la consultora,
usando como vinculo internet. Mediante el uso especiales de protocolos de
seguridad podemos restringir el acceso y permitir que únicamente los
miembros o personal de AT & Consult puedan acceder a los servicios y
recursos disponibles compartidos de carácter privado de la Consultora.
Con la implementación de una red VPN se busca crear un túnel virtual entre los
dos extremos de la red privada a través de una red pública además de usar
sistemas de encriptación y autentificación que aseguren la confidencialidad e
integridad de los datos transmitidos a través de esa red pública.
Página 12
1.5.- JUSTIFICACIÓN
Al ver los altos costos de inversión por parte de las empresas tanto en Hardware
como en Software en servicios de telecomunicaciones que permitan crear redes
de servicios, es que surge la tecnología de red VPN que permite, mediante una
moderada inversión económica y utilizando como medio internet la creación de
redes privadas virtuales, permitiendo así la comunicación entre las diferentes
instalaciones y personal de la consultora ubicadas geográficamente distantes.
De esta manera se logra tener un mayor control sobre el flujo de la información y

proteger su base de datos de los clientes miembros de AT & Consult.
Página 13
CAPITULO 2
EMPESA XTT
2.1.- CONSULTORA XTT.
Bajo la iniciativa visionaria del licenciado Víctor Hugo Justiniano es que nace la
consultora AT & Consult en 1988 con el objetivo de poner a disposición de las
pequeñas, medianas y grandes empresas un servicio de consultoría y asesoría
de máxima calidad y eficacia que responda a sus necesidades.
Con una dilatada experiencia y especializado en la gestión de todo tipo de

proyectos de consultoría de negocio y de empresa familiar así como también de
asesoría tributaria, legal y laboral, este despacho cuenta con un equipo de
profesionales especialistas en distintas materias que ofrecen una atención
personalizada y soluciones estratégicas y eficaces con máximas garantías de
éxito.
2.1.1.- Misión
La misión de AT & Consult es conseguir la excelencia empresarial de nuestros

clientes ofreciendo una gestión de máxima calidad, prestando un servicio con
valor añadido, brindando un trato personalizado y poniendo a su disposición a
un equipo de profesionales especializados y con una dilatada experiencia.
Página 14
El objetivo prioritario de esta consultora es impulsar el crecimiento

empresarial de nuestros clientes en términos de negocio y de beneficio.
Para conseguir nuestro propósito, el equipo de profesionales altamente

cualificados de AT & Consult establece una relación próxima y cercana con sus
clientes en la que la disponibilidad absoluta y una comunicación permanente y
fluida permiten resolver con eficacia y concisión todo tipo de situaciones,
manteniendo máxima discreción y confidencialidad en el trato personal y la
información tratada.
2.1.2.- Visión
La visión de AT & Consult es convertirse en una consultoría de negocio y una
asesoría en materia tributaria, legal y laboral de máxima calidad en el servicio,
la gestión y el trato, que sea un referente de profesionalidad y excelencia en su
sector ya no sólo en Santa Cruz de la Sierra y La Paz, donde actualmente opera,
sino también en el resto del territorio Boliviano.
En AT & Consult centramos todos nuestros esfuerzos en ser fieles a nuestro

ambicioso proyecto de consultoría de negocio y asesoría empresarial y
trabajamos sólida y firmemente para conseguir los objetivos de nuestros
clientes ya que su éxito será nuestro éxito.
2.2.- Estructura Organizacional

La Estructura Organizacional de AT & Consult está conformada por tres
niveles jerárquicos.
Nivel I – Dirección
Conformado por la gerencia general; siendo el gerente y presidente de
la consultora, responsable de la formulación de políticas y
estrategias orientadas a asegurar una gestión eficiente y transparente,
Página 15
con el propósito de satisfacer las necesidades de nuestros clientes,

apoyándolos en la búsqueda de su ventaja diferencial y éxito
empresarial, y agregando valor, para su beneficio
Nivel II – Apoyo técnico Especializado

Conformado por el Asesor Legal y e l Asistente de Administración el
cual se encarga de los trabajos que se realizan de acuerdo con normas
de auditoría generalmente aceptadas y consisten, por consiguiente, en el
examen de los estados contables de un ente con el fin de emitir una
opinión técnica independiente o dictamen acerca de la razonabilidad de
las cifras que demuestran su patrimonio y composición de los
resultados a lo largo de un periodo.
Nivel III – Descentralizado

Conformado por los auditores de área que son los encargados de
realizar una atención personalizada y soluciones estratégicas y eficaces
con máximas garantías de éxito.
Organigrama de la Consultora.
Directorio Ejecutivo
Gerente General de Sucursal
Asesor Legal Asistente de Administración

Gerencia General
Auditores de Área
Página 16
Página 17
2.3.- Ubicación
C. Beni Esq. Bolívar, Of. 102 – Edif. Libertador.
Tel. / Fax: 3366470
Casilla de Correo: 1579
Email: atconsult_scz@gmail.com.bo
Santa Cruz.
Ilustración 1 – Vista satelital de la Consultoría (Google Maps, 2013)
Página 18
CAPITULO 3
VPN Y ENCRIPTACIÓN
3.1.- FUNCIONAMIENTO DE LAS VPNS
La comunicación entre los dos extremos de la red privada a través de la red

pública se hace estableciendo túneles virtuales entre esos dos puntos y usando
sistemas de encriptación y autentificación que aseguren la confidencialidad e
integridad de los datos transmitidos a través de esa red pública. Debido al uso
de estas redes públicas, generalmente Internet, es necesario prestar especial
atención a las cuestiones de seguridad para evitar accesos no deseados.
La tecnología de túneles (Tunneling) es un modo de envío de datos en el que se

encapsula un tipo de paquetes de datos dentro del paquete de datos propio de
algún protocolo de comunicaciones, y al llegar a su destino, el paquete original
es desempaquetado volviendo así a su estado original.
En el traslado a través de Internet, los paquetes viajan encriptados, por este
motivo, las técnicas de autenticación son esenciales para el correcto
funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que están
intercambiando información con el usuario o dispositivo correcto.
Todas las VPNs usan algún tipo de tecnología de encriptación, que empaqueta
los datos en un paquete seguro para su envío por la red pública.
Página 19
La encriptación hay que considerarla tan esencial como la autenticación, ya que

permite proteger los datos transportados de poder ser vistos y entendidos en
el viaje de un extremo a otro de la conexión.
Existen dos tipos de técnicas de encriptación que se usan en las VPN:
Encriptación de clave secreta, o privada, y Encriptación de clave pública. (Omar
Vidal, 2008)
3.1.1.- Encriptación con Clave Secreta
En este tipo de encriptación se utiliza una contraseña secreta conocida por

todos los participantes que van a hacer uso de la información encriptado. La
contraseña se utiliza tanto para encriptar como para desencriptar la
información. Este tipo de sistema tiene el problema que, al ser compartida por
todos los participantes y debe mantenerse secreta, al ser revelada, tiene que
ser cambiada y distribuida a los participantes, lo que puede crear problemas de
seguridad. (Omar Vidal, 2008)
3.1.2.- Encriptación de Clave Pública
Una Encriptación de clave pública implica la utilización de dos claves, una

pública y una secreta. La primera es enviada a los demás participantes. Al
encriptar, se usa la clave privada propia y la clave pública del otro participante
de la conversación. Al recibir la información, ésta es desencriptada usando su
propia clave privada y la pública del generador de la información. La gran
desventaja de este tipo de encriptación es que resulta ser más lenta que la de
clave secreta.
En las redes virtuales, la encriptación debe ser realizada en tiempo real, de esta
manera, los flujos de información encriptada a través de una red lo son
Página 20
utilizando encriptación de clave secreta con claves que son válidas únicamente
para la sesión usada en ese momento. (Omar Vidal, 2008)
Página 21
3.2.- Clasificación de las VPNs
3.2.1.- VPNs Seguras

Emplean protocolos para la creación de túneles criptográficos para
proporcionar confidencialidad, autenticación e integridad de mensajes, además
de una implementación compleja que lleva a que algunas de las tecnologías de
VPN sean inseguras. Algunos empleos de esto son las tecnologías (B. Alarcos,
2013):
• IPSec
• PPTP (Microsoft)
• L2TP (Microsoft y CISCO)
3.2.2.- VPNs de confianza

En este tipo de VPNs no emplean protocolos criptográficos, por la confían en la
capacidad que tiene la red un proveedor para proteger nuestro tráfico.
En este tipo de VPNs se encuentran los protocolos tecnologías (B. Alarcos,
2013):
• MPLS
• L2F (Layer 2 Forwarding) desarrollado por Cisco.
3.2.3.- VPNs según su Arquitectura

En función de las arquitecturas de conexión podemos distinguir tecnologías (B.
Alarcos, 2013):
• Acceso remoto
• Punto a punto
• Interna
Página 22
3.2.3.1.- VPNs de Acceso Remotos

