Vaca Nuñez

UNIVERSIDAD AUTONOMA
GABRIEL RENE MORENO

FACULTAD DE INGENIERIA EN CIENCIAS
DE LA COMPUTACION Y TELECOMUNICACIONES
Proyecto
Red VPN para la consultora XTT SRL.
CARRERA : ING. EN REDES Y TELECOMUNICACIONES.

MATERIA : TALLER DE GRADO I
INTEGRANTES:
Juan Pablo Gutirrez
Silvia Justiniano Vaca
FECHA : 23/11/2013
Santa Cruz Bolivia
ndice
INTRODUCCIN...........................................................................................8
Red VPN para la consultora AT & Consult
CAPITULO 1................................................................................................ 9
INTRODUCIN AL PROYECTO........................................................................9
1.1.- DEFINICIN DEL PROBLEMA.................................................................9
1.1.1.- Situacin problemtica.....................................................................9
1.1.2.- Situacin deseada............................................................................9
1.1.3.- Objeto de la investigacin...............................................................10
1.2.- OBJETIVOS........................................................................................11
1.2.1.-Objetivo General.............................................................................11
1.2.2.- Objetivo especficos........................................................................11
1.3.- METODOLOGA..................................................................................12
1.4.- ALCANCE........................................................................................... 12
1.5.- JUSTIFICACIN..................................................................................13
CAPITULO 2............................................................................................... 14
EMPESA XTT............................................................................................. 14
2.1.- CONSULTORA XTT..............................................................................14
2.1.1.- Misin............................................................................................ 14
2.1.2.- Visin............................................................................................ 15
2.2.- Estructura Organizacional..................................................................15
2.3.- Ubicacin..........................................................................................18
CAPITULO 3............................................................................................... 19
VPN Y ENCRIPTACIN................................................................................19
3.1.- FUNCIONAMIENTO DE LAS VPNS.........................................................19
3.1.1.- Encriptacin con Clave Secreta........................................................20
3.1.2.- Encriptacin de Clave Pblica..........................................................20
3.2.- Clasificacin de las VPNs...................................................................22
3.2.1.- VPNs Seguras.................................................................................22
Pgina 1
3.2.2.- VPNs de confianza..........................................................................22
3.2.3.- VPNs segn su Arquitectura............................................................22
3.2.3.1.- VPNs de Acceso Remotos.............................................................23
3.2.3.2.- VPNs Punto a Punto.....................................................................23
3.2.3.3.- VPNs Interna...............................................................................23
3.3.- VPN IPSec.........................................................................................24
3.3.1.- Encapsulated Security Payload (ESP),..............................................25
Ilustracin 2 -........................................................................................... 25
3.3.2.- Authentication Header (AH),...........................................................26
Ilustracin 3 - Funcionamiento de una AH (Barrera, 2007)...........................26
3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP).27
3.4.- Security Association SA.....................................................................27
3.5.- Modo de Transporte...........................................................................28
3.6.- Modo Tnel.......................................................................................29
3.7.- Configuracin de VPN IPSec...............................................................31
3.8.- Filtrado de Paquetes IPSec...................................................................33
3.9.- Ventajas y Desventajas de usar IPSec.................................................33
3.9.1.- Ventajas de IPSec...........................................................................33
3.9.2.- Desventajas de IPSec......................................................................34
CAPITULO 4............................................................................................... 35
DEFINICIN DE REQUERIMIENTOS..............................................................35
4.1.- Identificacin de Requerimientos.......................................................35
4.1.1.- Red de Comunicaciones..................................................................35
4.1.2.- Adecuacin de Espacios fsicos........................................................35
4.1.3.- Equipamiento.................................................................................35
4.2.- Identificacin de requerimientos de administracin de la red VPN.......35
Pgina 2
4.3.- Descripcin de Requerimientos..........................................................36
4.3.1.- Calidad de servicio aplicada a la red local y enlace...........................36
4.3.2.- Cableado Estructurado....................................................................38
4.3.3.- Adecuacin de Espacios fsicos........................................................39
4.3.4.- Equipamiento.................................................................................40
CAPITULO 5............................................................................................... 41
ANLISIS DE RIESGOS................................................................................41
5.1.- Anlisis e Identificacin de Riesgos....................................................41
5.1.1.- Riesgos por Amenazas Naturales.....................................................41
5.1.2.- Riesgos por Factores Tecnolgicos...................................................41
5.1.3.- Riesgos por Amenazas en la Organizacin........................................42
5.1.4.- Riesgos por Amenazas a la Infraestructura......................................42
5.1.5.- Riesgos por Amenazas Humanas.....................................................42
5.1.6.- Riesgos por Amenazas de Ataques Intencionados.............................42
5.1.7.- Riesgos por Amenazas Polticas o legales........................................43
5.2.- Valoracin de los Riesgos...................................................................43
5.2.1.- Valoracin......................................................................................43
5.2.1.1.- Probabilidad................................................................................43
5.2.1.2.- Impacto.......................................................................................43
5.2.1.3.- Riesgo.........................................................................................45
5.3.- Tabla de Riesgos Cualitativa...............................................................46
CAPITULO 6............................................................................................... 49
DISEO DE LA RED....................................................................................49
6.1.- Diseo de la Red VPN........................................................................49
6.2.- Identificacin de actividades actuales de la Consultora.......................49
6.3.- Diseo lgico de la Red VPN...............................................................51
Pgina 3
6.4.- Diseo fsico de la Red VPN................................................................51
CAPITULO 7............................................................................................... 52
IMPLEMENTACIN Y CONFIGURACIN.........................................................52
7.1.- Implementacin................................................................................52
7.2.- Configuracin de la Red.....................................................................52
7.3.- Configuracin del Router MP1800 SERVICE_ISP.................................55
7.4.- Configuracin del Router MPSEC 3005 Snt-Cruz................................56
7.4.- Configuracin del Router MPSEC 3005 La-Paz...................................57
7.5.- Especificaciones de comandos............................................................58
7.6.- Captura de datos...............................................................................60
7.7.- Configuracin del sistema de Red.......................................................63
7.7.1.- Configuracin del Servidor DNS.......................................................63
7.7.2.- Configuracin del servidor Active Directory......................................70
7.7.3.- Configuracin de DHCP....................................................................75
CAPITULO 8............................................................................................... 77
EVALUACIN ECONMICA..........................................................................77
8.1.- Justificacin Econmica......................................................................77
8.2.- Costos de Adquisicin de los equipos.................................................77
8.3.- Costos de licencia de Software..........................................................79
8.4.- Costos de la Implementacin.............................................................79
8.5.- Costos Totales...................................................................................80
CONCLUSIONES.........................................................................................81
9.1.- Conclusin........................................................................................81
RECOMENDACIONES..................................................................................82
BIBLIOGRAFA........................................................................................... 83
ANEXOS.................................................................................................... 84
Pgina 4
Pgina 5
ndice de Ilustraciones
Pgina 6
ndice de Tablas
Tabla 1 Calidad de Servicio.............................................................32

