2021 VPN GRE IPsec PDF

DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS
TRANSMITIDOS ENTRE LA SEDE PRINCIPAL EN BOGOTÁ D.C. Y LA

PLANTA DE PRODUCCIÓN UBICADA EN LA CALERA CUNDINAMARCA DE
LA EMPRESA MANANTIALES DE LOS ANDES S.A.S
PRESENTADO POR:
CESAR CAMILO FAJARDO ALFONSO
UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
BOGOTÁ
2021
DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS
TRANSMITIDOS ENTRE LA SEDE PRINCIPAL EN BOGOTÁ D.C. Y LA
PLANTA DE PRODUCCIÓN UBICADA EN LA CALERA CUNDINAMARCA DE
LA EMPRESA MANANTIALES DE LOS ANDES S.A.S
PRESENTADO POR:
CESAR CAMILO FAJARDO ALFONSO
SEMINARIO DE PROFUNDIZACIÓN PARA OPTAR AL TÍTULO

DE INGENIERO DE SISTEMAS
VoBo. Enero 22 de 2021, 4:50 pm.
ASESOR: IVÁN MÉNDEZ ALVARADO

INGENIERO DE SISTEMAS
UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
BOGOTÁ
2021
Dedicatoria.
Este trabajo está dedicado a mis padres por su gran amor, apoyo incondicional y
paciencia desmedida.
A mi esposa e hijo por su compañía, sacrificios, amor y constante motivación, para

no desfallecer en el alcance de este objetivo a nivel profesional.
Por último, a Dios que, con su amor infinito, me dio la vida, la oportunidad de estudiar
y la sabiduría para alcanzar este propósito personal.
TABLA DE CONTENIDO.
CAPITULO I. PLANTEAMIENTO DEL PROBLEMA. ........................................... 10

1. PLANTEAMIENTO GENERAL. ........................................................................... 10
1.1. Antecedentes. .................................................................................... 10
1.1.1. Descripción del problema. .................................................................. 14
2. JUSTIFICACIÓN. ........................................................................................... 16
3. OBJETIVOS. ................................................................................................. 18
3.1. Objetivo General. ............................................................................... 18
3.2. Objetivos Específicos. ........................................................................ 18
4. MARCO TEÓRICO ......................................................................................... 19
4.1. Tecnología VPN. ................................................................................ 19
4.1.1. Redes privadas virtuales. ................................................................ 19
4.1.2. Beneficios de VPN. ......................................................................... 20
4.1.3. VPN de sitio a sitio y acceso remoto. .............................................. 21
4.1.4. VPN de empresas y proveedores de servicios. ............................... 22
4.2. Tipos de VPN. .................................................................................... 23
4.2.1. VPN de acceso remoto. .................................................................. 23
4.2.2. SSL VPNs. ...................................................................................... 25
4.2.3. VPN IPsec de sitio a sitio. ............................................................... 26
4.2.4. GRE sobre Ipsec. ........................................................................... 27
4.2.5. VPN dinámicas multipunto. ............................................................. 29
4.2.6. Interfaz virtual del túnel IPsec. ........................................................ 31
4.2.7. Proveedor de servicios VPN MPLS. ................................................ 32
CAPITULO II. METODOLOGÍA. ..................................................................... 34
CAPITULO III. RESULTADOS Y DISCUSIÓN. ............................................... 36
5. DISEÑO INGENIERIL. ............................................................................... 36
5.1. Identificar si la topología física y lógica de la red LAN, de la sede
principal y planta de envasado cumplen los estándares y requerimientos para
el diseño de la VPN sitio a sitio. .................................................................... 36
5.2. Seleccionar de forma correcta (relación costo -beneficio) de los
dispositivos requeridos en la red de área local (LAN) que satisfaga la VPN
sitio a sitio a diseñar...................................................................................... 39
5.3. Establecer los parámetros de seguridad que se aplicaran en la red LAN
y en la VPN de acuerdo con las políticas de seguridad de la empresa. ........ 39
5.4. Entregar propuesta del diseño de la VPN sitio a sitio. ........................ 62
CONCLUSIONES. ............................................................................................ 63
REFERENCIAS BIBLIOGRÁFICAS. ................................................................. 64
GLOSARIO....................................................................................................... 65
LISTA DE FIGURAS.
FIGURA 1. TIPOS DE VPN.................................................................................. 20
FIGURA 2. VPN SITIO A SITIO. .......................................................................... 21
FIGURA 3.VPN DE ACCESO REMOTO. ............................................................. 22
FIGURA 4. VPN EMPRESARIAL VS VPN PROVEEDOR DE SERVICIOS. ........ 23
FIGURA 5. CONEXIÓN VPN CON CLIENTE Y SIN CLIENTE. ........................... 24
FIGURA 6.PUERTA DE ENLACE VPN. ............................................................... 26
FIGURA 7. PROTOCOLO GRE. .......................................................................... 27
FIGURA 8. TOPOLOGÍA TÚNEL GRE. ............................................................... 28
FIGURA 9.CAPTURA DE PANTALLA DE WIRESHARK DE UN PAQUETE OSPF
HELLO ENVIADO UTILIZANDO GRE SOBRE IPSEC.................................. 29
FIGURA 10. TÚNELES DE CONCENTRADOR A DISPOSITIVO RADIAL DE
DMVPN. ........................................................................................................ 30
FIGURA 11.TÚNELES DE HUB A SPOKE Y ENTRE SPOKE DE DMVPN. ........ 31
FIGURA 12. INTERFAZ VIRTUAL DEL TÚNEL IPSEC. ...................................... 32
FIGURA 13. PROVEEDOR DE SERVICIOS QUE OFRECE VPN MPLS DE CAPA
2 Y CAPA 3. .................................................................................................. 33
FIGURA 14. ROUTER CISCO WRVS4400N WIRELESS-N ................................ 37
FIGURA 15. SWITCH HP 1405. ........................................................................... 37
FIGURA 16. TOPOLOGÍA SEDE PRINCIPAL MANANTIALES DE LOS ANDES
S.A.S. ........................................................................................................... 38
FIGURA 17.TOPOLOGÍA DE LA EMPRESA ....................................................... 44
FIGURA 18.ESTADO DE LA INTERFAZ DE TÚNEL EN EL ROUTER PRINCIPAL.
..................................................................................................................... 47
FIGURA 19. CONFIGURACIÓN ORIGEN Y DESTINO DEL TÚNEL EN EL
ROUTER PRINCIPAL ................................................................................... 48
FIGURA 20.CONFIGURACIÓN DEL ROUTING OSPF ........................................ 49
FIGURA 21.CONFIGURACIÓN DEL MÓDULO SECURITYK9 EN EL ROUTER
PRINCIPAL ................................................................................................... 51
FIGURA 22. PARÁMETROS IPSEC CONFIGURADOS EN EL ROUTER
PRINCIPAL ................................................................................................... 53
FIGURA 23.PARÁMETROS IPSEC CONFIGURADOS EN EL ROUTER PLANTA
..................................................................................................................... 54
FIGURA 24.MITIGACIÓN DE ATAQUES POR SATURACIÓN DE TABLA DE
DIRECCIONES MAC. ................................................................................... 55
FIGURA 25. CONFIGURACIÓN DE SEGURIDAD DEL PUERTO FAST
ETHERNET 0/1 DEL SWPRINCIPAL. .......................................................... 56
FIGURA 26.CONFIGURACIÓN DE SEGURIDAD DEL PUERTO FAST
ETHERNET 0/2 DEL SWPRINCIPAL. .......................................................... 57
FIGURA 27. DIRECCIÓN MAC DEL PC SERVIDOR. .......................................... 58
FIGURA 28. CONFIGURACIÓN DE LAS DIRECCIONES MAC EN EL SWITCH
SWPRINCIPAL. ............................................................................................ 59
FIGURA 29.DISEÑO VPN SITIO A SITIO DE LA EMPRESA MANANTIALES DE
LOS ANDES S.A.S ....................................................................................... 62

LISTA DE TABLAS.
TABLA 1.RELACIÓN PHVA Y SGSI .................................................................... 11
TABLA 2. BENEFICIOS DE LAS VPN. ................................................................ 20
TABLA 3. COMPARACIÓN DE LAS IMPLEMENTACIONES DE ACCESO
REMOTO IPSEC Y SSL. .............................................................................. 25
TABLA 4. ASIGNACIÓN DE DIRECCIONES. ...................................................... 44
TABLA 5.PARÁMETROS DE POLÍTICA DE FASE 1 DE ISAKMP....................... 49
TABLA 6.PARÁMETROS DE POLÍTICA DE FASE 2 DE IPSEC. ........................ 50
TABLA 7. ASIGNACIÓN DE DIRECCIONES MAC EN LA CONFIGURACIÓN DE
SEGURIDAD DE PUERTOS DE LOS SWITCH. ........................................... 58
TABLA 7. MODOS DE VIOLACIÓN DE SEGURIDAD. ........................................ 59

RESUMEN.
El presente trabajo de investigación surgió a partir de la necesidad de proteger los

datos sensibles de la empresa Manantiales de los Andes S.A.S, entre la sede
principal en Bogotá y la planta de producción en La Calera Cundinamarca, por tal
motivo, se propuso diseñar una VPN sitio a sitio, basado en las infraestructuras de
comunicaciones de red IP.
La metodología utilizada es de carácter empírico analítico porque la recopilación,

análisis e interpretación de la información es de carácter tecnológico, dado que,
busca realizar mejoras en la infraestructura de TI. Por tal razón, se realizó una VPN
empleando el protocolo IPsec, apoyados en el software de la empresa Cisco Packet
Tracer, el cual permitió realizar una simulación de la topología de la empresa,
configurando los dispositivos según las políticas de seguridad.
Por consiguiente, partiendo del trabajo realizado, se detectó la necesidad de

cambiar el switch HP por el switch Cisco, al igual que cambiar el router de la sede
principal para poder configurar la VPN propuesta en el diseño. Así mismo, al hacer
el cambio de los anteriores dispositivos, la empresa podrá configurar VPN de acceso
remoto para que los empleados puedan acceder a la información de manera segura,
desde un lugar distinto del lugar de trabajo.
Palabras clave.
IPSec, Seguridad informática, GRE, red LAN, Cisco

ABSTRACT.
The present research work arose from the need to protect the sensitive data of the
company Manantiales de los Andes SAS, between the main headquarters in Bogotá
and the production plant in La Calera Cundinamarca, for this reason, it was proposed
to design a VPN site-to-site, based on IP network communication infrastructures.
The methodology used is of an empirical analytical nature because the collection,

analysis and interpretation of the information is of a technological nature since it
seeks to make improvements in the IT infrastructure. For this reason, a VPN was
carried out using the IPsec protocol, supported by the Cisco Packet Tracer company
software, which is performing a simulation of the company's topology, configuring
the devices according to security policies.
Consequently, based on the work carried out, the need to change the HP switch for
the Cisco switch was detected, as well as changing the router at the headquarters
in order to configure the VPN proposed in the design. Likewise, by making the
change from the previous devices, the company will be able to configure remote
access VPN so that employees can access the information in a secure way, from a
place other than the workplace.
Keywords
IPSec, IT Security, GRE, LAN, Cisco.
Capitulo I. PLANTEAMIENTO DEL PROBLEMA.
1. Planteamiento general.
1.1. Antecedentes.
La seguridad de la información como la seguridad informática, en las dos últimas

décadas se viene constituyendo como un factor muy importante en las
organizaciones; estas hacen uso de infraestructuras de tecnologías de la
información, al igual que, las redes para el tránsito de los datos su procesamiento y
almacenamiento.
Adicional a lo anterior, muchas organizaciones requieren que los datos a transmitir

se hagan a través de interconexiones, que en muchas ocasiones no permiten
proteger la información frente a los ciber ataques, vulnerabilidades y amenazas que
cada día son más tecnificados.
Por ende, a pesar de que muchas empresas no invierten en la seguridad de su

información, se ha evidenciado con más ahínco, la importancia de invertir en
seguridad informática; convirtiéndose en una necesidad que posibilita ser
proactivos; garantizando la continuidad del negocio ante un incidente, un ataque o
una catástrofe.
Lo anterior, ha conllevado a que empresas fabricantes de dispositivos de red y

organismos normalizadores como ISO, IEEE, ANSI, entre otros, generen
estándares y metodologías que permiten implementar estrategias y mecanismos de
seguridad, para mitigar los riesgos que se producen producto de las
vulnerabilidades que existen en las redes que hacen parte de las organizaciones.
Actualmente, los expertos en ciberseguridad para contrarrestar las vulnerabilidades

y las amenazas que producen riesgos en los activos de información por ataques de
los ciberdelincuentes aplican normas y estándares internacionales como: ISO
27001 y 27002.
Para llevar a cabo la propuesta en la empresa Manantiales de los Andes, es

fundamental tener en cuenta los planteamientos de la norma ISO 27001, es un
modelo que especifica los requisitos para la implementación, operación y mejora de
un sistema de gestión de la seguridad de la información (SGSI). La adopción de un
SGSI debería ser una decisión estratégica para todas las empresas, esta norma se
basa en procesos para establecer, implementar, operar, hacer seguimiento,
mantener y mejorar el SGSI de una empresa haciendo énfasis en:
a) Comprender los requisitos de seguridad de la información del negocio, la

necesidad de establecer la política y objetivos en relación con la seguridad de la
información.
b) Implementar y operar controles para manejar los riesgos de seguridad de la
información de una organización en el contexto de los riesgos globales del negocio
de la organización.
c) El seguimiento y revisión del desempeño y eficacia del SGSI.
d) Mejora continua del SGSI basada en la medición de objetivos.
La norma en cuestión adopta el modelo de procesos “Planificar-Hacer-Verificar-