Es, quizá, el modelo más usado actualmente, donde los usuarios o proveedores
que se conectan con la empresa desde sitios remotos (domicilios, hotel,
aviones, etc.) utilizando Internet como vínculo de acceso, se autentican y
consiguen un nivel de acceso similar al que tienen en la red local de la empresa.
Además permite reemplazar la infraestructura de acceso por marcado (módem
y líneas telefónicas) tecnologías (B. Alarcos, 2013).
3.2.3.2.- VPNs Punto a Punto

Este tipo de conexión sirve para conectar oficinas remotas con la sede dela
organización, el servidor VPN (en la sede principal) acepta las conexiones vía
Internet provenientes de los sitios y establece el túnel VPN, donde los
servidores de las sucursales se conectan a Internet utilizando los servicios de
su ISP.
Esto nos permite eliminar el coste de los enlaces punto a punto tradicionales. A
los clientes a veces se les denomina Road Warriors tecnologías (B. Alarcos,
2013)
3.2.3.3.- VPNs Interna

El menos difundido de los tres. Es una variante del tipo acceso remoto pero en
vez de utilizar Internet como medio de conexión emplea la propia LAN. Una red
VPNs Interna nos permite aislar zonas y servicios de la red interna, este
procedimiento es muy empleado para mejorar las prestaciones de seguridad
de las redes WiFi tecnologías (B. Alarcos, 2013).
Página 23
3.3.- VPN IPSec

IPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6.
IPSec (de las siglas en inglés Internet Protocol Security) es un conjunto de
estándares abiertos del IETF para incorporar servicios de seguridad en IP y que
responde a la necesidad creciente de garantizar un nivel de seguridad
imprescindible para las comunicaciones entre empresas y comercio
electrónico, de red confidencialidad, integridad y autenticación
independientemente de cual sea el medio de transporte (Frame Relay, PPP,
xDSL, ATM,…). El objetivo para el que fue diseñado IPSec fue para las
comunicaciones sobre el protocolo de Internet (IP). IPSec y los protocolos que
implementa se han especificado en numerosos RFCs entre los que se
encuentran 1826, 1827, 2401, 2402, 2406, 2408, 4301 y 4309.
El protocolo IPSec permite definir un túnel entre dos pasarelas. Una pasarela
IPSec consistiría normalmente en un router de acceso o un cortafuegos en el
que esté implementado el protocolo IPSec. Las pasarelas IPSec están situadas
entre la red privada del usuario y la red compartida del operador. Además,
como trabaja a nivel IP, es transparente a la aplicación, ya que esta no necesita
modificación alguna, y ni siquiera se entera de la existencia de criptografía
intermedia, a diferencia de protocolos de nivel de transporte, como son los
túneles sobre TCP (SSL, SSH).
IPsec proporciona:
• Confidencialidad
• Integridad
• Autenticación.
Usando:
• Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish).
• Algoritmos de hash (MD5, SHA-1).
• Tecnologías de clave pública (RSA).
• Certificados digitales.
Página 24
IPsec utiliza dos protocolos para la protección de los paquetes IP: “Cargo de
Seguridad Encapsulado” (ESP: Encapsulated Security Payload) y “Cabecera de
Autenticación” (AH: Authentication Header). Además de un protocolo de
seguridad de claves: “Intercambio de llaves de internet” (Mansilla y Colombres,
2009).
3.3.1.- Encapsulated Security Payload (ESP), que protege los datos del
paquete IP de interferencias de terceros, cifrando el contenido utilizando
algoritmos de criptografía simétrica (como Blowfish, 3DES).
Los distintos tipos de ESP aplicables deben seguir conformar con el RFC2406.
Una cabecera ESP también puede proveer autenticación para el cargo (pero no
la cabecera exterior).
ESP puede proveer autenticación, integridad, protección a la réplica, y
confidencialidad de los datos (asegura todo lo que sigue a la cabecera en el
paquete). La protección a la réplica requiere autenticación e integridad (éstas
dos van siempre juntas). La confidencialidad (cifrado) se puede usar con o sin
autenticación y/o integridad. Del mismo modo, puede usar la autenticación y/o
la integridad con o sin la confidencialidad.
Ilustración 2 - Funcionamiento de una ESP (Barrera, 2007).
Página 25
3.3.2.- Authentication Header (AH), que protege la cabecera del paquete

IP de interferencias de terceros así como contra la falsificación (“spoofing”),
calculando una suma de comprobación criptográfica y aplicando a los campos
de cabecera IP una función hash segura. Detrás de todo esto va una cabecera
adicional que contiene el hash para permitir la validación de la información que
contiene el paquete.
Hay varios RFCs diferentes que ofrecen una elección de algoritmos para AH, sin
embargo todos deben seguir las líneas especificadas en el RFC2402.
AH provee autenticación, integridad, y protección a la réplica (pero no

confidencialidad). Su principal diferencia con ESP es que AH también asegura
partes de la cabecera IP del paquete (como las direcciones de origen o destino).
Ilustración 3 - Funcionamiento de una AH (Barrera, 2007).
Página 26
3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP)
Es utilizado por AH y ESP para la administración de claves. ISAKMP no define

por sí mismo los algoritmos de generación de claves, sino que permite el uso de
distintos tipos de algoritmos, aunque el estándar pide un set mínimo en las
implementaciones. Para el intercambio de claves, se utiliza el protocolo IKE
(Internet Key Exchange), esto se hace por separado para independizar el
método de intercambio de claves del protocolo IPSec. La estandarización de
IKE permite la interoperabilidad entre distintos sistemas, la implementación de
IKE de FreeS/WAN se llama Pluto (Barrera, 2007).
3.4.- Security Association SA

Una Asociación de Seguridad (SA: Security Association) es un enlace seguro de
IPsec definido por un único flujo unidireccional de datos desde un único punto
hasta otro. Consiste en el acuerdo de las dos partes comunicantes en el método
utilizado para la comunicación segura.
Todo el flujo de tráfico sobre un SA se trata del mismo modo. El tráfico puede
ser entre dos hosts, entre un host y una pasarela de seguridad (Security
Gateway) o entre dos pasarelas de seguridad.
El establecimiento del túnel IPSec se hace básicamente en dos fases:

1. IKE - Fase 1: los gateways negocian un canal bidireccional (SA) que se
utilizará para crear los canales de la siguiente fase. Se presentan los
algoritmos de cifrado probables, y las claves de autenticación para
armar los túneles IPSec.
2. IKE - Fase 2: usando el canal generado en la fase uno, se establece un
par de SAs (unidireccionales, uno para cada sentido) con los
parámetros de refresco de claves, método de cifrado, y el protocolo a
usar: AH o ESP.
Página 27
Para comprender cómo funciona el protocolo IKE, debemos conocer los dos
modos de funcionamiento en los que puede trabajar IPSec: Modo de
Transporte y modo de Túnel (Barrera, 2007).
3.5.- Modo de Transporte
En modo transporte, sólo la carga útil (los datos que se transfieren) del
paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya
que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la
cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas,
ya que eso invalidaría el hash. Las capas de transporte y aplicación están
siempre aseguradas por un hash, de forma que no pueden ser modificadas de
ninguna manera (por ejemplo traduciendo los números de puerto TCP y
UDP). El modo transporte se utiliza para comunicaciones ordenador a
ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida
por RFCs que describen el mecanismo de NAT transversal. En este modo de
funcionamiento de SA, las cabeceras de seguridad se añaden entre la
cabecera de la capa de red IP y la cabecera de transporte (TCP o UDP),
garantizando la seguridad al paquete IP sin cabecera (Barrera, 2007).
Paquete IP en IPSec para Modo Transporte:
Ilustración 4 – Cabeceras de paquetes en modo de transporte de AH y ESP (Barrera, 2007).
Página 28
3.6.- Modo Túnel
En modo Túnel el contenido del datagrama AH o ESP es un datagrama IP

completo, incluida la cabecera IP original. Así, se toma un datagrama IP al cual
se añade inicialmente una cabecera AH o ESP, posteriormente se añade una
nueva cabecera IP que es la que se utiliza para encaminar los paquetes a través
de la red. El modo túnel se usa normalmente cuando el destino final de los
datos no coincide con el dispositivo que realiza las funciones IPSec.
En este caso, las cabeceras de seguridad engloban también a la cabecera IP
original del paquete IP, teniendo que añadir una nueva cabecera IP que cubre
solamente el salto al otro extremo de la conexión segura (Barrera, 2007).
Paquete IP en IPSec para Modo Túnel:
Ilustración 5 - Cabeceras de paquetes en modo de tunel de AH y ESP (Barrera, 2007).
Cada paquete IP se asigna a una SA mediante tres campos: Dirección IP del