Tabla 2 Cableado Estructurado.......................................................33
Tabla 3 Adecuacin de Espacios Fsicos.........................................34
Tabla 4 Equipamiento.....................................................................35
Tabla 5 Tabla de Probabilidad.........................................................38
Tabla 6 Tabla de Impacto................................................................38
Tabla 7 Tabla de Riesgo..................................................................39
Tabla 8 Matriz de Riesgo.................................................................39
Tabla 9 Identificacin de Activos....................................................42
Tabla 10 Costos de Equipos............................................................69
Tabla 11 Costos de Licencias de Software......................................70
Tabla 12 Costos de la Implementacion...........................................70
Tabla 13 Costos Totales..................................................................71
Pgina 7
INTRODUCCIN
Existe una gran diferencia en el acceso e infraestructura de tecnologas
de informacin y comunicacin entre los pases desarrollados y los que
estn en va de desarrollo.
La tecnologa, y como caso particular las redes, pueden considerarse
como herramientas para fortalecer los vnculos internos y externos de
las comunidades y facilitar su acceso a herramientas e informacin, as
como abrir espacios de trabajo para el intercambio de informacin.
La idea de realizar este trabajo surgi en la asignatura de Taller de
Grado I para poner en prctica los conocimientos adquiridos a lo largo
de la carrera de Ingeniera en Redes y Telecomunicaciones.
Tomamos la iniciativa de elaborar una Red Privada Virtual (Virtual Private
Network, VPN) que es una conexin entre dos puntos, que permite una
extensin segura de una red local LAN sobre una red pblica WAN
usando como medio la internet, esta medida surgi con la necesidad que
las redes de rea local superen la barrera de lo local permitiendo la
conectividad de personas y oficinas que se encuentran en otros edificios,
ciudades, universidades e incluso pases uniendo as redes LAN
separadas geogrficamente.
La tecnologa de red VPN permite enviar informacin privada de forma
segura por una red pblica. La red privada que se forma con el uso de la
VPN enva la informacin de manera segura entre estas dos ubicaciones
o redes que se establece mediante la creacin de un tnel. Un tnel VPN
conecta dos computadoras o redes y permite transmitir datos a travs
de Internet como si los puntos de cada extremo estuviesen dentro de
una misma red. No se trata literalmente de un tnel, sino que es una
conexin protegida mediante la encriptacin de los datos enviados o
mediante el uso de conexiones dedicadas entre ambas redes. Una VPN
no es ms que la creacin en una red pblica de un entorno de carcter
confidencial y privado que permitir trabajar al usuario como si estuviera
en su misma red local.
Pgina 8
CAPITULO 1
INTRODUCIN AL PROYECTO
1.1.- DEFINICIN DEL PROBLEMA