Actuar” (PHVA). En la tabla que se relaciona a continuación, se describe la relación
entre la metodología PHVA y SGSI.
Tabla 1.Relación PHVA y SGSI
Planificar (establecer el Establecer la política, los objetivos, procesos y

SGSI) procedimientos de seguridad pertinentes para
gestionar el riesgo y mejorar la seguridad de la
información, con el fin de entregar resultados acordes
con las políticas y objetivos globales de una
organización.
Hacer (implementar y Implementar y operar la política, los controles,
operar el SGSI) procesos y procedimientos del SGSI.
Verificar (hacer Evaluar donde sea aplicable, medir el desempeño del
seguimiento y revisar el proceso contra la política, los objetivos de seguridad,
SGSI) la experiencia práctica, y reportar los resultados a la
dirección, para su revisión.
Actuar (mantener y Emprender acciones correctivas y preventivas con
mejorar el SGSI) base en los resultados de la auditoría interna del SGSI
y la revisión por la dirección, para lograr la mejora
continua del SGSI.
Fuente: Norma ISO 27001: 2013
Fases de un SGSI basado en la norma ISO 27001
Análisis y evaluación de riesgos. Se identifican y analizan las principales amenazas,

que son cualquier evento que pueda afectar los activos de información, para
establecer una evaluación y planificación de dichos riesgos.
La implementación de controles. Con el objetivo de que cada riesgo identificado

previamente quede cubierto y pueda ser auditable, la norma establece hasta 114
puntos de control que están divididos en Políticas de seguridad de la información y
Controles operacionales.
Definición de un plan de tratamiento de los riesgos o esquema de mejora, se tienen

en cuenta las distintas consecuencias potenciales de esos riesgos, afrontando el
riesgo de tres formas: eliminarlo, mitigarlo o trasladarlo.
El alcance de la gestión, dependiendo del tamaño de la organización se determina
como se debe implantar el SGSI, si por las líneas de negocio o por macroprocesos.
Contexto de organización, se determinan los problemas internos y externos de la

organización, así como sus debilidades, amenazas, fortalezas y oportunidades que
nos puedan afectar.
Partes interesadas, se define un contexto de la organización y se comprenden las

necesidades y expectativas de todas las partes interesadas, como: proveedores de
servicios de información y fuerzas de seguridad del estado.
Fijación y medición de objetivos, los cuales deben ser medibles, y los empleados
deben conocerlos para lograr el objetivo común.
El proceso documental: la organización debe tener un proceso de documentación

para gestionar toda la información interna (políticas diversas, procedimientos) y
externa (correspondencia, documentación de equipos).
Auditorías internas y revisión por la Dirección. Se deben llevar cada cierto tiempo
existen dos tipos la de gestión, Donde se supervisa el liderazgo, el contexto, etc. y
la de Controles. En este caso se auditan los 113 controles, normalmente se realiza
por personal más experto y puede realizarse en años distintos. En el plan de la
auditoría interna se define las áreas a auditar, se debe tener en cuenta las auditorias
anteriores, los métodos y alcance de la auditoria.
Controles. En este caso se auditan los 113 controles, normalmente se realiza por
personal más experto y puede realizarse en años distintos.
Debo señalar ahora, que para continuar con el desarrollo de esta propuesta,
también se documentó la norma ISO/IEC 27002 tecnología de la información
técnicas de seguridad código de practica para la gestión de la seguridad de la
información, esta es un código de buenas prácticas para la gestión, plantea las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
información, describe los aspectos a analizar para garantizar la seguridad de la
información y especifica los controles recomendados a implantar en las
organizaciones.
Se describen once dominios principales:
Políticas de seguridad: Hace referencia a las directrices y conjunto de políticas para

la seguridad de la información.
Organización de la seguridad de la información: Aborda la organización interna,

asignación de responsabilidades relacionadas a la seguridad de la información,
segregación de funciones y contacto con las autoridades.
Gestión de activos: Se define el responsable de los activos de la información, quién
debe hacer un inventario de estos y garantizar la seguridad de estos. Además, se
debe plantear las reglas de cómo utilizar los activos correctamente; al igual que
clasificar la información para establecer el grado esperado de protección, haciendo
un etiquetado de estos activos.
Seguridad de los recursos humanos: Especifica que antes de la contratación laboral,

es conveniente hacer la selección del personal, verificando antecedentes, haciendo
énfasis en la responsabilidad con la seguridad de la información. Asimismo, se debe
tener presente que el personal elegido debe ser apto para las funciones a contratar,
definiendo y documentando las respectivas responsabilidades de los empleados,
contratistas y usuarios por la seguridad.
También los empleados y contratistas deben firmar los términos y condiciones de

su contrato laboral, donde se establecen las responsabilidades con relación a la
seguridad de la información, la dirección debe exigir que los empleados cumplan
con los procedimientos de seguridad establecidos y realizar las respectivas
capacitaciones regulares sobre las políticas y los procedimientos de la organización.
Seguridad física del entorno: Se establecen áreas seguras, en las cuales se evita el
acceso físico no autorizado, el daño a las instalaciones o a la información de la
organización. Utilizando un perímetro de seguridad física como: paredes y puertas
con acceso controlado. Y esto no es todo: se debe tener una protección contra
amenazas externas y ambientales, para evitar incendios, inundaciones,
manifestaciones sociales.
Igualmente, se debe controlar o aislar instalaciones que estén cerca de áreas de

carga, despacho y acceso público para evitar el acceso no autorizado. Se debe
tener seguridad en los equipos los cuales deben estar protegidos contra amenazas
físicas y naturales, y se les debe hacer un adecuado mantenimiento.
Gestión de comunicaciones y operaciones: El objetivo es asegurar la operación

correcta y segura de los servicios de procesamiento de información, realizando una
documentación de los procedimientos de operación, teniendo una gestión del
cambio del sistema operativo y el software de aplicación. A esto se suma, que se
debe contar con una distribución de funciones para reducir las oportunidades de
modificación no autorizada o no intencional haciendo una separación de las
instalaciones de desarrollo, ensayo y operación.
Control de acceso: Como su nombre lo indica su objetivo es controlar el acceso a la

información, creando y documentando la política de control de acceso,
estableciendo una gestión de acceso y registro de usuarios, gestionando los
privilegios de cada uno de estos, con el propósito de restringir y controlar la
asignación de estos gestionando las respectivas contraseñas. Es conveniente
restringir el acceso a las redes compartidas de la organización.
Adquisición, desarrollo y mantenimiento de sistemas de información: se hace un
análisis y especificación de los requisitos de seguridad al momento de adquirir o
hacerle una mejora a un sistema de información, se debe hacer una validación de
los datos de entrada para que sean correctos y apropiados, garantizando y
protegiendo la seguridad de los archivos.
Gestión de los incidentes de la seguridad de la información: se deben comunicar los

eventos y debilidades de seguridad de la información para tomar acciones
correctivas oportunamente, estableciendo los responsables y procedimientos para
llevar a cabo una respuesta rápida. Es fundamental establecer un procedimiento
para recoger la evidencia de la situación presenta.
Gestión de la continuidad del negocio: el objetivo es contrarrestar las interrupciones

en las actividades del negocio y proteger sus procesos críticos contra los efectos de
fallas importantes en los sistemas de información o contra desastres y asegurar su
recuperación adecuada.
Cumplimiento. Busca asegurar el cumplimiento de los derechos de propiedad

intelectual y evitar el incumplimiento de los requisitos legales y de cualquier requisito
de seguridad de los sistemas de información.
Actualmente las organizaciones y el sistema empresarial en general, hacen uso de

los estándares ISO 27001 para aplicar los requerimientos y lineamientos que esta
norma exige con el objeto de establecer, implementar, operar, verificar y mejorar un
SGSI que permita gestionar los riesgos que se pueden producir en los activos de
información de las organizaciones; y el estándar ISO 27002 como un referente de
buenas prácticas que conlleven a través de análisis de GAP y las auditorías internas
a responder en las empresas 3 grandes preguntas como son ¿dónde estamos?,
¿dónde queremos estar? y ¿qué diferencia hay entre el sistema actual y la situación
deseada?. Estas preguntas al ser respondidas conducen a alinear la planeación
estratégica de la organización y la prospectiva con respecto a la seguridad de la
información y la seguridad informática.
Siendo consecuente con lo anterior la empresa Manantiales de los Andes S.A.S, en

su afán de ser proactivo frente al tema de la seguridad informática y proteger la
información sensible al transmitirla entre la sede principal y la planta de producción
de La Calera; propone diseñar una VPN para comunicar la información de forma
segura entre las dos sedes mencionadas anteriormente.
1.1.1. Descripción del problema.
La empresa Manantiales de los Andes S.A.S, se dedica a la venta de agua de

manantial embotellada, su planta de producción está ubicada en la vereda Mundo
Nuevo en La Calera Cundinamarca, donde tienen 2 computadoras, una de estas
computadoras es utilizada para intercambiar información con la sede principal
ubicada en Bogotá, donde hay 6 computadoras en 3 oficinas.
El intercambio de información es muy importante para la empresa, se hace
utilizando escritorio remoto, por consiguiente, esta información confidencial puede
ser objeto de delitos informáticos como: acceso abusivo a un sistema informático,
interceptación de datos informáticos y otros más, por lo cual, se requiere una
adecuada protección de los datos, que cumpla con los 4 principios de la seguridad
informática: confiabilidad, integridad, disponibilidad y autenticación. Para esto, se
diseñará una red privada virtual (VPN) sitio a sitio, cuyo objetivo es proteger esta
información, mediante el uso de equipos exclusivos y cifrado de la información, lo
que hace necesario identificar cual tecnología se adapta mejor a los requerimientos
de la empresa.
Situación actual del manejo de información de la sede principal y la planta de

producción.
Actualmente, la empresa no dispone de una red que certifique todos los principios
de la seguridad informática: confiabilidad, integridad, disponibilidad y autenticación;
para la comunicación de los datos entre la sede principal y la planta de producción
de la empresa Manantiales de los Andes S.A.S.
Esta comunicación se hace utilizando una computadora con el servicio de internet

de la planta de producción y mediante la aplicación conexión a equipo remoto
(Remote Desktop Protocol) (RDP), integrado por defecto en el sistema operativo
Windows 10 Pro de este equipo, al cual se le habilito el servicio de escritorio remoto
y se le configuro la IP y datos de autenticación de la computadora de la sede
principal a la cual se va a conectar, este programa permite controlar una
computadora que tiene instalado el sistema operativo Windows 10 Pro, como si
estuviéramos físicamente delante de esta.
Entre las ventajas de utilizar el escritorio remoto, encontramos: es una opción fácil
de configurar y se tiene acceso a toda la información y aplicaciones de la
computadora remota sin necesidad de trasladarnos, no se necesitan equipos
específicos y costosos. Por otra parte, las desventajas son de seguridad, no se sabe
cuándo un usuario no autorizado está controlando la computadora configurada para
escritorio remoto y la computadora que se controla mediante RDP sólo puede ser
empleada por el usuario remoto, por tanto, la computadora de la oficina no se puede
utilizar mientras la estén controlando, de modo que, se deben utilizar dos equipos,
desaprovechando los recursos con los que cuenta la empresa.
Además, las dos computadoras deben tener siempre el servicio de internet; contar
con un usuario y contraseña robusta para evitar que cualquier usuario ingrese al
equipo sin autorización. Otra dificultad de seguridad es que la configuración inicio
de sesión de escritorio remoto, los datos de autenticación usuario y contraseña,
están guardados de manera predeterminadas lo que permite establecer la conexión
a cualquier persona que utilice la computadora, lo que genera riesgos de que otra
persona sin autorización ingrese o copie esta información para que ingrese desde
otros equipos. Añádase a esto, existe un aumento de Malware que vulnera este tipo
de servicio poniendo en riesgo la información.
La mejor manera para tener acceso a los datos de la empresa desde la planta de
producción de una manera segura es utilizando las Redes Virtuales Privadas (VPN).
Este tipo de acceso a la información es protegido al viajar por un canal seguro y
cifrado, por lo tanto, evita o minimiza el riesgo de conocer o hurtar la información,
incluso de accesos no autorizados a los equipos al utilizar equipos específicos.
¿Cómo diseñar una VPN sitio a sitio, que permita proteger el tránsito de los datos
sensibles de la empresa Manantiales de los Andes S.A.S entre la sede principal
ubicada en Bogotá y la planta de producción ubicada en la vereda Mundo Nuevo de
La Calera Cundinamarca?
2. Justificación.
En estos tiempos las empresas han tenido la necesidad de conectarse en red para
mejorar sus procesos y compartir información con clientes y empleados distantes,
esto se evidencia cuando las organizaciones crean sucursales o la planta de
producción está distante de la sede principal, por tanto, han tenido que conectarse
a internet para mejorar su competitividad y aumentar sus clientes, pero se sabe,
que para hacer esta conexión entre computadoras a distancia se deben abrir
puertos de conexión, lo que tiene como consecuencia la posibilidad que se ejecuten
delitos informáticos sobre esta red, por personas mal intencionadas queriendo tener
acceso a la información importante para la empresa, como los proveedores
estratégicos, los costos de producción e información de los clientes o también la
destrucción de esta información.
Por este motivo, las políticas de seguridad, el diseño, la administración y vigilancia
de la red, lo debe desarrollar personal especializado en seguridad informática, el
cual va a tener en cuenta posibles ataques intencionales o no de los usuarios
autorizados a emplear la red de la empresa, los cuales pueden generar
vulnerabilidades o daños a esta.
Para evitar este peligro se diseñará una Red Virtual Privada (VPN) entre la planta
de producción ubicada en la vereda Mundo Nuevo de La Calera Cundinamarca y la
sede principal ubicada en Bogotá de la empresa Manantiales de los Andes S.A.S.
Entre los alcances del diseño de la VPN se proyecta entre otras actividades,
seleccionar las características físicas, el factor de forma comercial y las
especificaciones tecnológicas del Gateway que sea ideal para la empresa
Manantiales de los Andes S.A.S. Igualmente, realizar un levantamiento de
información que permita diagnosticar si la infraestructura tecnológica que
actualmente posee la empresa es la óptima y compatible con la propuesta de diseño
que se va a elaborar.
Además de esto, se considerará la topología física y lógica de la red en la sede