Destino, Índice del Parámetro de Seguridad (SPI: Security Parameter Index) y
Protocolo de Seguridad (AH o ESP).
Sin embargo, el protocolo no estipula cómo se han de autentificar los pares ni

cómo se intercambian las claves de sesión. Estas tareas son gestionadas por el
protocolo de intercambio de claves de Internet IKE (Internet Key Exchange).
Página 29
IKE permite que dos puntos extremos puedan establecer conexiones seguras,
utilizando la infraestructura de llaves pre compartidas o llaves públicas (PKI),
certificados digitales administrados por una autoridad certificadora un servicio
externo o interno que registra las llaves públicas. IKE permite también que una
red privada virtual (VPN) pueda ampliarse a cientos de puntos extremos,
mediante el uso del equivalente a una tarjeta de identificación digital que
identifica cada punto extremo (Barrera, 2007).
Ilustración 6 - Funcionamiento del protocolo IKE.
Ilustración 6 – Funcionamiento del protocolo IKE (Barrera, 2007).
Página 30
3.7.- Configuración de VPN IPSec
La forma en la que se configuran los sistemas IPSec contiene algunas

recomendaciones importantes sobre cómo se debería implementar para evitar
al máximo la confusión, esta recomendación es por parte de la RFC.
Existen dos entidades administrativas que controlan lo que le ocurre a un
paquete. Una es la «Base de Datos de Asociación de la Seguridad» (SAD,
"Security Association Database", llamado TDB o tabla TDB en el código fuente
de IPSec de OpenBSD), y el otro es la «Base de Datos de Política de la
Seguridad» (SPD, "Security Policy Database").
Las dos se parecen en que, dado un número de selectores que describan algo de
tráfico, entregarán una entrada que describa el proceso necesario. Sin
embargo, SPD se elimina a dos pasos del proceso: SPD se usa para paquetes
salientes, para decidir qué entradas SAD se deben usar, y qué entradas SAD
describen el proceso y sus parámetros. Las entradas SPD especifican las
entradas SAD existentes a usar (si es un «haz» puede haber más de una), pero
si no hay una que se pueda usar, entonces se usa para crear otras nuevas. Los
campos de SA que se crean se pueden tomar de la entrada SPD o del paquete
que inició la creación.
Los paquetes salientes van desde la entrada SPD a la especificada de SA, para
obtener parámetros de codificación. Los paquetes entrantes obtienen la SA
correcta directamente, usando el trío SPI/DestIP/Protocolo, y de ahí van a la
entrada SPD.
SPD también puede especificar qué tráfico debería circunvalar IPSec, y cuál se
debería dejar caer, así que también debe ser consultado para tráfico no IPSec
entrante. Las entradas SPD se deben ordenar de forma explícita, ya que varias
podrían coincidir con un paquete particular, y el proceso debe ser
reproducible.
Página 31
Se puede pensar en SPD como algo parecido a un filtro de paquetes, en el que

las acciones que se deciden son la activación de procesos SA. Los selectores
pueden incluir direcciones de origen y destino, números de puertos si fueran
relevantes, nombres de anfitriones, niveles de sensibilidad de seguridad,
protocolos, etc...
Una entrada SAD incluye:
• Dirección IP de destino
• Protocolo IPSec (SA o ESP)
• SPI (cookie)
• Contador de secuencias
• Indicador de secuencia O/F
• Ventana de información anti-réplica
• Tipo de AH e información
• Tipo de ESP e información
• Información sobre el tiempo de vida
• Indicadores de modos túnel/transporte
• Información sobre el camino MTU
Una entrada SPD contiene:
• Puntero a SAs activas
• Campos de selector
Cada SA puede definir una cabecera ESP y una cabecera AH. Una sesión de
IPSec debe tener una de las dos o ambas, pero no se puede definir sin ninguna
de las dos (en caso contrario no habría cabeceras para especificar el SPI que
deba buscar la SA). El RFC no dice qué sucedería si las cabeceras AH y ESP
estuvieran en desacuerdo sobre el valor de SPI. Se puede pensar que esto
implicaría múltiples SAs en un haz (Caire, 2006).
Página 32
3.8.- Filtrado de Paquetes IPSec
Los protocolos AH y ESP están implementados sobre la capa IP, AH es el

protocolo IP 51 y ESP es el protocolo IP 50. El protocolo ISAKMP usa el puerto
UDP 500 para envío y recepción. En el caso en que se tenga un firewall delante
del Gateway de seguridad, habrá que tener en cuenta estos protocolos para su
filtrado (Herrera, 2003).
3.9.- Ventajas y Desventajas de usar IPSec
3.9.1.- Ventajas de IPSec

• IPSec ofrece confidencialidad (cifrado), autenticación e
integridad.
• Basado en estándares y muy adecuado para tráficos
totalmente IP.
• IPSec está debajo de la capa de transporte, por lo que
resulta transparente para las aplicaciones.
• IPSec puede ser transparente a los usuarios finales.
• Compatible con la infraestructura de claves públicas.
• Provee un alto grado de encriptación a bajo nivel.
• Estándar abierto del sector. IPSec proporciona una
alternativa de estándar industrial abierto ante las
tecnologías de cifrado IP patentadas. Los administradores
de la red aprovechan la interoperabilidad resultante.
Página 33
3.9.2.- Desventajas de IPSec

• En la mayoría de los casos, su implementación necesita
modificaciones críticas al kernell.
• IPSec no es seguro si el sistema no lo es. Los gateways de
seguridad deben estar en perfectas condiciones para poder
confiar en el buen funcionamiento de IPSec
• Puede ser vulnerable a ataques del tipo “man in the
middle” y de denegación de servicio (DoS).
• Es un protocolo complejo de entender, su configuración es
complicada y además requiere una configuración minuciosa
en el cliente. Su administración suele ser lenta y complicada.
• Tiene un alto coste de implementación y de
mantenimiento.
• IPSec autentica máquinas, no usuarios: el concepto de
identificación y contraseña de usuarios no es entendido por
IPSec, si lo que se necesita es limitar el acceso a recursos
dependiendo del usuario que quiere ingresar, entonces
habrá que utilizar otros mecanismos de autenticación en
combinación con IPSec.
• Problemas con traducción de direcciones NAT (Network
AddressTranslation).
• Diferentes implementaciones de distintos proveedores
pueden ser incompatibles entre si.
• Necesita del uso de muchos puertos y protocolos en el
sistema hardware que lo implemente (router, firewall,...).
Página 34
CAPITULO 4
DEFINICIÓN DE REQUERIMIENTOS
4.1.- Identificación de Requerimientos

4.1.1.- Red de Comunicaciones
❖ Calidad de servicio aplicada a la red local y enlace
❖ Cableado estructurado 5e+ o superior
4.1.2.- Adecuación de Espacios físicos

❖ Acondicionamiento Arquitectónico
❖ Automatización
4.1.3.- Equipamiento
❖ Sistema de Dominio
❖ Servidores de Sucursales
4.2.- Identificación de requerimientos de administración de la red VPN.

El administrador de la red tiene como obligación de aprender el uso y configuración
de los equipos instalados, además se es imprescindible el mantenimiento de los
equipos para su óptimo rendimiento, el administrador de la red VPN requiere las
siguientes capacidades:
Página 35
❖ Mantener la infraestructura de la red para cumplir con los

requerimientos estratégicos de la empresa.
❖ Asegurar la calidad de servicio (QoS) requerida para el tráfico de datos.
❖ Garantizar el funcionamiento de la red.
4.3.- Descripción de Requerimientos.
4.3.1.- Calidad de servicio aplicada a la red local y enlace
Descripción Permitir la transferencia de datos con gran

velocidad en el entorno de la red.
Precondición
Contar con una conexión de ISP de alta velocidad.
Secuencia Paso Acción
Normal 1 El trabajador accede desde su ordenador a

su servidor local.
2 Puede realizar cambios a los documentos

guardados en el servidor local dependiendo
de su configuración y restricciones.
3 El trabajador accede desde su ordenador al

servidor de la otra sucursal.
4 Puede realizar cambios a los documentos

guardados en el servidor de la otra sucursal
dependiendo de su configuración y
restricciones.
Frecuencia esperada Accesos de 1 – 15 veces al día
Página 36
Urgencia Muy Alta
Tabla 1 – Calidad de Servicio
Página 37
4.3.2.- Cableado Estructurado
Descripción Establecimiento del medio físico en el cual se

procederá la transferencia de datos.
Si existe un cableado en uso ver su eficiencia y

potenciar al uso que deseamos.
Precondición
Medio físico, cable categoría 5, o redes inalámbricas.
Normal 1 Conexión a un dispositivo switch o router.
2 Establece normas y políticas de conectividad

física.
3 Conexión a través de conectores RJ45 o

Conexión inalámbrica
4 Guarda la configuración.
Frecuencia esperada Encendido 1 – 3 veces al día
Urgencia Alta
Tabla 2 – Cableado Estructurado
Página 38
4.3.3.- Adecuación de Espacios físicos
Descripción Permitir adecuar el entorno dela red VPN en

acondicionamiento arquitectónico y equipos.
Precondición
Instalación eléctrica.
Normal 1 Acondicionamiento de limpieza de equipos

de comunicación.
2 Acondicionamiento del clima, a través de

aires acondicionado.
3 Capacitación al personal mediante

constantes mensajes de correo interno.
Frecuencia esperada 1 – 2 veces al día
Urgencia Alta
Tabla 3 – Adecuación de Espacios Físicos
Página 39
4.3.4.- Equipamiento
Descripción Selección adecuada de los dispositivos parte de la

red VPN.
Precondición
Instalación de una red punto a punto con protocolo
IPSec.
Normal 1 Configurar los parámetros de un túnel VPN

en un router.
2 Verificar la autentificación, confidencialidad,

integridad y encriptación del protocolo.
3 Configurar los parámetros de un PC cliente

remoto con Windows XP.
Frecuencia esperada 1 – 2 veces al mes
Urgencia Alta
Tabla 4 – Equipamiento
Página 40
CAPITULO 5
ANÁLISIS DE RIESGOS
5.1.- Análisis e Identificación de Riesgos