El servicio de consultora y asesoramiento tributario que presta la
consultora AT & Consult va cada da en crecida segn datos
proporcionados por dicha consultora en el ltimo trimestre del ao
2012 se dio un incremento de clientes en un 43% a comparacin
de su anterior gestin, debido a esto es que se vieron en la
necesidad de mejorar la seguridad de su actual base de datos.
1.1.1.- Situacin problemtica

Al fundarse la consultora no se lleg a prever su rpido
crecimiento y expansin de la misma, quedando su diseo inicial
para la comparticin de datos y recurso totalmente obsoleto,
adems de que la forma de intercambiar informacin de clientes
se hace de una forma bastante rustica e insegura.
Pgina 9
1.1.2.- Situacin deseada

Con la Implementacin de una Red VPN se busca que el
intercambio de datos (Planillas de clculo, Datos de los Clientes y
Base de datos generadas por los Software Da Vinci y Constans)
entre las dos sucursales con las que cuenta la consultora AT &
Consult, sea fcilmente accedidas desde cualquier dispositivo que
pertenezca a la Red VPN de la consultora restringiendo de esta
manera los accesos de elementos externos, accediendo
nicamente en horarios establecidos o de oficina.
1.1.3.- Objeto de la investigacin
Describir el objeto un esquema grfico.
Pgina 10
1.2.- OBJETIVOS
1.2.1.-Objetivo General
El Objetivo general es el de disear e implementar una Red
VPN para el intercambio seguro de datos (Planillas de
clculo, Datos de los Clientes y Base de datos generadas por
los Software Da Vinci y Constans) que ser de gran ayuda al
momento de reestructurar nuevos formularios y
expedientes, adems que ser indispensable al momento de
hacer una auditoria interna.
1.2.2.- Objetivo especficos
1. Realizar entrevistas al gerente y al personal

administrativo para obtener los
requerimientos que se necesiten para el
desarrollo de la red VPN.
2. Realizar un anlisis de todos los requerimientos
obtenidos.
3. Conocer los equipos, hardware y/o software que
se usan en una red VPN (IPSec) para su
correcta eleccin de Equipos.
4. Disear la Red VPN.
5. Realizar un anlisis de riesgos.
6. Anlisis de costos y beneficios de la
implementacin de la Red VPN.
Pgina 11
1.3.- METODOLOGA
La metodologa estar compuesta por 3 fases:
Fase 1 Analizar Requerimientos.
Analizar metas tcnicas, pros y contras.
Estudio sobre los recursos econmicos de la consultora, es
decir con cuanto capital desean apoyar la elaboracin de la
red VPN.
Estudiar los planos de los edificios para su correcto cableado
estructurado y ubicacin de dispositivos.
Fase 2 Diseo Fsico de la Red.

Seleccionar tecnologas (Sistemas Operativos y Estndares)
y dispositivos (Router y Switch) que actuaran en el desarrollo
de la red.
Verificar si se existe alguna red de cableado estructurado
que podramos utilizar, para de esta manera amortizar
costos.
Fase 3 Anlisis de riesgos del Diseo de la Red.