principal de la organización y el Core de la sede ubicada en la Calera para su
respectiva interconexión. También se establecerá como los usuarios remotos
pueden acceder a la VPN que se propondrá en el diseño.
3. Objetivos.
3.1. Objetivo General.
Diseñar una VPN sitio a sitio, basado en las infraestructuras de comunicaciones de

red IP, para proteger los datos transmitidos entre la sede principal en Bogotá D.C.
y la planta de producción ubicada en La Calera Cundinamarca de la empresa
Manantiales de los Andes S.A.S.
3.2. Objetivos Específicos.

Identificar si la topología física y lógica de la red LAN, de la sede principal y planta
de envasado cumplen los estándares y requerimientos para el diseño de la VPN
sitio a sitio.
Seleccionar de forma correcta (relación costo -beneficio) de los dispositivos

requeridos en la red de área local (LAN) que satisfaga la VPN sitio a sitio a diseñar.
Establecer los parámetros de seguridad que se aplicaran en la red LAN y en la VPN

de acuerdo con las políticas de seguridad de la empresa.
Entregar propuesta del diseño de la VPN sitio a sitio.

4. Marco teórico
4.1. Tecnología VPN.
4.1.1. Redes privadas virtuales.
Las organizaciones en la actualidad para proteger los datos transmitidos a sitios

distantes usan redes privadas virtuales (VPN), esta información se transporta
usando la red pública conocida como internet. Una VPN es privada porque encripta
los datos para que sean confidenciales cuando se transportan por la red pública.
En el curso CCNAv7: Bridging ENSA, en el capítulo 8.1.1. se explica los diferentes
equipos utilizados para diseñar un VPN
“Un firewall de Cisco Adaptive Security Apliance (ASA) ayuda a las organizaciones
a proporcionar conectividad segura y de alto rendimiento, incluidas VPN y
acceso siempre activo para sucursales remotas y usuarios móviles.
SOHO significa pequeño/oficina en casa donde un enrutador (router) habilitado para
VPN puede proporcionar conectividad VPN de vuelta al sitio principal de la empresa.
Cisco AnyConnect es un software que los trabajadores remotos pueden usar para
establecer una conexión VPN basada en el cliente con el sitio principal.” 1
En la figura 1 se muestra varios tipos de VPN administrados desde la sede principal
de una empresa, donde se representa un túnel entre los sitios y usuarios remotos a
acceder a los recursos de red de la sede principal de la empresa.
1
Tomado textual de la URL https://contenthub.netacad.com/ensa-bridge/8.1.1 el 1 de noviembre de
2020 a las 14:22
Figura 1. Tipos de VPN
Fuente: https://contenthub.netacad.com/ensa-bridge/8.1.2 el 1 de noviembre de 2020 16:08
4.1.2. Beneficios de VPN.
En la actualidad los protocolos de las VPN más conocidos son el Internet Protocol
Security (Ipsec) y el Secure Socket Later (SSL) para encriptar los datos entre sitios.
En la siguiente tabla, tomada del capítulo 8.1.2 Beneficios de las VPN del curso de
CCNAv7: Curso Bridging ENSA, se muestras algunos beneficios de las VPN.
Tabla 2. Beneficios de las VPN.

Ventaja Descripción.
Ahorro de Con la llegada de tecnologías rentables y de gran ancho de
costos banda, las organizaciones pueden usar VPN para reducir
sus costos de conectividad mientras incrementa
simultáneamente el ancho de banda de la conexión remota.
Seguridad. Las VPN proporcionan el mayor nivel de seguridad
disponible, mediante el uso de encriptación avanzada y
protocolos de autenticación que protegen los datos de
acceso no autorizado.
Escalabilidad. Las VPN permiten a las organizaciones usar Internet, lo que
facilita la adición de nuevos usuarios sin agregar
infraestructura significativa.
Compatibilidad Las VPN se pueden implementar en una amplia variedad de
opciones de enlace WAN incluidas todas las tecnologías
populares de banda ancha. Los trabajadores remotos
pueden aprovechar estas conexiones de alta velocidad para
obtener acceso seguro a sus redes corporativas.
Fuente: https://contenthub.netacad.com/ensa-bridge/8.1.2 el 3 de noviembre 16:33
4.1.3. VPN de sitio a sitio y acceso remoto.
Existen dos configuraciones en las que se utilizan las VPN. La primera es de sitio a
sito, cuando se utilizan equipos con tecnología VPN y se configuran con la
información necesaria para encriptar los datos trasmitidos, denominando lo anterior
túnel seguro.
Figura 2. VPN sitio a sitio.
La segunda VPN es la de acceso remoto, se crea utilizando un software

especializado y se configura en la computadora del cliente, encriptando la
información que viaje a través de internet para conectarse al equipo VPN de la
empresa y tener acceso a la información como si se estuviera en la empresa.
Figura 3.VPN de acceso remoto.
Fuente: https://contenthub.netacad.com/ensa-bridge/8.1.3 el 3 de noviembre de

2020 16:22
4.1.4. VPN de empresas y proveedores de servicios.
Para el intercambio de información entre sedes distantes de las empresas hay

varias alternativas y se pueden implementar como:
VPNs Empresariales: Las VPN de sitio a sitio y de acceso remoto son soluciones
que utilizan las empresas, a la necesidad de intercambiar información utilizando
internet, configurando VPN Ipsec o SSL.
VPNs de Proveedor de servicios: Otra alternativa que tienen las empresas es utilizar
VPN administradas por un proveedor externo utilizando la red del proveedor el cual
puede utilizar Multiprotocol Label Switching (MPLS) en la capa 2 o la capa 3,
creando un túnel seguro por donde se intercambia la información de la empresa.
MPLS crea túneles virtuales entre las sedes empresariales gracias a su tecnología
de enrutamiento.
Figura 4. VPN empresarial vs VPN proveedor de servicios.
4.2. Tipos de VPN.
4.2.1. VPN de acceso remoto.
Las VPN de acceso remoto se han convertido en un servicio esencial en las

empresas porque permiten a los usuarios remotos y móviles acceder a la
información compartida de la empresa con total seguridad por medio del túnel
encriptado. También permiten a usuarios externos de la empresa tener acceso
limitado a archivos específicos según sus necesidades.
Mediante el protocolo Ipsec o ISS se pueden crear VPN de acceso remoto. En la

figura se evidencia como un usuario remoto tiene dos opciones para iniciar una
conexión VPN: VPN sin cliente y VPN basada en cliente.
Figura 5. Conexión VPN con cliente y sin cliente.
En el curso de CISCO v7 en el capítulo 8.2.1 se explican las características de una

conexión VPN sin cliente y basada en cliente.
“Conexión VPN sin cliente: La conexión se asegura utilizando una conexión SSL
de navegador web. SSL se utiliza principalmente para proteger el tráfico HTTP
(HTTPS) y los protocolos de correo electrónico como IMAP y POP3. Por ejemplo,
HTTPS es en realidad HTTP usando un túnel SSL. Primero se establece la conexión
SSL. Primero se establece la conexión SSL y luego se intercambian los datos HTTP
a través de la conexión”.
“Conexión VPN basada en el cliente: El software de cliente VPN, como Cisco

AnyConnect Secure Mobility Client, debe instalarse en el dispositivo final del usuario
remoto. Los usuarios deben iniciar la conexión VPN utilizando el cliente VPN y luego
autenticarse en la puerta de enlace VPN de destino. Cuando los usuarios se
autentican, tienen acceso a archivos y aplicaciones corporativos. El software del
cliente VPN encripta el tráfico usando Ipsec o SSL y lo reenvía a través de internet
a la puerta de enlace VPN de destino.”2
2
Tomado textual de la URL https://contenthub.netacad.com/ensa-bridge/8.2.1 el 4 de noviembre de 2020 a las
14:04
4.2.2. SSL VPNs.
En el curso de CISCO v7 en el capítulo 8.2.2 se explica las características de una

SSL VPNs.
“Cuando un cliente negocia una conexión VPN SSL con la puerta de enlace VPN,
en realidad se conecta utilizando Transport Layer Security (TLS). TLS es la versión
más nueva de SSL y a veces se expresa como SSL / TLS. Sin embargo, ambos
términos a menudo se usan indistintamente.
SSL utiliza la infraestructura de llave pública y los certificados digitales para

autenticar a sus pares. Ambas tecnologías IPsec y SSL VPN ofrecen acceso a
prácticamente cualquier aplicación o recurso de red. Sin embargo, cuando la
seguridad es un problema, IPsec es la mejor opción. Si el soporte y la facilidad de
implementación son los problemas principales, considere SSL. El tipo de método
VPN implementado se basa en los requisitos de acceso de los usuarios y los
procesos de TI de la organización. La tabla compara las implementaciones de
acceso remoto IPsec y SSL.
Tabla 3. Comparación de las implementaciones de acceso remoto IPsec y SSL.
Características IPsec SSL

Aplicaciones Extensiva - Todas las Limitada - Solo
soportadas: aplicaciones basadas en
aplicaciones y archivos
IP son compatibles. basados en la web
compartidos y
soportados.
Fuerza de Fuerte - Utiliza Moderado - Uso de
autenticación autenticación autenticación
bidireccional con llaves unidireccional o
compartidas o bidireccional.
certificados digitales.
Fuerza de encriptación Fuerte - Utiliza Moderado a fuerte -
longitudes de llave de 56 Con longitudes de llave
bits a 256 bits. de 40 bits a 256 bits.
Complejidad de Medio - Porque requiere Bajo - Solo requiere un
conexión un cliente VPN navegador web en una
preinstalado en un terminal.
usuario.
Opción de conexión Limitado - Solo se Extensivo - Cualquier
pueden conectar dispositivo con un
dispositivos específicos navegador web puede
con configuraciones conectarse.
específicas.
Es importante comprender que las VPN IPsec y SSL no son mutuamente
excluyentes. En cambio, son complementarios; ambas tecnologías resuelven
diferentes problemas, y una organización puede implementar IPsec, SSL o ambos,
según las necesidades de sus tele-trabajadores.” 3
4.2.3. VPN IPsec de sitio a sitio.
De acuerdo con el curso CCNAv7: Bridging ENSA, en el capítulo 8.2.3, en la

plataforma de NETACAD, se menciona que las” VPN de sitio a sitio se utilizan para
conectar redes a través de otra red no confiable como Internet. En una VPN de sitio
a sitio, los usuarios finales envían y reciben tráfico normal de TCP/IP sin encriptar a
través de un dispositivo VPN de terminación. La terminación de VPN generalmente
se denomina puerta de enlace VPN. Un dispositivo de puerta de enlace VPN podría
ser un enrutador o un firewall, como se muestra en la figura. Por ejemplo, el Cisco
Adaptive Security Appliance (ASA) que se muestra en el lado derecho de la figura
es un dispositivo de firewall independiente que combina firewall, concentrador de
VPN y funcionalidad de prevención de intrusiones en una imagen de software.
Figura 6.Puerta de enlace VPN.
La puerta de enlace VPN encapsula y encripta el tráfico saliente para todo el tráfico
de un sitio en particular. Luego envía el tráfico a través de un túnel VPN a través de
Internet a una puerta de enlace VPN en el sitio de destino. Al recibirlo, la puerta de
enlace VPN receptora despoja los encabezados, desencripta el contenido y
retransmite el paquete hacia el usuario de destino dentro de su red privada.
3
14:23
Las VPN de sitio a sitio generalmente se crean y protegen mediante el IP Security
(IPsec).”4
4.2.4. GRE sobre Ipsec.
A continuación, se explica el protocolo de túnel de VPN de sitio a sitio Básico y no