Para el análisis de riesgos nos basamos en los principios de la Norma Australiana As
Nzs 4360. Este Estándar provee una guía genérica para el establecimiento e
implementación el proceso de administración de riesgos involucrando el
establecimiento del contexto y la identificación, análisis, evaluación, tratamiento,
comunicación y el monitoreo en curso de los riegos.
Los riesgos que se han podido detectar en la Consultora AT & Consult son los
siguientes:
5.1.1.- Riesgos por Amenazas Naturales

1) Lluvias torrenciales
2) Vientos Fuertes
3) Tormentas eléctricas
4) Incendio
5.1.2.- Riesgos por Factores Tecnológicos

5) Fallas en los equipos (PC’s, UPS’s, Switches, etc.)
6) Fallas en la red.
7) Uso de Software ilegal, no autorizado o pirata.
Página 41
8) Spam.
9) Mal funcionamiento del dispositivo de Backup.
10) Ausencia de políticas de Backups.
11) Falta de actualización de antivirus en las PC’s.
12) Ausencia de políticas de cuentas de usuario.
13) Ausencia de políticas de acceso a ciertas páginas Web.
14) Abuso de privilegios de acceso al sistema.
5.1.3.- Riesgos por Amenazas en la Organización

15) Excesiva Burocracia en la adquisición de equipos.
16) Excesiva Burocracia en la contratación de personal.
17) Incumplimiento del proveedor del servicio.
18) Riesgo de liquidez.
5.1.4.- Riesgos por Amenazas a la Infraestructura

19) Fallos de servicios de comunicaciones.
20) Condiciones inadecuadas de temperatura o humedad.
21) Sobrecargas eléctricas.
22) Cortes de energía.
23) Ambiente inadecuado para el alojamiento de los servidores.
24) No se cuenta con extintor.
5.1.5.- Riesgos por Amenazas Humanas

25) Personal no capacitado.
26) Errores de los administradores.
27) Errores de mantenimiento o actualización.
28) Indisponibilidad del personal.
29) Fraude de empleados.
30) El personal no cumple con las pautas de seguridad.
31) Exposición de la información de sus cuentas.
5.1.6.- Riesgos por Amenazas de Ataques Intencionados

32) Manipulación indebida de la información.
33) Suplantación de identidad.
34) Uso de recursos para fines no previstos.
Página 42
35) Accesos no autorizados.

36) Interceptación de información.
37) Robo.
38) Ataque destructivo de información.
39) Destrucción del cableado de las redes.
40) Destrucción del cableado eléctrico.
5.1.7.- Riesgos por Amenazas Políticas o legales

41) Cambio o Actualización de los sistemas de Servicios de Impuestos.
42) Cambio de personal debido al cambio de directiva.
5.2.- Valoración de los Riesgos

5.2.1.- Valoración
5.2.1.1.- Probabilidad
Probabilidad Valor
Casi certeza 5
Probable 4
Posible 3
Improbable 2
Raro 1
Tabla 5 – Tabla de Probabilidad
5.2.1.2.- Impacto
Impacto Valor
Catastrófico 5
Mayor 4
Moderado 3
Menor 2
Página 43
Insignificante 1
Tabla 6 – Tabla de Impacto
Página 44
5.2.1.3.- Riesgo
Riesgo
Extremo
Alto
Moderado
Bajo
Tabla 7 – Tabla de Riesgo
Tabla 8 – Matriz de Riesgo
Página 45
5.3.- Tabla de Riesgos Cualitativa

La siguiente tabla de riesgos se ha elaborado a través de la Herramienta
Methodware Pro AuditAdvisor. Para ello se tomó la valoración mostrada en las
tablas anteriores, en base a ella se elaboró las tabla de riesgos.
Consecuencia Probabilidad Severidad Riesgo

Nombre Abs. Abs. Riesgo Abs. Abs.
1 Alto
Lluvias Torrenciales 3 3 9,0
2 Bajo
Vientos Fuertes 2 2 4,0
3 Alto
Tormentas Eléctricas 4 2 8,0
4 Extremo
Incendio 5 3 15,0
5 Fallas en los equipos (PC's,
Extremo
medidores, contadores, etc.) 3 5 15,0
6 Alto
Fallas en la red 4 3 12,0
7 Uso de Software ilegal, no
Moderado
autorizado o pirata. 2 3 6,0
8
Spam
9 Mal funcionamiento de
Bajo
dispositivo de backup. 1 1 1,0
10 Ausencia de políticas de
Backups.
Bajo
2 1 2,0
11 Falta de Actualización de
Alto
antivirus en las PC’s 4 3 12,0
12 Ausencia de políticas de
cuentas de usuario.
Alto
3 3 9,0
Página 46
13 Ausencia de políticas de acceso

Alto
a ciertas páginas Web. 4 3 12,0
14 Abuso de privilegios de acceso
Moderado
al sistema 3 2 6,0
15 Excesiva Burocracia en la
adquisición de equipos.
Alto
4 3 12,0
16 Excesiva Burocracia en la
Moderado
contratación de personal. 3 2 6,0
17 Incumplimiento del proveedor
Alto
de servicio 5 2 10,0
18 Bajo
Riesgo de liquidez 2 2 4,0
19 Fallos de servicios de
Moderado
comunicaciones. 2 3 6,0
20 Condiciones inadecuadas de
Moderado
temperaturas o humedad. 3 2 6,0
21 Moderado
Sobrecargas eléctricas. 3 2 6,0
22 Moderado
Cortes de energías. 5 1 5,0
23 Ambiente inadecuado para
Extremo
alojamiento de servidores. 5 5 25,0
24 Alto
No se cuenta con extintor. 3 3 9,0
25 Alto
Personal no capacitado. 4 3 12,0
26 Alto
Errores del administrador. 3 3 9,0
27 Errores de mantenimiento o
Alto
actualización. 3 3 9,0
28 Moderado
Indisponibilidad del personal 2 3 6,0
Página 47
29 Moderado
Fraude de empleados. 3 2 6,0
30 El personal no cumple con las
Moderado
pautas de seguridad. 3 2 6,0
31 Exposición de la información
Bajo
de sus cuentas 2 2 4,0
32 Manipulación indebida de la
Alto
información 3 3 9,0
33 Moderado
Suplantación de Identidad. 3 2 6,0
34 Uso de recursos para fines no
Moderado
previstos. 4 2 8,0
35 Moderado
Accesos no Autorizados. 3 2 6,0
36 Interceptación de la
Moderado
información. 5 1 5,0
37 Alto
Robo 4 3 12,0
38 Ataque destructivo de
Alto
informaciones. 3 3 9,0
39 Destrucción del cableado de
Moderado
las redes 4 2 12,0
40 Destrucción del cableado
Moderado
eléctrico 3 2 6,0
41 Cambio o actualización de los
sistemas de Servicios de
Moderado
Impuestos. 3 2 6,0
42 Cambio de personal debido al
Moderado
cambio de directiva. 3 3 9,0
Tabla 9 – Identificación de Activos
Página 48
CAPITULO 6
DISEÑO DE LA RED
6.1.- Diseño de la Red VPN

A continuación se explicara el funcionamiento de la red con la que cuenta la
consultora AT & Consult.
6.2.- Identificación de actividades actuales de la Consultora

▪ Todos los ordenadores tienen acceso libre a internet permitiendo el uso de
páginas Web contra producentes como el Facebook y YouTube por nombrar
algunas.
▪ El sistema operativo con el que cuentan los ordenadores es el Windows 7 y el
paquete Office 2010 en los que ocupan en su mayor parte las herramientas de
Word, Excel y Outlook. Además de los programas contables como el Da Vinci V-
2.2.1.0 y el Constam.
▪ La configuración del sistema de la red actual es la de grupo de trabajo o work
group en la que todos los ordenadores que pertenecen a una sucursal es decir
a una red LAN se encuentran enlazados entre sí, permitiendo así el acceso de
todos los documentos compartidos sin ningún tipo de restricción de jerarquía
del personal.
Página 49
▪ El intercambio de información y consultas entre los trabajadores de ambas

sucursales se realiza mediante correo electrónico las cuales cada trabajador es
dueño y administrador de sus cuentas de correo electrónico y al momento de
retirarse de la consultora se queda con dicha cuenta de correo cometiendo tal
vez involuntariamente el delito de robo de información.
▪ El cableado estructurado es de topología estrella y se encuentra en buenas
condiciones para la implementación de la Red VPN.
Página 50
6.3.- Diseño lógico de la Red VPN