Probar el diseo de la Red VPN.
Documentar el diseo de la Red VPN.
1.4.- ALCANCE
Al implementar una red VPN se quiere proporcionar una conexin
segura y directa entre dos o ms sucursales con las que puedan
contar la consultora, usando como vinculo internet. Mediante el
uso especiales de protocolos de seguridad podemos restringir el
acceso y permitir que nicamente los miembros o personal de AT
& Consult puedan acceder a los servicios y recursos disponibles
compartidos de carcter privado de la Consultora.
Con la implementacin de una red VPN se busca crear un tnel
virtual entre los dos extremos de la red privada a travs de una
red pblica adems de usar sistemas de encriptacin y
Pgina 12
autentificacin que aseguren la confidencialidad e integridad de

los datos transmitidos a travs de esa red pblica.
1.5.- JUSTIFICACIN
Al ver los altos costos de inversin por parte de las empresas tanto
en Hardware como en Software en servicios de telecomunicaciones
que permitan crear redes de servicios, es que surge la tecnologa de
red VPN que permite, mediante una moderada inversin econmica
y utilizando como medio internet la creacin de redes privadas
virtuales, permitiendo as la comunicacin entre las diferentes
instalaciones y personal de la consultora ubicadas geogrficamente
distantes.
De esta manera se logra tener un mayor control sobre el flujo de la

informacin y proteger su base de datos de los clientes miembros
de AT & Consult.
Pgina 13
CAPITULO 2
EMPESA XTT
2.1.- CONSULTORA XTT.
Bajo la iniciativa visionaria del licenciado Vctor Hugo Justiniano es

que nace la consultora AT & Consult en 1988 con el objetivo de
poner a disposicin de las pequeas, medianas y grandes
empresas un servicio de consultora y asesora de mxima calidad
y eficacia que responda a sus necesidades.
Con una dilatada experiencia y especializado en la gestin de todo

tipo de proyectos de consultora de negocio y de empresa familiar
as como tambin de asesora tributaria, legal y laboral, este
despacho cuenta con un equipo de profesionales especialistas en
distintas materias que ofrecen una atencin personalizada y
soluciones estratgicas y eficaces con mximas garantas de xito.
2.1.1.- Misin
La misin de AT & Consult es conseguir la excelencia empresarial

de nuestros clientes ofreciendo una gestin de mxima calidad,
prestando un servicio con valor aadido, brindando un trato
Pgina 14
personalizado y poniendo a su disposicin a un equipo de

profesionales especializados y con una dilatada experiencia.
El objetivo prioritario de esta consultora es impulsar el crecimiento

empresarial de nuestros clientes en trminos de negocio y de
beneficio.
Para conseguir nuestro propsito, el equipo de profesionales

altamente cualificados de AT & Consult establece una relacin
prxima y cercana con sus clientes en la que la disponibilidad
absoluta y una comunicacin permanente y fluida permiten
resolver con eficacia y concisin todo tipo de situaciones,
manteniendo mxima discrecin y confidencialidad en el trato
personal y la informacin tratada.
2.1.2.- Visin
La visin de AT & Consult es convertirse en una consultora de
negocio y una asesora en materia tributaria, legal y laboral de
mxima calidad en el servicio, la gestin y el trato, que sea un
referente de profesionalidad y excelencia en su sector ya no slo
en Santa Cruz de la Sierra y La Paz, donde actualmente opera, sino
tambin en el resto del territorio Boliviano.
En AT & Consult centramos todos nuestros esfuerzos en ser fieles a

nuestro ambicioso proyecto de consultora de negocio y asesora
empresarial y trabajamos slida y firmemente para conseguir los
objetivos de nuestros clientes ya que su xito ser nuestro xito.
2.2.- Estructura Organizacional

La Estructura Organizacional de AT & Consult est conformada
por tres niveles jerrquicos.
Nivel I Direccin
Conformado por la gerencia general; siendo el gerente y
Pgina 15
presidente de la consultora, responsable de la

formulacin de polticas y estrategias orientadas a
asegurar una gestin eficiente y transparente, con el
propsito de satisfacer las necesidades de nuestros clientes,
apoyndolos en la bsqueda de su ventaja diferencial y xito
empresarial, y agregando valor, para su beneficio
Nivel II Apoyo tcnico Especializado