seguro. Generic Routing Encapsulation (GRE) según el curso CCNAv7: Curso
Bridging ENSA, en el capítulo 8.2.4. “Puede encapsular varios protocolos de capa
de red. También es compatible con el tráfico de multicast y broadcast que puede
ser necesario si la organización requiere protocolos de enrutamiento para operar a
través de una VPN. Sin embargo, GRE no admite de forma predeterminada el
encriptado; y por lo tanto, no proporciona un túnel VPN seguro.
Una VPN IPsec estándar (no GRE) solo puede crear túneles seguros para el tráfico
de unicast. Por lo tanto, los protocolos de enrutamiento no intercambiarán
información de enrutamiento a través de una VPN IPsec.
Para resolver este problema, podemos encapsular el tráfico del protocolo de

enrutamiento utilizando un paquete GRE y luego encapsular el paquete GRE en un
paquete IPsec para reenviarlo de forma segura a la puerta de enlace VPN de
destino.
Los términos utilizados para describir la encapsulación de GRE sobre el túnel IPsec
son protocolo pasajero (passenger protocol), protocolo operador (carrier protocol) y
protocolo transporte (transport protocol), como se muestra en la figura.”
Figura 7. Protocolo GRE.
4
15:09
Protocolo Pasajero (Passenger Protocol)- Este es el paquete original que debe
ser encapsulado por GRE. Podría ser un paquete IPv4 o IPv6, una actualización de
enrutamiento y más.
Protocolo Operador (Carrier Protocol) – GRE es el protocolo operador que

encapsula el paquete pasajero original.
Protocolo transporte (Transport Protocol) – Este es el protocolo que realmente

se usará para reenviar el paquete. Esto podría ser IPv4 o IPv6. 5
Por ejemplo, en la figura 8. que muestra una topología, Branch y HQ desean

intercambiar información de enrutamiento OSPF sobre una VPN IPsec. Sin
embargo, IPsec no admite tráfico de tipo multicast. Por lo tanto, GRE sobre IPsec
se usa para admitir el tráfico del protocolo enrutamiento (routing protocol) sobre la
VPN de IPsec. Específicamente, los paquetes OSPF (es decir, el protocolo
pasajero) serían encapsulados por GRE (es decir, el protocolo operador) y
posteriormente encapsulados en un túnel VPN IPsec.
Figura 8. Topología túnel GRE.
La captura de pantalla de Wireshark en la figura muestra un paquete de saludo

"Hello" OSPF que se envió utilizando GRE sobre IPsec. En el ejemplo, el paquete
original de multicast OSPF Hello (el protocolo pasajero) se encapsuló con un
encabezado GRE (el protocolo operador), que posteriormente se encapsula con
otro encabezado IP (protocolo transporte). Este encabezado IP se reenviaría a
través de un túnel IPsec.
La figura 9 muestra una captura de pantalla de Wireshark de un paquete OSPF

Hello enviado utilizando GRE sobre IPSec. La parte de transporte de la salida se
describe en un rectángulo y muestra el Protocolo de Internet Versión 4, fuente:
5
17:44
192.168.12.1, Destino: 192.168.23.3. La parte del protocolo se describe en un
rectángulo y muestra GRE, Indicador (flag), versión, tipo de protocolo, IP. La parte
del protocolo Pasajero se describe en un rectángulo y muestra el protocolo Internet
versión 4 Fuente: 192.168.13.1, Destino: 224.0.0.5 y establece su Open Shortest
Path First (OSPF).
Figura 9.Captura de pantalla de Wireshark de un paquete OSPF Hello enviado utilizando GRE
sobre IPSec.
4.2.5. VPN dinámicas multipunto.
A continuación, se explica las VPN dinámicas multipunto según el curso CCNAv7:

Curso Bridging ENSA, en el capítulo 8.2.5. “Las VPN de IPsec de sitio a sitio y GRE
sobre IPsec son adecuadas para usar cuando solo hay unos pocos sitios para
interconectarse de forma segura. Sin embargo, no son suficientes cuando la
empresa agrega muchos más sitios. Esto se debe a que cada sitio requeriría
configuraciones estáticas para todos los demás sitios o para un sitio central.
La VPN dinámica multipunto (DMVPN) es una solución de Cisco para crear VPN
múltiples de forma fácil, dinámica y escalable. Al igual que otros tipos de VPN,
DMVPN depende de IPsec para proporcionar un transporte seguro a través de redes
públicas, como Internet.
DMVPN simplifica la configuración del túnel VPN y proporciona una opción flexible
para conectar un sitio central con sitios de sucursales. Utiliza una configuración de
hub-and-spoke para establecer una topología de malla completa (full mesh). Los
sitios de spoke establecen túneles VPN seguros con el sitio central, como se
muestra en la figura.”
Figura 10. Túneles de concentrador a dispositivo radial de DMVPN .
A continuación, se explica cómo funciona los túneles de concentrador a dispositivo

radial de DMVPN según el curso CCNAv7 Curso Bridging ENSA, en el capítulo
8.2.5.
Cada sitio se configura usando Multipoint Generic Routing Encapsulation (mGRE).

La interfaz del túnel mGRE permite que una única interfaz GRE admita
dinámicamente múltiples túneles IPsec. Por lo tanto, cuando un nuevo sitio requiere
una conexión segura, la misma configuración en el sitio del hub admitiría el túnel.
No se requerirá configuración adicional.
Los sitios Spoke también podrían obtener información sobre sitios remotos desde el
sitio central. Pueden usar esta información para establecer túneles VPN directos,
como se muestra en la figura 11.” 6
6
18:26
Figura 11.Túneles de Hub a Spoke y entre Spoke de DMVPN.
4.2.6. Interfaz virtual del túnel IPsec.
A continuación, se explica brevemente el interfaz virtual del túnel IPsec según el

curso CCNAv7 Curso Bridging ENSA, en el capítulo 8.2.5 “Al igual que los DMVPN,
Psec Virtual Tunnel Interface (VTI) simplifica el proceso de configuración requerido
para admitir múltiples sitios y acceso remoto. Las configuraciones de IPsec VTI se
aplican a una interfaz virtual en lugar de la asignación estática de las sesiones de
IPsec a una interfaz física.
IPsec VTI es capaz de enviar y recibir tráfico IP encriptado de unicast y multicast.

Por lo tanto, los protocolos de enrutamiento son compatibles automáticamente sin
tener que configurar túneles GRE.
IPsec VTI se puede configurar entre sitios o en una topología de hub-and-spoke.”7
Figura 12. Interfaz virtual del túnel IPsec.
4.2.7. Proveedor de servicios VPN MPLS.
A continuación, se explica la tecnología de los proveedores de servicios VPN MPLS,

del curso CCNAv7 Curso Bridging ENSA, en el capítulo 8.2.6 “Las soluciones WAN
tradicionales de los proveedores de servicios, como líneas alquiladas, Frame Relay
y conexiones ATM, eran inherentemente seguras en su diseño. Hoy, los
proveedores de servicios usan MPLS en su red principal. El tráfico se reenvía a
través de la red principal del MPLS (backbone) utilizando etiquetas que se
distribuyeron previamente entre los routers principales. Al igual que las conexiones
WAN heredadas, el tráfico es seguro porque los clientes del proveedor de servicios
no pueden ver el tráfico de los demás.
MPLS puede proporcionar a los clientes soluciones VPN administradas; por lo tanto,
asegurar el tráfico entre los sitios del cliente es responsabilidad del proveedor del
servicio. Hay dos tipos de soluciones VPN MPLS compatibles con los proveedores
de servicios:
7
Tomado textual de la URL https://contenthub.netacad.com/ensa-bridge/8.2.6 el 5 de noviembre de
2020 a las 18:26
VPN MPLS Capa 3 - El proveedor de servicios participa en el enrutamiento del
cliente al establecer un intercambio entre los routers del cliente y los routers del
proveedor. Luego, las rutas de los clientes que recibe el router del proveedor se
redistribuyen a través de la red MPLS a las ubicaciones remotas del cliente.
VPN MPLS Capa 2 - El proveedor de servicios no participa en el enrutamiento del

cliente. En cambio, el proveedor implementa un Virtual Private LAN Service (VPLS)
para emular un segmento LAN de acceso múltiple de Ethernet a través de la red
MPLS. No hay enrutamiento involucrado. Los routers del cliente pertenecen
efectivamente a la misma red de acceso múltiple.
La figura muestra un proveedor de servicios que ofrece VPN MPLS de capa 2 y

capa 3.”8
Figura 13. Proveedor de servicios que ofrece VPN MPLS de capa 2 y capa 3.
Fuente: https://contenthub.netacad.com/ensa-bridge/8.2.7 el 5 noviembre de 2020 19:22
8
18:53
Capitulo II. METODOLOGÍA.
El proyecto desde el enfoque de la investigación es de carácter empírico-analítico

porque la recopilación de la información, su análisis y su interpretación es de
carácter tecnológico; es decir, el diagnostico que se presenta en el capítulo de
resultado y discusiones conlleva a mejoras en la infraestructura de TI que se
encuentra instalada y funcionando actualmente tanto en la sede principal como en
la sucursal ubicada en La Calera.
ÁREA Y LINEA DE INVESTIGACIÓN DE LA FACULTAD DE INGENEIRÍA
El proyecto en su desarrollo ingenieril se realizará metodológicamente cumpliendo

los siguientes pasos:
• Recolección de información requerida
Para este apartado, se considera pertinente hacer uso de las fuentes primarias y
secundarias de información en vista de que mediante su relación al generar
información y hacer uso de referencias secundarias, se puede llegar a consolidar
los resultados que atiendan el problema de estudio.
Inicialmente la propuesta del proyecto tenía previsto hacer la aplicación de la

propuesta en empresas y recolectar la información, a raíz de la pandemia se
truncaron las posibilidades y ahora se tiene la visión de trabajar una guía de diseño
para las empresas objeto de estudio.
Como técnicas de recolección de información primaria, se plantea la observación,

proceso mediante el cual se captan los aspectos más significativos del objeto de
estudio para establecer la formulación del problema a través de la pregunta de
investigación a resolver, e información secundaria la cual se obtendrá desde
internet, las bibliotecas, organismos gubernamentales y empresas, entre otros.
• Análisis de información.
Para este apartado, se decodifica los datos, para ser procesados, se identifica los
datos relevantes dependiendo de las fuentes de información exponiendo el
contenido valioso.
Considerando lo anterior, para el desarrollo del proyecto la información recolectada

se analizará para la toma de decisiones para presentar la mejor propuesta de
solución para la definición de estrategias y mecanismos que permitirán construir el
plan de continuidad de TIC.
• Diagnóstico de la información.
En este ítem se entenderán con exactitud los problemas que pueden presentar el
sector empresarial objeto de estudio frente a las conexiones de acceso remoto que
deban realizar aquellos usuarios que la requieran.
• Determinación de problemas a nivel de seguridad.
Para determinar qué tipo de riesgos se pueden materializar, se parte del hecho de
identificar las amenazas tanto internas como externas que pueden afectar una
organización, por este motivo a pesar de que no se tenga un sistema de seguridad
informático implementado, si debe tener una metodología consistente para análisis
de riesgos (MAGERIT) que hace la empresa y sus empleados, así, logramos
confirmar cuales son los bienes informáticos que necesitan seguridad para mitigar
posibles eventos de riesgo, y los posibles vectores de ataque que puedan afectar el
estado global de la red.
Por este motivo su implementación debe verse desde los pilares básicos de la
ciberseguridad, que serían la confidencialidad, integridad y disponibilidad (CID),
enfocados en este proyecto, se tiene como dimensión principal la integridad, puesto
que se propone una guía de diseño de una VPN que mantiene las vulnerabilidades
en una brecha mínima de tolerancia.
Capitulo III. RESULTADOS Y DISCUSIÓN.
5. DISEÑO INGENIERIL.
5.1. Identificar si la topología física y lógica de la red LAN, de la sede

principal y planta de envasado cumplen los estándares y requerimientos
para el diseño de la VPN sitio a sitio.
La empresa manantiales de los Andes S.A.S requiere conectar su red de datos de

su sede principal en Bogotá con su planta de producción en La Calera, utilizando
una VPN, para esta conexión tendremos en cuenta la estructura de la red LAN de
estos dos lugares, estableciendo cuantos equipos estarán conectados, con cuales
protocolos se hará la conexión y seguridad de la información, si el cableado actual
sirve para implementar la VPN, después de obtener esta información se hará los
nuevos requerimientos o correcciones a la red LAN para poder implementar la VPN
en estos dos sitios.
Identificación de la red LAN de la empresa.
En la sede principal de la empresa Manantiales de los Andes S.A.S, tiene 5

empleados y hay los siguientes equipos en la red LAN: en la sede principal hay 6
computadores ubicados en 3 oficinas, la de gerencia con un computador, la
administrativa que tiene 4 computadores y la de soporte técnico con un computador,
también hay un switch HP 1405-8g V2, un RACK de 60cm * 60cm, y un router cisco
WRVS4400N, en la planta de producción hay dos computadores: estos equipos
tienen las siguientes características:
Computadores:
• Sistema operativo Windows 10 PRO.