Para el diseño lógico de la red VPN se tendrá que modificar primero la red LAN
de cada sucursal se habrá instalar un servidor, crear un dominio del mismo
para asignar cuentas de usuarios, también será necesario configurar los
servicios de DHCP, servidor de DNS y Active Directory. Después se procederá a
las configuraciones de la Red VPN en sus respectivos routers, todo este trabajo
debe ser realizado por el administrador de red siguiendo los pasos que se
detallaran en el siguiente capítulo.
6.4.- Diseño físico de la Red VPN

Para el diseño físico de la red VPN después de una previa evaluación se decidió
que el cableado estructurado de la consultora se encuentra en condiciones
adecuadas para la implementación de la red VPN, solo será necesario la
adquisición del router marca MAIPU modelo MPSEC VPN3005, puesto que esta
tiene un switch con los puertos necesarios para cada ordenador y además tiene
un router que le fue proporcionado por la empresa proveedora de internet que
es por donde realizaremos nuestro túnel para enlazar ambas sucursales.
La estructura que deberá tener la red y los procedimientos que serán
necesarios para su correcto funcionamiento debe ser realizado por el
administrador de red siguiendo los pasos que se detallaran en el siguiente
capítulo.
Página 51
CAPITULO 7
IMPLEMENTACIÓN Y CONFIGURACIÓN
7.1.- Implementación
Antes que empecemos a configurar las opciones de red debemos aclarar que
los pasos a seguir se desarrollaran en un simulador puesto que debemos
presentar la propuesta a la consultora para su posterior aprobación.
7.2.- Configuración de la Red

Podemos simular la configuración de la red VPN usando los routers que se
encuentran en los laboratorios de la carrera de ingeniería en Redes y
Telecomunicaciones para ello necesitaremos:
o DOS SERVIDORES VPN MARCA MAIPU MODELO MPSEC VPN3005.

o UN ROUTER 2FETH+8LAN, MARCA MAIPU MODELO MP1800-3.
o UN HUB.
o TRES COMPUTADORES.
❖ Los servidores MPSEC 3005 son los que se pretende colocar en cada
sucursal para la configuración del túnel VPN.
❖ El router MP1800 simulara a un servidor ISP de Internet, la
configuración que se realizara en este router no se hará en la
implementación puesto que el servidor de ISP proporciona sus propias
direcciones IP.
Página 52
❖ El Hub es un dispositivo de capa 1, aprovechando este concepto y con la

ayuda del programa Wireshark analizaremos el tráfico de red para
comprobar si nuestra red VPN en realidad encripta los paquetes de
datos y las direcciones IP de origen y destino.
Página 53
❖ Los tres computadores no servirán de interfaz visual para la

configuración de los routers, serán colocados uno a cada extremo del
túnel VPN y un computador conectado al HUB para ver el flujo y la
captura de paquetes de datos atraves del Wireshark y comprobar de
esta manera que nuestra red VPN funciona.
Ilustración 7 – Esquema lógico de la Red VPN.
Página 54
7.3.- Configuración del Router MP1800 – SERVICE_ISP
El router MP1800 como lo mencionamos anteriormente nos simulara el

servidor de internet o ISP, debido a esto es que al momento de implementar la
red VPN en la consultora no será necesario configurar este router puesto que
las direcciones le son asignadas por el proveedor de internet, en el ordenador
PC2 tendremos instalado un emulador de interfaz del Router, en nuestro caso
usaremos el Putty que nos será de mucha, para la práctica asignaremos las
siguientes direcciones IP:
• Puerto FastEthernet0/0
IP y Mascara de Red: 203.25.25.254 y 255.255.255.0
Ambas direcciones IP son públicas, es decir son las que se mostrara como
direcciones de la red VPN, los comandos para la configuración del Router son
los siguientes:
SERVICE_ISP>enable
SERVICE_ISP #configure terminal
SERVICE_ISP (config)# interface FastEthernet0/0
SERVICE_ISP (config-if)#ip address 203.25.25.254 255.255.255.0
SERVICE_ISP (config-if)# no shutdown
SERVICE_ISP (config-if)#exit
SERVICE_ISP (config)# interface FastEthernet0/1
SERVICE_ISP (config-if)# ip address 201.18.8.254 255.255.255.0
SERVICE_ISP (config-if)# no shutdown
SERVICE_ISP (config-if)#exit
Página 55
7.4.- Configuración del Router MPSEC 3005 – Snt-Cruz.

Este router será instalado en una de las sucursales, mas propiamente en la
sucursal Santa Cruz, conectando el puerto consola con el ordenador PC2
podremos realizar las configuraciones correspondientes, asignaremos las
siguientes direcciones IP:
Dirección IP Privada
Dirección IP Pública
Los comandos para la configuración del Router son los siguientes:
ROUTER_Snt-Cruz>enable
ROUTER_Snt-Cruz # configure terminal
ROUTER_Snt-Cruz (config)# interface FastEthernet0/0
ROUTER_Snt-Cruz (config-if)# ip address 192.168.8.1 255.255.255.0
ROUTER_Snt-Cruz (config-if)#no shutdown
ROUTER_Snt-Cruz (config-if)# exit
ROUTER_Snt-Cruz (config)# interface FastEthernet0/1
ROUTER_Snt-Cruz (config-if)# ip address 203.25.25.1 255.255.255.0
ROUTER_Snt-Cruz (config-if)#no shutdown
ROUTER_Snt-Cruz (config-if)# exit
ROUTER_Snt-Cruz (config)# crypto ike key key123 address 201.18.8.1
ROUTER_Snt-Cruz (config)# crypto tunnel tun1
ROUTER_Snt-Cruz (config-tunnel)#peer address 201.18.8.1
ROUTER_Snt-Cruz (config-tunnel)#local address 203.25.25.1
ROUTER_Snt-Cruz (config-tunnel)#set auto-up
ROUTER_Snt-Cruz (config-tunnel)#exit
ROUTER_Snt-Cruz (config)#crypto policy p1
ROUTER_Snt-Cruz (config-policy)#flow 192.168.8.0 255.255.255.0 192.168.9.0
255.255.255.0 ip tunnel tun1
ROUTER_Snt-Cruz (config-policy)#exit
ROUTER_Snt-Cruz (config)#ip route 0.0.0.0 0.0.0.0 203.25.25.254
Página 56
7.4.- Configuración del Router MPSEC 3005 – La-Paz.

Este router será instalado en una de las sucursales, mas propiamente en la
sucursal La Paz, conectando el puerto consola con el ordenador PC2 podremos
realizar las configuraciones correspondientes, asignaremos las siguientes
direcciones IP:
Dirección IP Privada
Dirección IP Pública
Los comandos para la configuración del Router son los siguientes:
ROUTER_La-Paz>enable
ROUTER_La-Paz # configure terminal
ROUTER_La-Paz (config)# interface FastEthernet0/0
ROUTER_La-Paz (config-if)# ip address 192.168.9.1 255.255.255.0
ROUTER_La-Paz (config-if)#no shutdown
ROUTER_La-Paz (config-if)# exit
ROUTER_La-Paz (config)# interface FastEthernet0/1
ROUTER_La-Paz (config-if)# ip address 201.18.8.1 255.255.255.0
ROUTER_La-Paz (config-if)#no shutdown
ROUTER_La-Paz (config-if)# exit
ROUTER_La-Paz (config)#crypto ike key key123 address 203.25.25.1
ROUTER_La-Paz (config)#crypto tun tun1
ROUTER_La-Paz (config-tunnel)#peer address 203.25.25.1
ROUTER_La-Paz (config-tunnel)#local address 201.18.8.1
ROUTER_La-Paz (config-tunnel)#exit
ROUTER_La-Paz (config)#crypto policy p1
ROUTER_La-Paz (config-policy)#flow 192.168.9.0 255.255.255.0 192.168.8.0
255.255.255.0 ip tunnel tun1
ROUTER_La-Paz (config-policy)#exit
ROUTER_La-Paz (config)#ip route 0.0.0.0 0.0.0.0 201.18.8.254
Página 57
7.5.- Especificaciones de comandos.