Conformado por el Asesor Legal y e l Asistente de
Administracin el cual se encarga de los trabajos que se
realizan de acuerdo con normas de auditora generalmente
aceptadas y consisten, por consiguiente, en el examen de los
estados contables de un ente con el fin de emitir una opinin
tcnica independiente o dictamen acerca de la razonabilidad
de las cifras que demuestran su patrimonio y composicin de
los resultados a lo largo de un periodo.
Nivel III Descentralizado

Conformado por los auditores de rea que son los
encargados de realizar una atencin personalizada y
soluciones estratgicas y eficaces con mximas garantas de
xito.
Organigrama de la Consultora.
Directorio Ejecutivo
Gerente General de Sucursal
Asesor Legal Asistente de

Administracin
Gerencia
General
Pgina 16
Auditores de
rea
Pgina 17
2.3.- Ubicacin
C. Beni Esq. Bolvar, Of. 102 Edif. Libertador.
Tel. / Fax: 3366470
Casilla de Correo: 1579
Email: [email protected]
Santa Cruz.
Ilustracin 1 Vista satelital de la Consultora (Google Maps, 2013)
Pgina 18
CAPITULO 3
VPN Y ENCRIPTACIN
3.1.- FUNCIONAMIENTO DE LAS VPNS
La comunicacin entre los dos extremos de la red privada a travs

de la red pblica se hace estableciendo tneles virtuales entre
esos dos puntos y usando sistemas de encriptacin y
autentificacin que aseguren la confidencialidad e integridad de
los datos transmitidos a travs de esa red pblica. Debido al uso
de estas redes pblicas, generalmente Internet, es necesario
prestar especial atencin a las cuestiones de seguridad para evitar
accesos no deseados.
La tecnologa de tneles (Tunneling) es un modo de envo de datos

en el que se encapsula un tipo de paquetes de datos dentro del
paquete de datos propio de algn protocolo de comunicaciones, y
al llegar a su destino, el paquete original es desempaquetado
volviendo as a su estado original.
En el traslado a travs de Internet, los paquetes viajan
encriptados, por este motivo, las tcnicas de autenticacin son
esenciales para el correcto funcionamiento de las VPNs, ya que se
aseguran a emisor y receptor que estn intercambiando
informacin con el usuario o dispositivo correcto.
Pgina 19
Todas las VPNs usan algn tipo de tecnologa de encriptacin, que

empaqueta los datos en un paquete seguro para su envo por la
red pblica.
La encriptacin hay que considerarla tan esencial como la
autenticacin, ya que permite proteger los datos transportados de
poder ser vistos y entendidos en el viaje de un extremo a otro de
la conexin.
Existen dos tipos de tcnicas de encriptacin que se usan en las
VPN: Encriptacin de clave secreta, o privada, y Encriptacin de
clave pblica. (Omar Vidal, 2008)
3.1.1.- Encriptacin con Clave Secreta
En este tipo de encriptacin se utiliza una contrasea secreta

conocida por todos los participantes que van a hacer uso de la
informacin encriptado. La contrasea se utiliza tanto para
encriptar como para desencriptar la informacin. Este tipo de
sistema tiene el problema que, al ser compartida por todos los
participantes y debe mantenerse secreta, al ser revelada, tiene
que ser cambiada y distribuida a los participantes, lo que puede
crear problemas de seguridad. (Omar Vidal, 2008)
3.1.2.- Encriptacin de Clave Pblica
Una Encriptacin de clave pblica implica la utilizacin de dos

claves, una pblica y una secreta. La primera es enviada a los
dems participantes. Al encriptar, se usa la clave privada propia y
la clave pblica del otro participante de la conversacin. Al recibir
la informacin, sta es desencriptada usando su propia clave
privada y la pblica del generador de la informacin. La gran
Pgina 20
desventaja de este tipo de encriptacin es que resulta ser ms

lenta que la de clave secreta.
En las redes virtuales, la encriptacin debe ser realizada en tiempo
real, de esta manera, los flujos de informacin encriptada a travs
de una red lo son utilizando encriptacin de clave secreta con
claves que son vlidas nicamente para la sesin usada en ese
momento. (Omar Vidal, 2008)
Pgina 21
3.2.- Clasificacin de las VPNs
3.2.1.- VPNs Seguras