• Procesador Intel I5.
• 4gb de RAM.
• Disco de 500gb.
El cableado estructurado que utiliza la empresa Manantiales de los Andes en la

sede principal, son redes Ethernet conocido como estándar IEEE 802.3, mediante
el conector RJ45 transmitiendo los datos por un cable con 4 pares trenzados (UTP
Categoría 5e) y permite trabajar a velocidades de hasta 100Mbps, y está conectado
con la norma T568A en ambos extremos, este cableado sale desde el Patch Panel
que está en un Rack de 60*60*60 cm ubicado en la oficina de soporte técnico y se
conecta a un switch HP 1405-8g V2, con auto-MDIX, desde este switch de 8 puertos
se conectan el computador de gerencia, administración, ventas, tesorería, bodega
y servidor, utilizando la topología de estrella.
Figura 14. Router CISCO WRVS4400N Wireless-N
Fuente:https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/wrvs4400n/administration/guide/W
RVS4400N_AG_OL-20048.pdf el 23 noviembre de 2020 18:22
Figura 15. Switch HP 1405.
Fuente: http://onlinecolombia.net/contactos/cotizacionArticulo.php?codigo_art=JH408A el 23
noviembre de 2020 18:38
La distancia máxima para conectar con el cable UTP, el patch panel y el computador
más lejano es de 22mts, este cableado se distribuye por una canaleta metálica con
división de 10cm * 4 cm pegada a la pared a 15 cm del suelo, en esta misma
canaleta se distribuye el cableado eléctrico de los computadores.
Figura 16. Topología sede principal Manantiales de los Andes S.A.S.
Fuente: Propia
Dentro de las actividades de identificación de la red de área local que actualmente

está funcionando en la sede principal, se pudo comprobar que esta cumple a
cabalidad con los requerimientos que a continuación se relacionan.
• Establecer la cantidad de equipos que se conectaran a la red.

• Definir que subredes se van a utilizar.
• Verificar si los dispositivos actuales (router, tarjetas ethernet y switch) y el
cableado estructurado cumplen con los requisitos para la conexión VPN.
• Autenticación de acceso mediante el servidor VPN.
• Seguridad en los datos transmitidos entre la sede principal y la planta de
producción, utilizando los túneles de encriptación de VPN.
• La VPN debe funcionar con los sistemas operativos Windows 7 y 10,
utilizados por la empresa.
Hecho el análisis de los ítems anteriores se pudo comprobar lo siguiente:
• El número de equipos que se conectaran a la red en la sede principal es un

total de 6, de los cuales solo 3 de ellos requieren de salir a través de la VPN
para interactuar con el único equipo de la planta en La Calera.
• El modelo de direccionamiento IPv4 es el 192.168.10.0/24 de los cuales solo
se asignan un total de 8, en las cuales se encuentran los equipos que van a
hacer parte de la VPN por ende no se requiere de una segmentación para
comunicar estos equipos, pero se sugiere construir una VLAN para involucrar
los 4 equipos que transmitirán a través de la VPN y permitir un dominio de
difusión lógico más seguro durante la transmisión.
• Con respecto a los dispositivos de red y el cableado estructurado se pudo
comprobar que ambos componentes de la red actual cumplen para que
hagan parte de la VPN, considerando que el router cumple en sus
características para instalar y configurar el tipo de VPN a proponer y el
cableado independientemente que tiene capacidad de canal a 100MB por
segundo satisface en su ancho de banda para la aplicación que se va a
transmitir entre los 4 equipos que van a acceder a la VPN.
• Finalmente, con respecto a la autenticación de acceso, la seguridad de los

datos a transmitir y la funcionalidad de la VPN se ha considerado diseñar una
VPN sitio a sitio permitiendo la seguridad de los datos a transmitir se hará a
través de un túnel GRE y cifrado IPSec.
5.2. Seleccionar de forma correcta (relación costo -beneficio) de los

dispositivos requeridos en la red de área local (LAN) que satisfaga la VPN
sitio a sitio a diseñar.
De acuerdo con el análisis realizado en el objetivo 3.1, se determina en sugerir el

cambio de switch HP 1405 de la sede principal y comprar un switch para la planta
de envasado, por un switch serie 2960 CISCO de 24 puertos 10/100/1000 para
permitir la escalabilidad de la red en la sede principal tanto por nuevas conexiones
y capacidad de ancho de banda en la transmisión de las aplicaciones.
Con respecto al router, como se mencionó anteriormente, este permite implementar

y configurar la VPN propuesta como solución para el proyecto. Otro elemento para
considerar para la comunicación entre ambas sedes es entrar a definir con el
proveedor de servicio de internet en La Calera y en la sede principal para definir que
la VPN opere técnicamente mediante un enlace que me permita la conexión en la
sede principal con un cable modem de fibra óptica y en la sede de la calera una
WAN publica (red de internet) con tecnología de banda ancha aDSL.
5.3. Establecer los parámetros de seguridad que se aplicaran en la red LAN

y en la VPN de acuerdo con las políticas de seguridad de la empresa.
Para permitir lo relacionado con la seguridad en la transmisión de los datos en la

VPN, a continuación, se relaciona el scrip (líneas de configuración) de la VPN sitio
a sitio, el túnel GRE y seguridad IPSec, parámetros iniciales y acceso remoto SSH
de los routers y switches.
La primera tarea que se debe realizar para tener seguridad en los swicthes y routers
es la configuración de los parámetros iniciales, ahora, se explica la configuración
del swicth de la sede principal, lo anterior se debe hacer en todos los swicthes y
routers de la empresa.
En la configuración de los parámetros iniciales se hicieron las siguientes tareas.
• Configuración básica del switch.

• Configuración de un aviso de MOTD.
• Guardar los archivos de configuración en la NVRAM.
Luego, se realizará las configuraciones básicas del switch de la sede principal que
nombraremos SWPRINCIPAL, se protegerá el acceso a la interfaz de línea de
comandos (CLI) y a los puertos de la consola mediante contraseñas cifradas y
contraseñas de texto no cifrado. También, se configurará un mensaje para los
usuarios que inician sesión en el switch. Este aviso se utiliza para advertir a usuarios
no autorizados que el acceso está prohibido.
• Configuración básica del switch.
Se le asigna el nombre SWPRINCIPAL al switch. Ubicado en la sede principal.
Switch# configure terminal

Switch(config)# hostname SWPRINCIPAL
SWPRINCIPAL(config)# exit
SWPRINCIPAL #
El siguiente paso, es proporcionar acceso seguro a la línea de consola, se accede

al modo config-line, estableciendo como contraseña de consola: manantiales.
SWPRINCIPAL # configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
SWPRINCIPAL(config)# line console 0
SWPRINCIPAL (config-line)# password manantiales
SWPRINCIPAL (config-line)# login
SWPRINCIPAL (config-line)# exit
SWPRINCIPAL (config)# exit
%SYS-5-CONFIG_I: Configured from console by console
SWPRINCIPAL #
Para que el proceso de control de contraseña funcione, se necesita los comandos

login y password. Podemos verificar que el acceso a la consola es seguro, saliendo
del modo privilegiado para verificar que la contraseña del puerto de consola esté
vigente.
SWPRINCIPAL # exit
Switch con0 is now available
Press RETURN to get started.
User Access Verification
Password:
SWPRINCIPAL >
Para tener un acceso seguro al modo privilegiado de la línea de comandos del
switch, en enable se asigna la contraseña: $nd#s a, la cual protege el acceso al
modo privilegiado.
SWPRINCIPAL > enable

SWPRINCIPAL # configure terminal
SWPRINCIPAL (config)# enable password $nd#s
SWPRINCIPAL #
Para verificar que el acceso al modo privilegiado es seguro, se digita el comando

exit nuevamente para cerrar la sesión del switch y se presiona <Intro>. Luego pedirá
introducir una contraseña:
User Access Verification

Password:
Después, para verificar la configuración, se utiliza el comando show running-config,
este muestra el contenido del archivo de la configuración en ejecución:
SWPRINCIPAL # show running-config
Estas contraseñas de consola y de enable son de texto no cifrado. Esto podría

presentar un riesgo para la seguridad si alguien está viendo lo que hace. Para evitar
esto, se configura una contraseña encriptada con el fin de proporcionar un acceso
seguro al modo privilegiado.
La contraseña de enable se debe reemplazar por una nueva contraseña secreta,
encriptada mediante el comando enable secret. Se configura la contraseña de
enable secret como: itsasecret.
SWPRINCIPAL # config t
SWPRINCIPAL (config)# enable secret itsasecret
SWPRINCIPAL #
La contraseña de enable secret sobrescribe la contraseña de enable, si ambas

están configuradas en el switch, se debe introducir la contraseña de enable secret
para ingresar al modo EXEC privilegiado.
Para verificar si la contraseña de enable secret se agregó al archivo de

configuración, se digita el comando show running-config, el cual abreviado es: show
run.
SWPRINCIPAL# show run

Ahora, la contraseña enable secret que se muestra es:
$1$mERr$IIwq/b7kc.7X/ejA4Aosno, el comando enable secret, muestra encriptada
la contraseña, mientras que la contraseña de enable aparece en texto no cifrado.
Para encriptar las contraseñas de consola y de enable, se hace con el comando

service password-encryption, además, encripta todas las contraseñas actuales y
futuras.
SW PRINCIPAL# config t
SWPRINCIPAL (config)# service password-encryption
Configuración de un aviso de MOTD.
Para configurar los mensajes MOTD, conocidos como “mensajes del día” y para que
cualquier persona lo pueda ver cuando inicia sesión en el switch, el texto del
mensaje se debe colocar en citas o utilizando un delimitador diferente a cualquier
carácter que aparece en la cadena de MOTD.
SWPRINCIPAL # config t
SWPRINCIPAL (config)# banner motd "This is a secure system. Authorized Access
Only!"
SWPRINCIPAL #
El mensaje configurado anteriormente se muestra cuando alguien accede al switch
a través del puerto de consola, cada switch debe tener un mensaje para advertir a
los usuarios no autorizados que el acceso está prohibido.
Guardar los archivos de configuración en la NVRAM.
Con el comando show run se verifica que la configuración sea correcta, para guardar
el archivo de configuración en la NVRAM, se usa el comando copy running-config
startup-config, esto garantiza que los cambios que se han realizado no se pierdan
si el sistema se reinicia o se apaga.
SWPRINCIPAL# copy running-config startup-config

Destination filename [startup-config]? [Enter]
Building configuration...
[OK]
Además, para examinar el archivo de configuración de inicio, se utiliza el comando
que muestra el contenido de la NVRAM es: Show startup-configuration.
En la explicación anterior se completó la configuración de los parámetros iniciales
del Switch SWPRINCIPAL.
Asimismo, se configuro los parámetros iniciales explicados con anterioridad en el
Switch SWPLANTA, y en los Routers PRINCIPAL Y PLANTA, con los siguientes
datos:
• Nombre del dispositivo:

o Switch de la planta: SWPLANTA
o Router de la planta: PLANTA
o Router de la sede principal: PRINCIPAL
• Se protegió el acceso a la consola con la contraseña: manantiales

• Se configuro $nd#s como la contraseña de enable y itsasecret como la
contraseña de enable secret.
• Se configuro el siguiente mensaje para aquellas personas que inician sesión
en el switch y en los routers: “Authorized access only. Unauthorized access
is prohibited and violators will be prosecuted to the full extent of the law”.
• Se cifro todas las contraseñas de texto no cifrado.
• Se verifico que la configuración sea correcta
• Se guardo el archivo de configuración para evitar perderlo si los switches y
routers se apagan.
Configuración de SSH.
Para la administración remota de los switches y routers, se configura SSH, esta

establece seguridad cifrando los datos trasmitidos, cuando se establece una
conexión remota para administrar el dispositivo.
Para cifrar las comunicaciones, se establece un nombre de dominio IP, generando
claves seguras y se asigna el nombre de dominio netacad.pka.
SWPRINCIPAL#configure terminal
SWPRINCIPAL(config)#ip domain-name netacad.pka
Para tener claves seguras se necesitan cifrar los datos, para lo cual, se generan las
claves RSA con la longitud de clave 1024.
SWPRINCIPAL(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024
El siguiente paso es, crear un usuario de SSH y reconfigurar las líneas VTY para
que solo admitan acceso por SSH, se crea un usuario administrador con la
contraseña secreta: cisco.
SWPRINCIPAL(config)#username administrador secret cisco
Además, se debe configurar las líneas VTY para que revisen la base de datos local
de nombres de usuario, en busca de las credenciales de inicio de sesión y para que
solo permitan el acceso remoto mediante SSH, se elimina la contraseña existente
de la línea VTY.
SWPRINCIPAL(config)#line vty 0 4
SWPRINCIPAL(config-line)#transport input ssh
SWPRINCIPAL(config-line)#login local
SWPRINCIPAL(config)#no pass
Figura 17.Topología de la empresa
Fuente: Propia.
Configuración de la VPN GRE.
Se configuro un túnel VPN GRE de sitio a sito, con el protocolo OSPF dentro del
túnel, en la siguiente tabla se indica que direcciones IP y en cuales interfaces se
asignaron a los dispositivos, que son los 3 routers Cisco 1941 y 2 switches Cisco
2960, para simular en packet tracer versión 7 el túnel VPN GRE.
Tabla 4. Asignación de direcciones.