El Comando Crypto es el que nos generara la VPN key 123 sera la contraseña para
ambos extremos de nuestra red.
Con el comando flow se habilita toda la red para formar parte de la VPN.
Con el comando ip route nos habilita la ruta por defecto para el paso de datos.
Ahora procederemos a ejecutar un par de comandos para mostrar el correcto
funcionamiento de nuestra VPN.
• ROUTER_La-Paz#show crypto ipsec sa
policy name : p1
f (src, dst, protocol, src port, dst port) : 192.168.9.0/24 192.168.8.0/24 ip any any
local tunnel endpoint : 201.18.8.1 remote tunnel endpoint : 203.25.25.1
the pairs of ESP ipsec sa : id : 2, algorithm : DES HMAC-SHA1-96
inbound esp ipsec sa : spi : 0X42930201(1116930561)
current input 8 packets, 0 kbytes
encapsulation mode : Tunnel
replay protection : ON
remaining lifetime (seconds/kbytes) : 28760/4607999
uptime is 0 hour 0 minute 40 second
outbound esp ipsec sa : spi : 0Xf7580201(4149740033)
current output 8 packets, 0 kbytes
encapsulation mode : Tunnel
replay protection : ON
remaining lifetime (seconds/kbytes) : 28760/4607999
uptime is 0 hour 0 minute 40 second
• ROUTER_La-Paz#show crypto ike sa
localaddr peeraddr peer-identity negotiation-state sa-id

201.18.8.1 203.25.25.1 203.25.25.1 STATE_QUICK_R2 2
201.18.8.1 203.25.25.1 203.25.25.1 STATE_MAIN_R3 1
Página 58
• ROUTER_B#show crypto ike proposal
crypto ike proposal : g1-des-sha1 ref : 0

encryption : des
integrity : sha1
group : group1
lifetime : 86400 seconds
crypto ike proposal : g1-des-md5 ref : 0
encryption : des
integrity : md5
group : group1
crypto ike proposal : g2-3des-sha1 ref : 0
encryption : 3des
integrity : sha1
group : group2
crypto ike proposal : g2-3des-md5 ref : 0
encryption : 3des
integrity : md5
group : group2
crypto ike proposal : g2-aes128-sha1 ref : 0
encryption : aes128
integrity : sha1
group : group2
crypto ike proposal : g2-aes128-md5 ref : 0
encryption : aes128
integrity : md5
group : group2
crypto ike proposal : g5-3des-sha256 ref : 0
encryption : 3des
integrity : sha2-256
group : group5
crypto ike proposal : g5-aes256-sha256 ref : 0
encryption : aes256
integrity : sha2-256
group : group5
Página 59
7.6.- Captura de datos.

Para la captura de datos tenemos que tener previamente instalado el
Wireshark en la PC2 que va conectada al HUB, debemos configurar los
adaptadores de red de los ordenadores que se encuentran a cada extremo de la
red LAN como lo muestra la ilustración 7.
Para ello hacemos clic derecho en adaptador de área local, luego clic en
propiedades, seguidamente seleccionamos el protocolo de internet versión 4,
propiedades nuevamente y procedemos a poner en red el ordenador asignando
una dirección IP que este dentro del rango de direcciones IP de la NetWork,
este paso se debe hacer para el PC0 y PC1, puesto que el PC2 no pertenece a
ninguna red.
Ilustración 8 – Asignación de Dirección IP a los ordenadores.
Página 60
Ahora procederemos a Ejecutar el Wireshark y a través de un computador conectado

al Hub podremos verificar el tráfico y las cabeceras que generamos al hacer un ping,
como el Hub es un dispositivo que trabaja en la capa 1 nos botara por todos sus
puertos los pulsos eléctricos que nos generan las tramas para su posterior captura.
En la imagen siguiente estamos haciendo ping desde una consola de Windows y desde
el emulador PuTTy a diferentes destinos de nuestra red y todos son respondidos.
Ilustración 9 – Ejecutando el comando PING.
En la siguiente imagen se puede apreciar la trama de un Ping que realizamos desde el

Router A hacia el Router B a su dirección IP publica, como verán la respuesta es
correcta pues estos IP pertenecen a la dirección Publica y por tal razón el Wireshark
nos muestra como todas las peticiones y respuestas echas.
Ilustración 10 – Comando PING a direcciones públicas.
Página 61
En la siguiente imagen veremos la trama generada al hacer ping desde la consola de

un ordenador perteneciente a la red 192.168.8.0 hacia otro ordenador perteneciente
a la red 192.168.9.0 como verán solo nos muestra las direcciones de red o IP publica y
en la columna de protocolos nos nuestra el protocolo ISAKMP en ves del ICMP que es
el protocolo correcto esto nos demuestra que la encriptación de los paquetes al viajar
por nuestra red se realiza de manera satisfactoria.
Ilustración 11 – Comando PING a direcciones privadas.
Ilustración 12 –Equipos de práctica de la Red VPN.
Página 62
7.7.- Configuración del sistema de Red.

Para la configuración del sistema de red partiremos por seleccionar un
ordenador el que se encuentre en mejor condiciones previa evaluación e
instalaremos el sistema operativo Windows Server 2008.
Posteriormente realizaremos todas las configuraciones que complementan
adecuadamente una eficaz red de trabajo.
7.7.1.- Configuración del Servidor DNS.

Como primer paso se debe instalar las funciones para el servidor DNS,
para ello vamos a inicio > herramientas > administrador del servidor.
Una vez ahí vamos a funciones > agregar funciones.
Ilustración 13 – Configuración del servidor DNS.
Seleccionamos la opción Servidor DNS. Presionamos la opción siguiente.

Luego nos aparecerá un resumen del proceso de instalación. Si todo esta
correcto presionamos el botón instalar.
Luego nos dirigimos a inicio > herramientas administrativas y
seleccionamos DNS.
En este punto entraremos a configurar las zonas. En las zonas es donde
especificamos, nombre de dominio, tipo de servidor si
es maestro o esclavo y ruta del archivo.
Página 63
Existen diferentes zonas con sus perspectivas configuraciones las cuales

son:
Zona directa:
La zona directa nos permite crear zonas primarias y segundarias. En
dichas zonas podemos crear distintos tipos de registro tales como: A,
CNAME, NS, MX, y asociarlos con una dirección Ip.
Las resoluciones de esta zona devuelven la Ip correspondiente al
nombre de dominio solicitado.
Registro A: este registro se usa para traducir nombres de servidores de
alojamiento a direcciones IPv4.
Registro CNAME: Se usa para crear nombres de servidores de
alojamiento adicionales, o alias, para los servidores de alojamiento de
un dominio.
Registro NS: Define la asociación que existe entre un nombre de dominio
y los servidores de nombres que almacenan la información de dicho
dominio.
Registro MX: Asocia un nombre de dominio a una lista de servidores de
intercambio de correo para ese dominio.
Zona inversa: nos permite por el contrario crear registros PTR, los
cuales nos permiten asociar una Ip con un nombre. Es como hacer una
pregunta ¿Cuál es el nombre DNS del equipo que utiliza la dirección IP
192.168.8.1?”.
Registro PTR: También conocido como ‘registro inverso’, funciona a la
inversa del registro A, traduciendo IPs en nombres de dominio.
Ya teniendo claro las zonas y cada uno de los registros procedamos a la
configuración les las zonas.
Página 64
Para crear una nueva zona directa, damos clic derecho en zona de
búsqueda directa > nueva zona y seguimos el asistente.
En el primer pantallazo se nos da una introducción al asistente de

configuración de la zona directa. Presionamos el botón siguiente.
Nos aparecerá entonces un cuadro de dialogo que nos preguntara el tipo

de zona que queremos crear (zona principal, zona secundaria o zona de
rutas internas) y nos dan una especificaciones de cada una. En este caso
crearemos una zona principal. Presionamos el botón siguiente.
En el siguiente cuadro de dialogo debemos dar nombre a la zona, el cual

puede ser el nombre de dominio o el nombre de un subdominio. En este
caso ser el nombre del dominio podría ser atconsult.local.
En el siguiente cuadro de dialogo debemos crear o dar la ruta a un

archivo de zona. En este caso crearemos uno nuevo que se llamara
vpn.atconsult.local. presionamos el botón siguiente.
Página 65
En la siguiente ventana debemos especificar si el servidor DNS

tendrá actualizaciones dinámicas seguras, no seguras o no dinámicas.
Nota: Las actualizaciones dinámicas seguras solo se activan si la zona
está integrada en active directory, por ende en este caso esta
deshabilitada.
En este caso seleccionamos la opción Permitir todas las actualizaciones
dinámicas (seguras y no seguras). Presionamos el botón siguiente.
En la siguiente pantalla nos aparecerá un resumen de la configuración
de nuestra zona. Si todo está correctamente presionamos el botón
finalizar.
Procedemos entonces a configurar una nueva zona inversa. Damos clic

derecho en zona de búsqueda inversa > nueva zona y seguimos el
asistente.
En el primer pantallazo se nos da una introducción al asistente de

configuración de la zona directa. Presionamos el botón siguiente.
Nos aparecerá entonces un cuadro de dialogo que nos preguntara el tipo

de zona que queremos crear (zona principal, zona secundaria o zona de
rutas internas) y nos dan una especificación de cada una. En este caso
crearemos una zona principal. Presionamos el botón siguiente.
Página 66
En el siguiente cuadro de dialogo debemos configurar el nombre de

nuestra zona inversa. Como las zonas inversas hacen la traducción de IP
a nombre de dominio, el nombre de la zona debe ir ligado a los octetos
de red del identificador de nuestra red. En este caso el direccionamiento
es IPv4. Presionamos el botón siguiente.
En el siguiente cuadro de dialogo debemos ingresar los valores del ID de

nuestra red que pertenezcan a la porción red, en este caso 168.192.8
pues la máscara es de /24. Podemos ver como se autocompleta el
nombre de la zona de búsqueda inversa.
Luego nos aparecerá un cuadro de dialogo debemos crear o dar la ruta a