Emplean protocolos para la creacin de tneles criptogrficos para
proporcionar confidencialidad, autenticacin e integridad de
mensajes, adems de una implementacin compleja que lleva a
que algunas de las tecnologas de VPN sean inseguras. Algunos
empleos de esto son las tecnologas (B. Alarcos, 2013):
IPSec
PPTP (Microsoft)
L2TP (Microsoft y CISCO)
3.2.2.- VPNs de confianza

En este tipo de VPNs no emplean protocolos criptogrficos, por la
confan en la capacidad que tiene la red un proveedor para
proteger nuestro trfico.
En este tipo de VPNs se encuentran los protocolos tecnologas (B.
Alarcos, 2013):
MPLS
L2F (Layer 2 Forwarding) desarrollado por Cisco.
3.2.3.- VPNs segn su Arquitectura

En funcin de las arquitecturas de conexin podemos distinguir
tecnologas (B. Alarcos, 2013):
Acceso remoto
Punto a punto
Interna
3.2.3.1.- VPNs de Acceso Remotos

Es, quiz, el modelo ms usado actualmente, donde los usuarios o
proveedores que se conectan con la empresa desde sitios remotos
Pgina 22
(domicilios, hotel, aviones, etc.) utilizando Internet como vnculo

de acceso, se autentican y consiguen un nivel de acceso similar al
que tienen en la red local de la empresa. Adems permite
reemplazar la infraestructura de acceso por marcado (mdem y
lneas telefnicas) tecnologas (B. Alarcos, 2013).
3.2.3.2.- VPNs Punto a Punto

Este tipo de conexin sirve para conectar oficinas remotas con la
sede dela organizacin, el servidor VPN (en la sede principal)
acepta las conexiones va Internet provenientes de los sitios y
establece el tnel VPN, donde los servidores de las sucursales se
conectan a Internet utilizando los servicios de su ISP.
Esto nos permite eliminar el coste de los enlaces punto a punto
tradicionales. A los clientes a veces se les denomina Road Warriors
tecnologas (B. Alarcos, 2013)
3.2.3.3.- VPNs Interna

El menos difundido de los tres. Es una variante del tipo acceso
remoto pero en vez de utilizar Internet como medio de conexin
emplea la propia LAN. Una red VPNs Interna nos permite aislar
zonas y servicios de la red interna, este procedimiento es muy
empleado para mejorar las prestaciones de seguridad de las redes
WiFi tecnologas (B. Alarcos, 2013).
3.3.- VPN IPSec

IPSec es el nuevo marco de seguridad IP, definido con el
advenimiento del IPv6. IPSec (de las siglas en ingls Internet
Protocol Security) es un conjunto de estndares abiertos del IETF
para incorporar servicios de seguridad en IP y que responde a la
necesidad creciente de garantizar un nivel de seguridad
Pgina 23
imprescindible para las comunicaciones entre empresas y

comercio electrnico, de red confidencialidad, integridad y
autenticacin independientemente de cual sea el medio de
transporte (Frame Relay, PPP, xDSL, ATM,). El objetivo para el
que fue diseado IPSec fue para las comunicaciones sobre el
protocolo de Internet (IP). IPSec y los protocolos que implementa
se han especificado en numerosos RFCs entre los que se
encuentran 1826, 1827, 2401, 2402, 2406, 2408, 4301 y 4309.
El protocolo IPSec permite definir un tnel entre dos pasarelas.
Una pasarela IPSec consistira normalmente en un router de
acceso o un cortafuegos en el que est implementado el protocolo
IPSec. Las pasarelas IPSec estn situadas entre la red privada del
usuario y la red compartida del operador. Adems, como trabaja a
nivel IP, es transparente a la aplicacin, ya que esta no necesita
modificacin alguna, y ni siquiera se entera de la existencia de
criptografa intermedia, a diferencia de protocolos de nivel de
transporte, como son los tneles sobre TCP (SSL, SSH).
IPsec proporciona:
Confidencialidad
Integridad
Autenticacin.
Usando:
Algoritmos de cifrado (DES, 3DES, IDEA, Blowfish).
Algoritmos de hash (MD5, SHA-1).
Tecnologas de clave pblica (RSA).
Certificados digitales.
IPsec utiliza dos protocolos para la proteccin de los paquetes IP:

Cargo de Seguridad Encapsulado (ESP: Encapsulated Security
Payload) y Cabecera de Autenticacin (AH: Authentication
Header). Adems de un protocolo de seguridad de claves:
Intercambio de llaves de internet (Mansilla y Colombres, 2009).
3.3.1.- Encapsulated Security Payload (ESP), que protege

los datos del paquete IP de interferencias de terceros, cifrando el
Pgina 24
contenido utilizando algoritmos de criptografa simtrica (como

Blowfish, 3DES).
Los distintos tipos de ESP aplicables deben seguir conformar con el
RFC2406. Una cabecera ESP tambin puede proveer autenticacin
para el cargo (pero no la cabecera exterior).
ESP puede proveer autenticacin, integridad, proteccin a la
rplica, y confidencialidad de los datos (asegura todo lo que sigue
a la cabecera en el paquete). La proteccin a la rplica requiere
autenticacin e integridad (stas dos van siempre juntas). La
confidencialidad (cifrado) se puede usar con o sin autenticacin
y/o integridad. Del mismo modo, puede usar la autenticacin y/o la
integridad con o sin la confidencialidad.
Ilustracin 2 - Funcionamiento de una ESP (Barrera, 2007).
3.3.2.- Authentication Header (AH), que protege la

cabecera del paquete IP de interferencias de terceros as como
contra la falsificacin (spoofing), calculando una suma de
comprobacin criptogrfica y aplicando a los campos de cabecera
IP una funcin hash segura. Detrs de todo esto va una cabecera
adicional que contiene el hash para permitir la validacin de la
informacin que contiene el paquete.
Pgina 25
Hay varios RFCs diferentes que ofrecen una eleccin de algoritmos

para AH, sin embargo todos deben seguir las lneas especificadas
en el RFC2402.
AH provee autenticacin, integridad, y proteccin a la rplica (pero

no confidencialidad). Su principal diferencia con ESP es que AH
tambin asegura partes de la cabecera IP del paquete (como las
direcciones de origen o destino).
Ilustracin 3 - Funcionamiento de una AH (Barrera, 2007).
Pgina 26
3.3.4. - Internet Security Association Key Mamagement

Protocol (ISAKMP)
Es utilizado por AH y ESP para la administracin de claves. ISAKMP

no define por s mismo los algoritmos de generacin de claves,
sino que permite el uso de distintos tipos de algoritmos, aunque el
estndar pide un set mnimo en las implementaciones. Para el
intercambio de claves, se utiliza el protocolo IKE (Internet Key
Exchange), esto se hace por separado para independizar el
mtodo de intercambio de claves del protocolo IPSec. La
estandarizacin de IKE permite la interoperabilidad entre distintos
sistemas, la implementacin de IKE de FreeS/WAN se llama Pluto
(Barrera, 2007).
3.4.- Security Association SA

Una Asociacin de Seguridad (SA: Security Association) es un
enlace seguro de IPsec definido por un nico flujo unidireccional de
datos desde un nico punto hasta otro. Consiste en el acuerdo de
las dos partes comunicantes en el mtodo utilizado para la
comunicacin segura.
Todo el flujo de trfico sobre un SA se trata del mismo modo. El
trfico puede ser entre dos hosts, entre un host y una pasarela de
seguridad (Security Gateway) o entre dos pasarelas de seguridad.
El establecimiento del tnel IPSec se hace bsicamente en dos

fases:
1. IKE - Fase 1: los gateways negocian un canal bidireccional
(SA) que se utilizar para crear los canales de la siguiente
fase. Se presentan los algoritmos de cifrado probables, y
las claves de autenticacin para armar los tneles IPSec.
Pgina 27
2. IKE - Fase 2: usando el canal generado en la fase uno, se

establece un par de SAs (unidireccionales, uno para cada
sentido) con los parmetros de refresco de claves, mtodo
de cifrado, y el protocolo a usar: AH o ESP.
Para comprender cmo funciona el protocolo IKE, debemos
conocer los dos modos de funcionamiento en los que puede
trabajar IPSec: Modo de Transporte y modo de Tnel (Barrera,
2007).
3.5.- Modo de Transporte
En modo transporte, slo la carga til (los datos que se