Dispositivo Interfaz IP Mascara de Gateway
subred
G0/1 192.168.1.1 255.255.255.0
Router S0/0/0 10.1.1.1 255.255.255.252
(PRINCIPAL) (DCE)
Tunnel 0 192.168.12.1 255.255.255.252
ISP S0/0/0 10.1.1.2 255.255.255.252
S0/0/1 10.2.2.2 255.255.255.252
(DCE)
Router (PLANTA) G0/1 192.168.2.1 255.255.255.0
S0/0/1 10.2.2.1 255.255.255.252
Tunnel 0 192.168.12.2 255.255.255.252
PC-Servidor NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-Gerencia NIC 192.168.1.10 255.255.255.0 192.168.1.1
PC-Administración NIC 192.168.1.11 255.255.255.0 192.168.1.1
PC-Ventas NIC 192.168.1.12 255.255.255.0 192.168.1.1
PC-Tesorería NIC 192.168.1.13 255.255.255.0 192.168.1.1
PC-Bodega NIC 192.168.1.14 255.255.255.0 192.168.1.1
PC-Planta NIC 192.168.2.3 255.255.255.0 192.168.2.1
Fuente: Propia
Se asignaron las direcciones IP a las interfaces Serial y Gigabit Ethernet como se

muestra en la tabla de direccionamiento y se activaron las interfaces físicas.
Se asigna la interfaz Gigabit Ethernet 0/1 del router PRINCIPAL la dirección IP

192.168.1.1 con la máscara de subred 255.255.255.0 y se activa la interfaz física.
PRINCIPAL(config)# interface g0/1

PRINCIPAL(config-if)#ip address 192.168.1.1 255.255.255.0
PRINCIPAL(config-if)#no shutdown
Se asigna a la interfaz Serial 0/0/0 DCE del router PRINCIPAL la dirección IP

10.1.1.1 con la máscara de subred 255.255.255.252, se activa la interfaz física y se
establece la frecuencia de reloj en 128000.
PRINCIPAL(config)#int s0/0/0
PRINCIPAL(config)#ip address 10.1.1.1 255.255.255.252
PRINCIPAL(config)#clock rate 128000
PRINCIPAL(config)#no shutdown
Se asigna a la interfaz Gigabit Ethernet del router ISP la dirección IP 10.1.1.2 con la
máscara de subred 255.255.255.252 y se activa la interfaz física.
ISP(config)# interface s0/0/0

ISP(config-if)#ip address 10.1.1.2 255.255.255.252
ISP(config-if)#no shutdown
Se asigna a la interfaz Serial 0/0/1 DCE del router ISP la dirección IP 10.2.2.2 con
la máscara de subred 255.255.255.252, se activa la interfaz física y se establece la
frecuencia de reloj en 128000.
ISP (config)#int s0/0/1

ISP (config)#ip address 10.2.2.2 255.255.255.252
ISP (config)#clock rate 128000
ISP (config)#no shutdown
Se asigna la interfaz Gigabit Ethernet 0/1 del router PRINCIPAL la dirección IP

PRINCIPAL(config)# interface g0/1

PRINCIPAL(config-if)#no shutdown
Se asigna a la interfaz serial 0/0/1 del router PLANTA la dirección IP 10.2.2.1 con
la máscara de subred 255.255.255.252 y se activa la interfaz física.
PLANTA(config)#int s0/0/1
PLANTA(config)#ip address 10.2.2.1 255.255.255.252
PLANTA(config)#no shutdown
Se asigna a la interfaz Gigabit Ethernet 0/1 del router PLANTA la dirección IP

PLANTA(config)# interface g0/1

PLANTA(config-if)#ip address 192.168.2.1 255.255.255.0
PLANTA(config-if)#no shutdown
GRE crea un túnel que encapsula varios tipos de protocolos de la capa de red,
utilizando internet, se puede emplear en paquetes de multidifusión, como OSPF y
otras aplicaciones de transmisión.
Configuración de las rutas predeterminadas al router IPS
PRINCIPAL(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

PLANTA(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2
Se guarda la configuración realizada en los routers con el siguiente comando.
PRINCIPAL# copy running-config startup-config

PLANTA# copy running-config startup-config
Configuración del túnel GRE
Para la configuración del túnel GRE se utiliza la interfaz de origen del túnel S0/0/0
en el router PRINCIPAL y la IP 10.2.2.1 como destino del túnel en el router PLANTA.
PRINCIPAL(config)# interface tunnel 0

PRINCIPAL(config-if)#tunnel source s0/0/0
PRINCIPAL(config-if)#tunnel destination 10.2.2.1
Se utiliza la interfaz de origen del túnel S0/0/0 en el router PLANTA y 10.1.1.1 como
destino del túnel en el router PRINCIPAL
PLANTA(config)# interface tunnel 0

PLANTA(config-if)#ip address 192.168.12.2 255.255.255.252
PLANTA(config-if)#tunnel source s0/0/1
PLANTA(config-if)#tunnel destination 10.1.1.1
Con el commando show ip interface brief, se observa el estado activo de la interfaz

de túnel en el router PRINCIPAL.
Figura 18.Estado de la interfaz de túnel en el router PRINCIPAL.
Fuente: Propia.
Con el comando show interfaces tunnel 0 en el router PRINCIPAL, se verifica el

protocolo de tunneling, como podemos observar en la figura, el origen y destino del
túnel con la dirección de origen 10.1.1.1 y el destino 10.2.2.1 y en el router PLANTA
el túnel tiene origen en la dirección 10.2.2.1 y destino en 10.1.1.1.
Figura 19. Configuración origen y destino del túnel en el router Principal
Fuente: Propia
Habilitación del routing por el túnel GRE.
Se configuro el routing OSPF para que las LAN de la sede principal y planta puedan
comunicarse utilizando el túnel GRE, teniendo en cuenta que el router ISP no
participa en el routing.
Configuración del routing OSPF para el área 0 a través del túnel.
Se configuro la ID de proceso OSPF 1 con área 0 en el router de la sede principal

para la red 192.168.1.0/24 y 192.168.12.0/24.
PRINCIPAL(config)#router ospf 1
PRINCIPAL(config-router)#network 192.168.1.0 0.0.0.255 area 0
PRINCIPAL(config-router)#network 192.168.12.0 0.0.0.3 area 0
Se configuro la ID de proceso OSPF 1 con área 0 en el router de la sede principal

para la red 192.168.2.0/24 y 192.168.12.0/24.
PLANTA(config)#router ospf 1
PLANTA(config-router)#network 192.168.2.0 0.0.0.255 area 0
PLANTA(config-router)#network 192.168.12.0 0.0.0.3 area 0
Con el comando show ip route en el router PRINCIPAL se verifica la ruta a la LAN
192.168.2.0/24 en el router PLANTA, como se muestra en la imagen en la parte
resaltada de azul.
Figura 20.Configuración del routing OSPF
Fuente: Propia
Configuración de VPN con IPsec.
Tabla 5.Parámetros de política de fase 1 de ISAKMP.
Parámetros PRINCIPAL PLANTA

Método de distribución ISAKMP ISAKMP
de claves
Algoritmo de cifrado AES AES
Algoritmo hash SHA-1 SHA-1
Método de autenticación Claves previamente Claves previamente
compartidas compartidas
Intercambio de claves DH 2 DH 2
Vida útil de SA IKE 86400 segundos 86400 segundos
ISAKMP Key (Llave cisco cisco
USB)
Fuente: Propia.
Tabla 6.Parámetros de política de fase 2 de IPsec.

Parámetros PRINCIPAL PLANTA
Conjunto de VPN-SET VPN-SET
transformaciones
Nombre de host del peer PLANTA PRINCIPAL
Dirección IP del peer 10.2.2.2 10.1.1.2
Red para cifrar 192.168.1.0/24 192.168.2.0/24
Nombre de la asignación VPN-MAP VPN-MAP
criptográfica
Establecimiento de SA ipsec-isakmp ipsec-isakmp
Fuente: Propia.
Lo primero que se debe hacer es habilitar las características de seguridad, se

configura el módulo securityk9.
PRINCIPAL(config)# license boot module c1900 technology-package securityk9

PRINCIPAL (config)# end
PRINCIPAL # copy running-config startup-config
PRINCIPAL # reload
Para verificar si se activó el módulo securityk9, utilizamos el comando:

PRINCIPAL#show versión, en la imagen resaltada en azul, se verifica que ya se
activó el módulo.
Figura 21.Configuración del módulo securityk9 en el router PRINCIPAL
Fuente: Propia
Estos pasos se repiten en el router PLANTA.
Configurar los parámetros de IPsec en el router PRINCIPAL.
Se configuro el tráfico interesante en el router PRINCIPAL.
Se utilizo la ACL 110 para identificar el tráfico interesante de la LAN en el router

PRINCIPAL a la LAN en el router PLANTA, este tráfico activa la VPN con IPsec. El
resto de tráfico que se origina en las LANs no se cifran.
PRINCIPAL (config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0

0.0.0.255
Configuración de las propiedades de la fase 1 de ISAKMP en el router

PRINCIPAL.
Se instalo la política criptográfica ISAKMP 10 en el router PRINCIPAL junto con la

clave criptográfica compartida: cisco. se configuro el cifrado, el método de
intercambio de claves y el método DH.
PRINCIPAL (config)# crypto isakmp policy 10

PRINCIPAL (config-isakmp)# encryption aes
PRINCIPAL (config-isakmp)# authentication pre-share
PRINCIPAL (config-isakmp)# group 2
PRINCIPAL (config-isakmp)# exit
PRINCIPAL (config)# crypto isakmp key cisco address 10.2.2.1
Configurar las propiedades de la fase 2 de ISAKMP en el router PRINCIPAL.
Se creo el conjunto de transformaciones con el nombre VPN-SET para usar esp-

3des y esp-sha-hmac., después se hizo la asignación criptográfica VPN-MAP que
vincula todos los parámetros de la fase 2. Se uso el número de secuencia 10
identificándolo como una asignación ipsec-isakmp.
PRINCIPAL(config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac

PRINCIPAL (config)# crypto map VPN-MAP 10 ipsec-isakmp
PRINCIPAL (config-crypto-map)# description VPN connection to PLANTA
PRINCIPAL (config-crypto-map)# set peer 10.2.2.1
PRINCIPAL (config-crypto-map)# set transform-set VPN-SET
PRINCIPAL (config-crypto-map)# match address 110
PRINCIPAL (config-crypto-map)# exit
Configurar la asignación criptográfica en la interfaz de salida.
Se vinculo la asignación criptográfica VPN-MAP a la interfaz de salida Serial 0/0/0.
PRINCIPAL (config)# interface s0/0/0

PRINCIPAL (config-if)# crypto map VPN-MAP
Configurar los parámetros de IPsec en el router PLANTA.
Se configura la ACL 110 para identificar como interesante el tráfico proveniente de

la LAN en el router PLANTA a la LAN en el router PRINCIPAL.
PLANTA(config)# access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0

0.0.0.255
Configuración de las propiedades de la fase 1 de ISAKMP en el router

PLANTA.
Se instalo la política criptográfica ISAKMP 10 en el router PLANTA junto con la

clave criptográfica compartida: cisco. se configuro el cifrado, el método de
intercambio de claves y el método DH.
PLANTA(config)# crypto isakmp policy 10

PLANTA (config-isakmp)# encryption aes
PLANTA (config-isakmp)# authentication pre-share
PLANTA (config-isakmp)# group 2
PLANTA (config-isakmp)# exit
PLANTA (config)# crypto isakmp key cisco address 10.1.1.1
Configurar las propiedades de la fase 2 de ISAKMP en el router PRINCIPAL.
Se creo el conjunto de transformaciones con el nombre VPN-SET para usar esp-

3des y esp-sha-hmac., después se hizo la asignación criptográfica VPN-MAP que
vincula todos los parámetros de la fase 2. Se uso el número de secuencia 10
identificándolo como una asignación ipsec-isakmp.
PLANTA (config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac

PLANTA (config)# crypto map VPN-MAP 10 ipsec-isakmp
PLANTA (config-crypto-map)# description VPN connection to PRINCIPAL
PLANTA (config-crypto-map)# set peer 10.1.1.1
PLANTA (config-crypto-map)# set transform-set VPN-SET
PLANTA (config-crypto-map)# match address 110
PLANTA (config-crypto-map)# exit
Configurar la asignación criptográfica en la interfaz de salida.
Se vinculo la asignación criptográfica VPN-MAP a la interfaz de salida Serial 0/0/0.
PLANTA (config)# interface S0/0/1