un archivo de zona. En este caso crearemos uno nuevo que se llamara
8.168.192.in-addr.arpa.dns.
En la siguiente ventana debemos especificar si el servidor DNS

tendrá actualizaciones dinámicas seguras, no seguras o no dinámicas.
Nota: Las actualizaciones dinámicas seguras solo se activan si la zona
está integrada en active directory, por ende en este caso esta
deshabilitada.
En este caso seleccionamos la opción Permitir todas las actualizaciones
dinámicas (seguras y no seguras). Presionamos el botón siguiente.
Página 67
En la siguiente pantalla nos aparecerá un resumen de la configuración

de nuestra nueva zona inversa. Si todo está correctamente presionamos
el botón finalizar.
Después de haber creado la zona inversa, damos doble clic sobre ella
(8.192.168.in.addr-arpa).
Podemos observar dos registros (SOA y NS). Seleccionamos la primera

opción (registro SOA).
Debe salir un cuadro donde podemos especificar el nombre del servidor

primario en este caso dns.atconsult.local y el correo de la persona
responsable de la configuración de la zona en este caso
webmaster.atconsult.local. Los demás valores los dejaremos por defecto.
Presionaremos el botón aceptar.
Página 68
Ahora crearemos los registros A para el DNS. Para ello damos clic
derecho sobre algún lugar del cuadro perteneciente a la zona
atconsult.local. Seleccionamos Host Nuevo (A o AAA).
En el nuevo cuadro de dialogo debemos especificar el nombre de host en

este caso dns, además de la dirección IP del host, en este caso
192.168.8.1, seleccionamos la opción crear registro del punto (PTR)
asociado para que automáticamente se agregar en la zona inversa el
registro PTR para este host. Presionamos el botón agregar host.
Presionamos el botón agregar host.
Nos aparecerá un aviso que nos informa que el registro fue creado
exitosamente.
Debemos configurar entonces la interface de red adecuadamente. Nos

dirigimos a inicio > panel de control > centro de redes y recursos
compartidos > administrar conexiones de red. Allí damos clic derecho
en el adaptador > propiedades > protocolo de internet TCP/IPv4 >
propiedades. Configuramos en este caso la interface.
Página 69
Procedemos a la verificación del funcionamiento del servidor DNS.
Usaremos un cliente bajo Windows Seven que se encuentra en red con el

servidor DNS. Realizamos entonces una búsqueda directa buscando con
el nombre del host la dirección IP del mismo. Procedemos a abrir la
consola cmd.exe y allí ejecutamos el comando nslookup
dns.atconsult.local y nos aparecerá el nombre y la dirección del servidor
nos responde la solicitud, además de la IP del host que se
llama dns.atconsult.local.
Podemos además hacer una consulta inversa buscando con la dirección

IP, el nombre del host. Para ello ejecutamos el comando nslookup
192.168.8.2 y podemos observar el nombre y la dirección del servidor
nos responde la solicitud, además del nombre del host que tiene como
IP192.168.8.2.
7.7.2.- Configuración del servidor Active Directory.

Una vez configurado el servidor DNS y la configuración del protocolo
TCP/IP, ejecutamos el comando dcpromo y esperamos que se
configuren para la promoción de un Controlador de dominio.
Ilustración 21 – Configuración de Active Directory.
Cargará la ventana de Bienvenida para promoción de un Controlador de

dominio. El check para la instalación en modo avanzado brinda
configuraciones avanzadas para la promoción de controladores de
dominio. En esta ocasión no marcaremos el check. Luego Cargará un
mensaje de advertencia, informándonos de las nuevas características de
los controladores de dominio sobre Windows Server 2008 como la
seguridad. Seleccionamos, Add a domain controller to an existing
domain.
Página 70
Esta opción nos permitirá acceder a nuestro dominio creado

anteriormente en el servidor DNS. Escribimos el nombre atconsult para
nuestro dominio. En este caso será atconsult.local. Luego de aceptar el
nombre de dominio se revisará el nombre DNS y NetBIOS para
comprobar que no existan conflictos de nombres.
A continuación seleccionamos el nivel funcional del bosque. En este caso

aprovecharemos las ventajas del nivel funcional Windows Server 2008.
A continuación seleccionamos verificamos que el controlador de
dominio Windows Server 2008 ejecute el servicio de DNS, para la
resolución de nombres.
Por defecto el primer controlador de dominio es Global Catalog. Como es

el primer controlador de dominio promovido no puede ser Read-Only
Domain Controller.
Aceptamos el mensaje de advertencia. Este mensaje explica que es

necesario delegar la zona primaria si es que se requiere que los nombres
DNS se resuelvan desde fuera del dominio atconsult.local, en nuestro
caso no es necesario delegar porque este DNS sólo resolverá nombres
locales y de Internet pero desde la red interna.
Página 71
A continuación ingresamos una contraseña para la restauración del

Active Directory en modo de Directory Services Restore Mode.
Aparecerá un sumario con el resumen de lo seleccionado para
instalación del AD DS. Empezará la promoción del Controlador Windows
Server 2008. Este proceso se llevará a cabo durante unos minutos.
Cuando el proceso finaliza debemos reiniciar el nuevo Controlador de

dominio.
Ahora podremos ingresar a nuestro Controlador de dominio con nuestro

domain admin. Podemos acceder a la consola de administración del
servicio de Directorio Activo. Desde Server Manager o dirigiéndonos a
Administrative Tools.
Página 72
Ahora procederemos a crear una carpeta compartida dándole control

total para todos los usuarios. Estos valores pueden ser modificados por
el administrador dando permisos de lectura y escritura así como ambas,
también puede no dar ningún privilegio a cada usuario individualmente.
Para agregar un nuevo usuario bastara con desplazarse a la carpeta user

dando clic derecho podemos agregar un nuevo usuario, luego de
rellenar los espacios con los datos correspondientes finalmente se le
asignara un nombre dentro del dominio y servicio DNS, como por
ejemplo user1@atconsult.local.
Página 73
Todas las configuraciones echas anteriormente se realizan en el

ordenador que se encuentra instalado el servidor. Procedemos a
ingresar a otro ordenador en el cual se tenga instalado el sistema
operativo Windows Seven o XP, las configuraciones siguientes son las
mismas.
Ejecutamos el comando sysdm.cpl.
Ilustración 27– Configuración de Active Directory.
Seguidamente visualizamos una ventana con las propiedades del

sistema. Para entrar al dominio vamos hasta nombre de equipo y
pulsamos en cambiar y seleccionamos dominio y asignamos un nombre
de equipo de esta manera cualquier trabajador podrá acceder a su
usuario desde cualquier ordenador.
Ilustración 28– Configuración de Active Directory.
Página 74
7.7.3.- Configuración de DHCP.

Una vez instalado el servidor DNS y el servidor de Active Directory
procederemos a instalar el servidor de DHCP que es el encargado de
administrar las direcciones IP.
Vamos al administrador del servidor, hacemos clic derecho sobre

funciones y agregar funcione, nos aparecerá el típico asistente para
agregar funciones, elegiremos el servidor DHCP y hacemos clic en
siguiente, saldrá una serie de advertencias diciéndonos las cosas que
hay que tener en cuenta antes de instalar el servidor.
Ilustración 29– Configuración del servidor DHCP.

El asistente nos permitirá seleccionar los enlaces de conexión de red
entre las conexiones detectadas con configuraciones IP estatica,
presionamos el botone siguiente, podemos especificar la configuración
IP versión 4 del servidor DNS de nuestra red, ahí ponemos nuestra
propia IP, como servidor DNS alternativo podemos poner por ejemplo el
servidor DNS de Google (8.8.8.8).
Página 75
El asistente nos permite especificar la configuración del servidor WIN

IPv4. En este caso no usaremos WIN y presionaremos el botón siguiente.
Después de hacer clic en siguiente nos aparecerá la pantalla con la

configuración más importante que debemos hacer en el servidor DHCP,
configurar y agregar los ámbitos DHCP. Hacemos clic en agregar y
rellenamos todos los campos con nuestros datos de red, en nombre
colocaremos el nombre del ámbito que nos corresponden nuestro caso
será administrador, también nos pedirá las direcciones de IP inicial y
final, es muy importante excluir el Gateway, el ID de red y el broadcast,
también deberemos establecer el Gateway por defecto de la red este
parámetro es opcional, se deberá establecer si la red es cableada o
inalámbrica para definir la duración de la concepción, podemos crear
más de una ámbito pero para nuestro desarrollo no será necesario.
Después nos aparecerá una ventana para la configuración del modo sin
estado de DHCP Versión 6 pero en este caso lo deshabilitaremos,
presionamos el botón aceptar. Luego nos aparecerá una pantalla con el
resumen de la configuración de nuestro servidor DHCP. Si todo está bien
configurado presionamos el botón instalar, cuando el proceso de
instalación finaliza aparece una ventana indicando que se ha finalizado
el proceso correctamente.
Si deseamos hacer una modificación de las configuraciones de nuestro
servidor DHCP podemos dirigirnos a los archivos de configuración que
se encuentran en inicio > herramientas > administrativas > DHCP.
Página 76
CAPITULO 8
EVALUACIÓN ECONÓMICA
8.1.- Justificación Económica.