PLANTA (config-if)# crypto map VPN-MAP
Con el comando show crypto ipsec sa en el router PRINCIPAL y en el router

PLANTA, observamos en las siguientes figuras que la cantidad de paquetes
encapsulados, cifrados, desencapsulados y descifrados se establece en 0.
Figura 22. Parámetros IPsec configurados en el router PRINCIPAL
Fuente: Propia.
Figura 23.Parámetros IPsec configurados en el router PLANTA
Fuente: Propia.
Con respecto a la configuración de seguridad por acceso en el switch de capa 2 en

la sede principal, este se determinará a través de seguridad por puertos mediante
direcciones MAC seguras y persistentes, tanto para los puertos de la VLAN
predeterminada, como, para los puertos de la VLAN que se diseñara y creara para
los 2 dispositivos finales que transmitirán a través de la VPN.
La configuración recomendada para lo mencionado anteriormente se relaciona a

continuación.
Implementación de Seguridad de Puertos.
Para mitigar los ataques de capa 2, se deben proteger todos los puertos que no se
usan inhabilitándolos en los switch, el switch 2960 de la sede principal tiene 24
puertos y tiene 8 puertos Fast Ethernet en uso, del puerto FA 0/1 al FA 0/9, se deben
inhabilitar los 16 puertos que no se están utilizando. Emitiendo el comando
shutdown de Cisco OIS, si se necesita reactivar un puerto, se puede hacer con el
comando no shutdown.
SWPRINCIPAL(config)# interface range fa0/9 - 24

SWPRINCIPAL(config-if-range)# shutdown
También se debe inhabilitar los 2 puertos Gigabit Ethernet que no se están usando,
con el comando shutdown.
SWPRINCIPAL(config)# interface range gigabit ethernet 0/1 - 2

SWPRINCIPAL(config-if-range)# shutdown
Mitigación de ataques por saturación de tabla de direcciones MAC
A continuación, se explica cómo mitigar los ataque por saturación de tabla de

direcciones MAC según el curso CCNAv7: Curso Bridging ENSA, en el capítulo
11.1.2.
“El método más simple y eficaz para evitar ataques por saturación de la tabla de
direcciones MAC es habilitar la port security.
La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas

en el puerto. Permite a un administrador configurar manualmente las direcciones
MAC para un puerto o permitir que el switch aprenda dinámicamente un número
limitado de direcciones MAC. Cuando un puerto configurado con port security recibe
un frame, la dirección MAC de origen del frame se compara con la lista de
direcciones MAC de origen seguro que se configuraron manualmente o se
aprendieron dinámicamente en el puerto.
Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad

de puertos se puede usar para controlar la expansión no autorizada de la red, como
se muestra en la figura.”9
Figura 24.Mitigación de ataques por saturación de tabla de direcciones MAC.
Fuente: https://contenthub.netacad.com/srwe-bridge/11.1.2 el 11de enero de 2021 14:33
9
Tomado textual de la URL: https://contenthub.netacad.com/srwe-bridge/11.1.2 tomado el 11de
enero de 2021 a las 14:07
Habilitar la seguridad de puerto enlace troncal.
Como los puertos capa 2 del switch están definidos de manera predeterminada
como dynamic auto (troncal encendido), para habilitar la seguridad del puerto se
hace con comando port security solo se puede configurar en puertos de acceso o
trunks configurados manualmente.
Como el puerto Fast Etherner 0/1 del switch SWPRINCIPAL es un enlace troncal,
se debe configurar en modo trunk y después habilitar la seguridad del puerto con el
comando switchport port-security
SWPRINCIPAL(config)#interface fastEthernet 0/1

SWPRINCIPAL(config-if)#switchport mode trunk
SWPRINCIPAL(config-if)#switchport port-security
con el comando show port-security interface se puede observar la configuración

de seguridad del puerto actual para FastEthernet 0/1, como se muestra en figura.
Se evidencia que port security está habilitada, el modo de violación esta apagado,
y que el número máximo de direcciones MAC permitidas es 1. Si un dispositivo está
conectado al puerto, el switch automáticamente agregara la direccion MAC de este
dispositivo como una dirección MAC segura.
Figura 25. Configuración de seguridad del puerto Fast Ethernet 0/1 del SWPRINCIPAL.
Fuente: Propia.
Habilitar la seguridad de puerto.
para habilitar la seguridad de los puertos se hace con comando port security solo
se puede configurar en puertos de acceso o trunks configurados manualmente.
Se configura los puertos Fast Etherner 0/2 - 24 del switch SWPRINCIPAL en modo
acceso, y después se habilita la seguridad del puerto con el comando switchport
port-security,
SWPRINCIPAL(config)#interface range fastEthernet 0/2 - 24

SWPRINCIPAL(config-if)#switchport mode access
SWPRINCIPAL(config-if)#switchport port-security
Limitar las direcciones MAC Addresses del Switch SWPRINCIPAL
En cada uno de los puertos que se están utilizando del switch SWPRINCIPAL se
configura una dirección MAC estática, de forma manual, usando el siguiente
comando para cada dirección MAC en el puerto: switchport port-security mac-
address mac-address, mac-address es la dirección MAC del computador que se
conectara al puerto del switch.
En la aplicación de Símbolo de sistema de Windows con el comando ipconfig / all,

encontramos la dirección MAC del computador para incluirla como direccion MAC
estática en el puerto del switch.
A continuación se hará la configuración de seguridad de puerto, en la interfaz Fast

Ethernet 0/2 del switch SWPRINCIPAL con dirección MAC estática, en este puerto
se conectara el computador Servidor el cual tiene la dirección MAC
00E0.F73E.25B5.
SWPRINCIPAL(config)#interface fastEthernet 0/2

SWPRINCIPAL(config-if)#switchport port-security mac-address 00E0.F73E.25B5
Figura 26.Configuración de seguridad del puerto Fast Ethernet 0/2 del SWPRINCIPAL.
Fuente: Propia
Figura 27. Dirección MAC del PC Servidor.
Fuente: Propia.
La configuración anterior se hace en los puertos que se están utilizando en el Switch

SWPRINCIPAL y SWPLANTA on los siguientes datos:
Tabla 7. asignación de direcciones MAC en la configuración de seguridad de puertos de los switch.
PC Interfaz MAC
PC-Servidor SWPRICIPAL F0/2 00E0.F73E.25B5
PC-Gerencia SWPRICIPAL F0/3 00D0.FFE2.E2D4
PC-Administración SWPRICIPAL F0/4 0060.3EE3.AB35
PC-Ventas SWPRICIPAL F0/5 00E0.B03D.4170
PC-Tesorería SWPRICIPAL F0/6 0002.1743.83A6
PC-Bodega SWPRICIPAL F0/7 0010.11DC.104B
Printer SWPRICIPAL F0/8 0009.7C23.2A7C
PC-Planta SWPLANTA F0/2 0002.16C2.3D02
Fuente: Propia
Para mostrar todas las direcciones MAC seguras que se configuran manualmente
o se aprenden dinámicamente en todas las interfaces del switch se usa el comando
show port-security address.
Figura 28. Configuración de las direcciones MAC en el switch SWPRINCIPAL.
Fuente: Propia.
Seguridad de puertos: modos de violación de seguridad.
Si se conecta un dispositivo con una dirección MAC diferente a la de la lista de

direcciones seguras del Switch SWPRINCIPAL, esto ocasiona una violación de
puerto y entra en un estado de error-disabled de manera determinada.
Con el siguiente comando se habilita el modo de violación de seguridad de puerto.
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
En la siguiente tabla se muestra cómo responde el switch según el comando

Shutdown, restrict y protect
Tabla 8. Modos de violación de seguridad.
Comando Descripción
Shutdown El puerto transiciona al estado de error-disabled
(predeterninado) inmediatamente, apaga el LED del puerto, y envía un
mensaje syslog. Aumenta el contador de violaciones
Contador. Cuando un puerto seguro está en estado
error-disabled un administrador debe re-habilitarlo
ingresando los comandos shutdown y no shutdown
Restrict El puerto bota los paquetes con direcciones MAC de
origen desconocidas hasta que usted remueva un
número suficiente de direcciones MAC seguras para
llegar debajo del máximo valor o incremente el
máximo valor Este modo causa que el contador de
violación de seguridad incremente y genere un
mensaje syslog.
Protect Este modo es el menos seguro de los modos de
violaciones de seguridad. No se realiza el tráfico de
puertos los paquetes con direcciones MAC de origen
desconocidas hasta que usted remueva un número
suficiente de direcciones MAC seguras para llegar
debajo del valor máximo o o incremente el máximo
valor No se envía ningún mensaje syslog.
Fuente: 1https://contenthub.netacad.com/srwe-bridge/11.1.6 el 14 de enero de 2021 17:22
Salto de VLAN suplantando a un switch.
A continuación, se explica cómo mitigar los ataques de salto de VLAN suplantando

a un switch.de la página ciberseguridad.net “En un ataque de VLAN hopping el
objetivo del atacante es conseguir generar tráfico malicioso y que este llegue a otra
VLAN evadiendo la configuración de la red que las esté gestionando. El atacante en
este caso de switch spoofing, configura su host para actuar como un switch y de
esta manera aprovecharse de las funciones de trunk automático.
Para aprovechar este auto trunk por defecto, el atacante configura su host para
lanzar señales falsas de 802.1Q (standard de red que da soporte a VLANs sobre
una red 802.3 Ethernet y de DTP (Dynamic Trunking Protocol es un protocolo
propietario de Cisco que permite negociar el trunking en un link entre dos switches
y el tipo de encapsulamiento a usar).
De esta manera y si el switch legítimo en la red no se ha protegido contra este

ataque, el atacante conseguirá establecer un trunk link contra el switch y por lo tanto
acceder a todas las VLAN configuradas en el mismo. Desde ese momento el
atacante puede taggear el tráfico para llegar a cualquiera de ellas.
Mitigación
Para mitigar este ataque lo que se requiere básicamente es aplicar una serie de
buenas prácticas en cuanto a la configuración de switches que van a ser puestos
en producción. Vamos a ver los diferentes pasos con comandos de Cisco IOS:
• Deshabilitar las negociaciones DTP (auto trunk) en puertos no troncales con

switchport mode access
• Deshabilitar los puertos no usados con shutdown y además colocarlos en
una VLAN no usada con por ejemplo switchport access vlan 999
• Habilitar manualmente en los puertos troncales el trunk link con switchport
mode trunk
• Deshabilitar las negociaciones DTP (auto trunk) en puertos troncales con
switchport nonegotiate
• Configurar la VLAN nativa a otra VLAN distinta de la 1, usando el comando
switchport trunk native vlan número de VLAN.”10
Para mitigar el ataque de salto de VLAN, se realizó la siguiente configuración en el

switch SWPRICIPAL, se creó la VLAN 998 con el nombre 999, para enviar todas las
interfaces del switch que no están en uso en este caso las Fast Ethernet 0/9 – 24,
SWPRINCIPAL(config)#vlan 998
SWPRINCIPAL(config-vlan)#name 999
SWPRINCIPAL(config-vlan)#exit
SWPRINCIPAL(config)#interface range f0/9 - 24
SWPRINCIPAL(config-if-range)#switchport access vlan 998
SWPRINCIPAL(config-if-range)#exit
SWPRINCIPAL(config)#interface range g0/1 - 2
SWPRINCIPAL(config-if-range)#switchport access vlan 998
SWPRINCIPAL(config-if-range)#exit
Para configurar la interfaz que funciona como troncal en el switch de la sede

principal, en este caso la Fast Ethernet 0/1, se hace la siguiente configuración.
SWPRINCIPAL(config)#interface f0/1
SWPRINCIPAL(config-if)#switchport mode trunk
SWPRINCIPAL(config-if)# switchport nonegotiate
SWPRINCIPAL(config-if)# switchport trunk native vlan 1
Para configurar la interfaz que funciona como troncal en el switch de la planta de

producción, en este caso la Fast Ethernet 0/1, se hace la siguiente configuración.
SWPLANTA(config)#interface f0/1
SWPLANTA(config-if)#switchport mode trunk
SWPLANTA(config-if)# switchport nonegotiate
SWPLANTA(config-if)# switchport trunk native vlan 1
10
Tomado textual de la URL: https://www.cyberseguridad.net/index.php/624-vlan-hopping-switch-
spoofing-salto-de-vlan-suplantando-a-un-switch-ataques-informaticos-viii tomado el 18 de enero de
2021 a las 14:07
5.4. Entregar propuesta del diseño de la VPN sitio a sitio.
Figura 29.Diseño VPN sitio a sitio de la empresa Manantiales de los Andes S.A.S
Fuente: Propia
Como se puede apreciar en la topología relacionada en la figura, el router

denominado PRINCIPAL corresponde al extremo del tunel 0, en él se configura la
opción de GRE con la dirección IP.
Con respecto al switch de capa 2 que permite la conexión tanto en la sede principal
como en la sede de la Calera, el componente de seguridad como se puede apreciar
en la configuración entregada en el ítem 5.4, se hace para mitigar los ataques de
fuerza bruta, VLAN hopping o salto de VLAN del ataque por saturación de tabla
MAC.
El ataque de fuerza bruta se contrarresta mediante el uso de contraseñas solidas o

seguras y cambios frecuentes de la misma, por parte de los empleados que acceden
al sistema. La contraseña en su seguridad se genera a partir de longitudes no
inferiores a 10 caracteres e involucrando letras (Mayúsculas y minúsculas), números
y caracteres especiales.
CONCLUSIONES.
Teniendo en cuenta el trabajo desarrollado en la empresa Manantiales de los Andes