Una vez presentada esta solución al problema, se procederá a justificar de
manera económica la misma.
Para ello proporcionamos unos listados de tablas en las que especificaremos
las inversiones que la consultora debería asumir.
Los datos listados a continuación son costos en los que incluye la entrega de la
red en correcto funcionamiento para la sucursales de la ciudad de Santa Cruz
de la Sierra y La Paz, el costo de mantenimiento de la red VPN es un punto que
trataremos en el desglose de costos, los datos de precios de hardware nos
fueron proporcionados por la empresa “ClearTec Ltda.” y las licencias de
software nos fueron proporcionadas por la empresa Orbitla S.A.
8.2.- Costos de Adquisición de los equipos
Precio Precio
Descripción Cantidad
Unitario Total ($)
Router MAIPU modelo MPSEC VPN3005 760 2 1520
Switch MAIPU modelo SM 3100
402 2 804
(Recomendado)
Sub_Total1 2324
Página 77
Tabla 10 – Costos de Equipos
Página 78
8.3.- Costos de licencia de Software
Precio Precio
Unitario Total ($)
Windows Server 2008, licencia. 469 1 469
Windows Seven Enterprise, licencia. 45 2 90
Anti-virus Kaspersky
129 2 258
(Recomendado)
Sub_Total2 817
Tabla 11 – Costos de Licencias de Software
8.4.- Costos de la Implementación
Precio Precio
Unitario Total ($)
Instalación de Equipos.
3 12 36
(Routers y Ordenadores)
Configuración de equipos.
8 12 96
(Routers y Ordenadores)
Restructuración de la red cableada 20 - 20
Sub_Total3 152
Tabla 12 – Costos de la Implementación
Página 79
8.5.- Costos Totales
De acuerdo a los costos obtenidos en esta sección se va hacer una suma total
para saber el costo total que tendrá dicha implementación, en la siguiente tabla
se mostrara el costo total.
Es muy importante saber el costo total ya que de acuerdo a ese dato se
analizaran y se tomaran decisiones, para poner en marcha o no el presente
proyecto.
Descripción Costo Total ($)

Costo de Adquisición de Equipos 2324
Costo de Licencia de Software 817
Costo de Implementación 152
Total 3293
Tabla 13 – Costos Totales.
Página 80
CONCLUSIONES
9.1.- Conclusión
El trabajo de investigación tuvo como objetivo general el realizar el diseño de
una red VPN y sus respectivas configuraciones para brindar seguridad en la
transferencia de datos de la consultora.
La metodología empleada dio lugar a que se realizara un análisis de riesgo, la
correcta elección de equipos de acuerdo con el análisis costo/beneficio, la
ubicación adecuada de los mismos, comprender a profundidad el
funcionamiento de una red VPN en los aspecto de confidencialidad, integridad
y autenticidad de los datos que fluyen atraves de la red.
Una vez realizado el diseño de la red VPN, se presentan las siguientes
conclusiones:
✓ La principal ventaja es que una red VPN nos da el respaldo suficiente de

una transmisión de información segura y confiable.
✓ Se con la implementación de un servidor se centraliza el acceso a la
información, evitando el robo de información por parte de los
trabajadores.
✓ La movilidad de acceder desde cualquier ordenador perteneciente a la
red, esto debido a las cuentas de usuarios proporcionadas por el
administrador.
Por lo tanto, la inversión puesta en los equipos para la implementación de la

red VPN resultaría viable, ya que estos proporcionan diferentes soluciones a
los problemas de seguridad informática, teniendo así una red de óptimo
funcionamiento.
Página 81
RECOMENDACIONES
Página 82
BIBLIOGRAFÍA
Alarcos, B., Redes Privadas Virtuales VPN [Online]. 15-Sep-2013. Alcalá, España,
< http://it.aut.uah.es/enrique/docencia/ii/seguridad/documentos/t9-0506.pdf >
15-Sep-2013.
Barrera, Luis. (2013). Internet Protocol security [Online]. 2007. Buenos Aires,
< http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/IPSec-2008.pdf
Caire, Ramiro. (30-Ene-2006). Introducción a las redes privadas virtuales [online]..Rosario,

Argentina. < http://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.html>.
15-Sep-2013.
Libros
Herrera, Enrique. (2003). Tecnología y Redes de transmisión de Datos. México: LIMUSA.
Página 83
ANEXOS
CURRÍCULO VITAE
Página 84

Vaca Nuñez Modelo PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Vaca Nuñez Modelo PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD AUTONOMA

“GABRIEL RENE MORENO”

CARRERA : ING. EN REDES Y TELECOMUNICACIONES.

Juan Pablo Gutiérrez

Silvia Justiniano Vaca

Santa Cruz – Bolivia

INTRODUCIÓN AL PROYECTO ....................................................................................................................... 9

1.1.- DEFINICIÓN DEL PROBLEMA ................................................................................................................ 9

1.1.1.- Situación problemática ..................................................................................................................... 9

1.1.2.- Situación deseada ............................................................................................................................. 9

1.1.3.- Objeto de la investigación ............................................................................................................... 10

1.2.- OBJETIVOS ......................................................................................................................................... 11

1.2.2.- Objetivo específicos ........................................................................................................................ 11

1.3.- METODOLOGÍA .................................................................................................................................. 12

1.4.- ALCANCE ............................................................................................................................................ 12

1.5.- JUSTIFICACIÓN ................................................................................................................................... 13

EMPESA XTT .............................................................................................................................................. 14

2.1.- CONSULTORA XTT. ............................................................................................................................. 14

2.1.1.- Misión ............................................................................................................................................. 14

2.1.2.- Visión .............................................................................................................................................. 15

2.2.- Estructura Organizacional .................................................................................................................. 15

2.3.- Ubicación ........................................................................................................................................... 18

VPN Y ENCRIPTACIÓN ................................................................................................................................ 19

3.1.- FUNCIONAMIENTO DE LAS VPNS ....................................................................................................... 19

3.1.1.- Encriptación con Clave Secreta ....................................................................................................... 20

3.1.2.- Encriptación de Clave Pública.......................................................................................................... 20

3.2.- Clasificación de las VPNs .................................................................................................................... 22

3.2.1.- VPNs Seguras .................................................................................................................................. 22

3.2.2.- VPNs de confianza........................................................................................................................... 22

3.2.3.- VPNs según su Arquitectura ............................................................................................................ 22

3.2.3.1.- VPNs de Acceso Remotos ............................................................................................................. 23

3.2.3.2.- VPNs Punto a Punto ..................................................................................................................... 23

3.2.3.3.- VPNs Interna ................................................................................................................................ 23

3.3.- VPN IPSec .......................................................................................................................................... 24

3.3.1.- Encapsulated Security Payload (ESP), .............................................................................................. 25

3.3.2.- Authentication Header (AH), ........................................................................................................... 26

Ilustración 3 - Funcionamiento de una AH (Barrera, 2007). ........................................................................ 26

3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP) ............................................. 27

3.4.- Security Association SA ...................................................................................................................... 27

3.5.- Modo de Transporte .......................................................................................................................... 28

3.6.- Modo Túnel ....................................................................................................................................... 29

3.7.- Configuración de VPN IPSec ............................................................................................................... 31

3.8.- Filtrado de Paquetes IPSec ................................................................................................................. 33

3.9.- Ventajas y Desventajas de usar IPSec................................................................................................. 33

3.9.1.- Ventajas de IPSec ............................................................................................................................ 33

3.9.2.- Desventajas de IPSec ...................................................................................................................... 34

DEFINICIÓN DE REQUERIMIENTOS ............................................................................................................. 35

4.1.- Identificación de Requerimientos ...................................................................................................... 35

4.1.1.- Red de Comunicaciones .................................................................................................................. 35

4.1.2.- Adecuación de Espacios físicos ........................................................................................................ 35

4.1.3.- Equipamiento ................................................................................................................................. 35

4.2.- Identificación de requerimientos de administración de la red VPN. ................................................... 35

4.3.- Descripción de Requerimientos. ........................................................................................................ 36

4.3.1.- Calidad de servicio aplicada a la red local y enlace .......................................................................... 36

4.3.2.- Cableado Estructurado .................................................................................................................... 38

4.3.3.- Adecuación de Espacios físicos ........................................................................................................ 39

4.3.4.- Equipamiento ................................................................................................................................. 40

5.1.- Análisis e Identificación de Riesgos .................................................................................................... 41

5.1.1.- Riesgos por Amenazas Naturales .................................................................................................... 41

5.1.2.- Riesgos por Factores Tecnológicos .................................................................................................. 41

5.1.3.- Riesgos por Amenazas en la Organización ....................................................................................... 42

5.1.4.- Riesgos por Amenazas a la Infraestructura...................................................................................... 42

5.1.5.- Riesgos por Amenazas Humanas ..................................................................................................... 42