S.A.S, se pueden enunciar las siguientes conclusiones:
Se logro identificar que la red LAN de la sede principal y planta de envasado es tipo
estrella, al igual que, la mayoría de los equipos cumplen con los requisitos para
implementar una VPN sitio a sitio, no obstante, es conveniente cambiar el switch HP
el cual, no permite poner en marcha la VPN. Por ende, se recomienda conseguir el
switch serie 2960 Cisco, debido a que cumple con las características para
implementar lo anterior.
También se puede concluir que para que la VPN cumpla con los parámetros de
seguridad, es necesario realizar las siguientes configuraciones: parámetros iniciales
en los routers y los switch, implementar acceso remoto SSH, conformar una ACL
para identificar el tráfico interesante de la LAN, el cual activa la VPN con IPsec y
activar en el router de la sede principal y planta, el enrutamiento GRE con
encriptación IPsec, con el propósito de garantizar la seguridad de los datos
transmitidos entre la sede principal y la planta.
Por otra parte, se presenta una simulación de la VPN sitio a sitio sugerida a la
empresa, empleando el programa Cisco Packet Tracer versión 7.3.1 donde se
evidencia su buen funcionamiento en el momento de proteger los datos transmitidos
entre la sede principal y la planta. Asimismo, es importante que la empresa adquiera
los equipos y realice las configuraciones sugeridas ya que esto le permitirá mejorar
su seguridad informática, ser más competente en el mercado y generar confianza
en sus clientes y trabajadores.
Una de las limitaciones encontradas en el transcurso del trabajo desarrollado se

basa en que los dueños y líderes de la empresa no tienen como prioridad garantizar
la seguridad de la información de esta, en consecuencia, no dispone de un
presupuesto para tal fin. Sin embargo, gracias a la propuesta y diseño presentado,
la gerencia considera oportuno exponer lo anterior a la asamblea de directivos; con
el objetivo de que aprueben la implementación de esta.
REFERENCIAS BIBLIOGRÁFICAS.
Molina Robles, F. (2014). Protocolos de red y esquemas de direccionamiento. En

Redes locales (pág. 124). RAMA.
Olifer, N., & Olifer, V. (2009). Evolucion de las redes de computadoras. En Redes
de Computadoras (pág. 23). Mc Graw Hill.
CISCO. (10 de diciembre de 2020). Conceptos de VPN e IPsec. Obtenido de
NetAcad CISCO CCNAv7, Curso Bridging ENSA:
https://contenthub.netacad.com/ensa-bridge/8.0.1
CISCO. (12 de enero de 2021). Conceptos de seguridad en la LAN. Obtenido de

NetAcad CISCO, CCNAv7 Curso Bridging ENSA:
https://contenthub.netacad.com/srwe-bridge/10.4.1
Cadenas, S. X., & Zaballos, D. (2006). Guía de Sistemas de Cableado Estructurado.
Barcelona: Ediciones Experiencia.
GLOSARIO.
ACL: (Lista de Control de Acceso) se usa para dar permisos de acceso apropiados
a un determinado objeto y filtrar el tráfico.
AES: (Advance Encryption Standard) Estándar de Cifrado Avanzado. También

conocido como Rijndael. es un esquema de cifrado por bloques adoptado como un
estándar de cifrado por el gobierno de los Estados Unidos
AH: (Authentication Header) Protocolo de la familia IPSec utilizado para garantizar

la integridad de los datos y la autenticación del Host.
Cifrado: un método que permite aumentar la seguridad de un mensaje o de un

archivo mediante la codificación del contenido.
Cisco: Empresa multinacional con sede en San José (California, Estados Unidos),
principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de
equipos de telecomunicaciones.
Enlace troncal: Es un enlace que se configura en uno o más puertos de

un switch para permitir el paso del tráfico de las distintas VLANs que hemos
configurado. Este enlace puede funcionar en una conexión de switch a otro switch o
bien, de un switch a un router,
Fast Ethernet: Ethernet de alta velocidad es el nombre de una serie de estándares

de IEEE de redes Ethernet de 100 Mbps (megabits por segundo).
IEEE: Instituto de Ingenieros Eléctricos y Electrónicos (USA). Su Comité de

Estándares para las Tecnologías Educativas trabaja con el objetivo de desarrollar
estándares técnicos, prácticas recomendadas y guías para la implementación
informática de sistemas de formación y educación.
IKE: (Internet Key Exchange). IKE establece una política de seguridad compartida
y autentica claves para los servicios que requieren claves utilizados en IPsec.
IP: (Internet Protocol): es un protocolo de comunicación de datos digitales

clasificado funcionalmente en la capa de red según el modelo internacional OSI.
IPv4: es la versión 4 del Protocolo IP (Internet Protocol). Ésta fue la primera versión
del protocolo que se implementó extensamente, y forma la base de Internet.
ISAKMP: Internet Security Association and Key Management Protocol es un

protocol criptográfico que constituye la base del protocolo de intercambio de claves
IKE. Está definido en el RFC 2408.
LAN: (Local Área Network) es la interconexión de varias computadoras y periféricos.
Su extensión está limitada físicamente a un edificio o a un entorno de 200 metros,
o con repetidores podría llegar a la distancia de un campo de 1 kilómetro. Su
aplicación más extendida es la interconexión de computadoras personales y
estaciones de trabajo en oficinas, fábricas, etc.
OSI: El modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open

System Interconnection) es el modelo de red descriptivo creado por la Organización
Internacional para la Estandarización lanzado en 1984. Es decir, es un marco de
referencia para la definición de arquitecturas de interconexión de sistemas de
comunicaciones.
OSPF: (Open Shortest Path First) protocolo de enrutamiento jerárquico de pasarela

interior que usa el algoritmo Dijkstra enlace para calcular la ruta más corta posible.
Packet Tracer: Herramienta de aprendizaje y simulación de redes interactiva para

losninstructores y alumnos de Cisco CCNA. Esta herramienta les permite a los
usuarios crear topologías de red, configurar dispositivos, insertar paquetes y simular
una red con múltiples representaciones visuales.
Protocolo: Conjunto de reglas usadas por computadoras para comunicarse unas

con otras a través de una red.
Router: Direccionador, ruteador o encaminador es un dispositivo de hardware para

interconexión de red de ordenadores que opera en la capa tres (nivel de red) de
OSI.
SHA: (Secure Hash Algorithm) un conjunto de funciones hash diseñado por la

Agencia de Seguridad Nacional de los Estados Unidos.
SSH: (Secure SHell) intérprete de órdenes segura. Es el nombre de un protocolo y

del programa que lo implementa, y sirve para acceder a máquinas remotas a través
de una red.
TELNET: (Telecommunication Network) es el nombre de un protocolo de red que

sirve para acceder mediante una red a otra máquina para manejarla remotamente
como si estuviéramos sentados delante de ella.
VLAN: (Virtual LAN, Red de Área Local Virtual) es un método de crear redes
lógicamente independientes dentro de una misma red física.
VPN: (Virtual Private Network) es una tecnología de red que permite una extensión
de la red local sobre una red pública o no controlada, como por ejemplo Internet.

2021 VPN GRE IPsec PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2021 VPN GRE IPsec PDF

Cargado por

Copyright:

Formatos disponibles

DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS

TRANSMITIDOS ENTRE LA SEDE PRINCIPAL EN BOGOTÁ D.C. Y LA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

SEMINARIO DE PROFUNDIZACIÓN PARA OPTAR AL TÍTULO

VoBo. Enero 22 de 2021, 4:50 pm.

ASESOR: IVÁN MÉNDEZ ALVARADO

UNIVERSIDAD COOPERATIVA DE COLOMBIA

A mi esposa e hijo por su compañía, sacrificios, amor y constante motivación, para

CAPITULO I. PLANTEAMIENTO DEL PROBLEMA. ........................................... 10

FIGURA 1. TIPOS DE VPN.................................................................................. 20

FIGURA 2. VPN SITIO A SITIO. .......................................................................... 21

FIGURA 3.VPN DE ACCESO REMOTO. ............................................................. 22

FIGURA 4. VPN EMPRESARIAL VS VPN PROVEEDOR DE SERVICIOS. ........ 23

FIGURA 5. CONEXIÓN VPN CON CLIENTE Y SIN CLIENTE. ........................... 24

FIGURA 6.PUERTA DE ENLACE VPN. ............................................................... 26

FIGURA 7. PROTOCOLO GRE. .......................................................................... 27

FIGURA 8. TOPOLOGÍA TÚNEL GRE. ............................................................... 28

FIGURA 9.CAPTURA DE PANTALLA DE WIRESHARK DE UN PAQUETE OSPF

HELLO ENVIADO UTILIZANDO GRE SOBRE IPSEC.................................. 29

FIGURA 10. TÚNELES DE CONCENTRADOR A DISPOSITIVO RADIAL DE

FIGURA 11.TÚNELES DE HUB A SPOKE Y ENTRE SPOKE DE DMVPN. ........ 31

FIGURA 12. INTERFAZ VIRTUAL DEL TÚNEL IPSEC. ...................................... 32

FIGURA 13. PROVEEDOR DE SERVICIOS QUE OFRECE VPN MPLS DE CAPA

FIGURA 14. ROUTER CISCO WRVS4400N WIRELESS-N ................................ 37

FIGURA 15. SWITCH HP 1405. ........................................................................... 37

FIGURA 16. TOPOLOGÍA SEDE PRINCIPAL MANANTIALES DE LOS ANDES

FIGURA 17.TOPOLOGÍA DE LA EMPRESA ....................................................... 44

FIGURA 18.ESTADO DE LA INTERFAZ DE TÚNEL EN EL ROUTER PRINCIPAL.

ROUTER PRINCIPAL ................................................................................... 48

FIGURA 20.CONFIGURACIÓN DEL ROUTING OSPF ........................................ 49

FIGURA 21.CONFIGURACIÓN DEL MÓDULO SECURITYK9 EN EL ROUTER

FIGURA 22. PARÁMETROS IPSEC CONFIGURADOS EN EL ROUTER

FIGURA 23.PARÁMETROS IPSEC CONFIGURADOS EN EL ROUTER PLANTA

FIGURA 24.MITIGACIÓN DE ATAQUES POR SATURACIÓN DE TABLA DE

DIRECCIONES MAC. ................................................................................... 55

FIGURA 25. CONFIGURACIÓN DE SEGURIDAD DEL PUERTO FAST

ETHERNET 0/1 DEL SWPRINCIPAL. .......................................................... 56

FIGURA 26.CONFIGURACIÓN DE SEGURIDAD DEL PUERTO FAST

ETHERNET 0/2 DEL SWPRINCIPAL. .......................................................... 57

FIGURA 27. DIRECCIÓN MAC DEL PC SERVIDOR. .......................................... 58

FIGURA 28. CONFIGURACIÓN DE LAS DIRECCIONES MAC EN EL SWITCH

FIGURA 29.DISEÑO VPN SITIO A SITIO DE LA EMPRESA MANANTIALES DE

LOS ANDES S.A.S ....................................................................................... 62

TABLA 1.RELACIÓN PHVA Y SGSI .................................................................... 11

TABLA 2. BENEFICIOS DE LAS VPN. ................................................................ 20

TABLA 3. COMPARACIÓN DE LAS IMPLEMENTACIONES DE ACCESO

REMOTO IPSEC Y SSL. .............................................................................. 25

TABLA 4. ASIGNACIÓN DE DIRECCIONES. ...................................................... 44

TABLA 5.PARÁMETROS DE POLÍTICA DE FASE 1 DE ISAKMP....................... 49

TABLA 6.PARÁMETROS DE POLÍTICA DE FASE 2 DE IPSEC. ........................ 50

TABLA 7. ASIGNACIÓN DE DIRECCIONES MAC EN LA CONFIGURACIÓN DE

SEGURIDAD DE PUERTOS DE LOS SWITCH. ........................................... 58

TABLA 7. MODOS DE VIOLACIÓN DE SEGURIDAD. ........................................ 59

El presente trabajo de investigación surgió a partir de la necesidad de proteger los

La metodología utilizada es de carácter empírico analítico porque la recopilación,

Por consiguiente, partiendo del trabajo realizado, se detectó la necesidad de

IPSec, Seguridad informática, GRE, red LAN, Cisco

The methodology used is of an empirical analytical nature because the collection,

La seguridad de la información como la seguridad informática, en las dos últimas

Adicional a lo anterior, muchas organizaciones requieren que los datos a transmitir

Por ende, a pesar de que muchas empresas no invierten en la seguridad de su

Lo anterior, ha conllevado a que empresas fabricantes de dispositivos de red y