transfieren) del paquete IP es cifrada o autenticada. El
enrutamiento permanece intacto, ya que no se modifica ni se
cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera
de autenticacin (AH), las direcciones IP no pueden ser
traducidas, ya que eso invalidara el hash. Las capas de
transporte y aplicacin estn siempre aseguradas por un hash,
de forma que no pueden ser modificadas de ninguna manera
(por ejemplo traduciendo los nmeros de puerto TCP y UDP). El
modo transporte se utiliza para comunicaciones ordenador a
ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha
sido definida por RFCs que describen el mecanismo de NAT
transversal. En este modo de funcionamiento de SA, las
cabeceras de seguridad se aaden entre la cabecera de la capa
de red IP y la cabecera de transporte (TCP o UDP), garantizando
la seguridad al paquete IP sin cabecera (Barrera, 2007).
Paquete IP en IPSec para Modo Transporte:
Pgina 28
Ilustracin 4 Cabeceras de paquetes en modo de transporte de AH y ESP

(Barrera, 2007).
3.6.- Modo Tnel
En modo Tnel el contenido del datagrama AH o ESP es un

datagrama IP completo, incluida la cabecera IP original. As, se
toma un datagrama IP al cual se aade inicialmente una cabecera
AH o ESP, posteriormente se aade una nueva cabecera IP que es
la que se utiliza para encaminar los paquetes a travs de la red. El
modo tnel se usa normalmente cuando el destino final de los
datos no coincide con el dispositivo que realiza las funciones IPSec.
En este caso, las cabeceras de seguridad engloban tambin a la
cabecera IP original del paquete IP, teniendo que aadir una nueva
cabecera IP que cubre solamente el salto al otro extremo de la
conexin segura (Barrera, 2007).
Paquete IP en IPSec para Modo Tnel:
Ilustracin 5 - Cabeceras de paquetes en modo de tunel de AH y ESP

(Barrera, 2007).
Pgina 29
Cada paquete IP se asigna a una SA mediante tres campos:

Direccin IP del Destino, ndice del Parmetro de Seguridad (SPI:
Security Parameter Index) y Protocolo de Seguridad (AH o ESP).
Sin embargo, el protocolo no estipula cmo se han de autentificar

los pares ni cmo se intercambian las claves de sesin. Estas
tareas son gestionadas por el protocolo de intercambio de claves
de Internet IKE (Internet Key Exchange).
Pgina 30
IKE permite que dos puntos extremos puedan establecer

conexiones seguras, utilizando la infraestructura de llaves pre
compartidas o llaves pblicas (PKI), certificados digitales
administrados por una autoridad certificadora un servicio externo
o interno que registra las llaves pblicas. IKE permite tambin que
una red privada virtual (VPN) pueda ampliarse a cientos de puntos
extremos, mediante el uso del equivalente a una tarjeta de
identificacin digital que identifica cada punto extremo (Barrera,
2007).
Ilustracin 6 - Funcionamiento del protocolo IKE.
Ilustracin 6 Funcionamiento del protocolo IKE (Barrera, 2007).
Pgina 31
3.7.- Configuracin de VPN IPSec
La forma en la que se configuran los sistemas IPSec contiene

algunas recomendaciones importantes sobre cmo se debera
implementar para evitar al mximo la confusin, esta
recomendacin es por parte de la RFC.
Existen dos entidades administrativas que controlan lo que le
ocurre a un paquete. Una es la Base de Datos de Asociacin de la
Seguridad (SAD, "Security Association Database", llamado TDB o
tabla TDB en el cdigo fuente de IPSec de OpenBSD), y el otro es
la Base de Datos de Poltica de la Seguridad (SPD, "Security
Policy Database").
Las dos se parecen en que, dado un nmero de selectores que
describan algo de trfico, entregarn una entrada que describa el
proceso necesario. Sin embargo, SPD se elimina a dos pasos del
proceso: SPD se usa para paquetes salientes, para decidir qu
entradas SAD se deben usar, y qu entradas SAD describen el
proceso y sus parmetros. Las entradas SPD especifican las
entradas SAD existentes a usar (si es un haz puede haber ms
de una), pero si no hay una que se pueda usar, entonces se usa
para crear otras nuevas. Los campos de SA que se crean se
pueden tomar de la entrada SPD o del paquete que inici la
creacin.
Los paquetes salientes van desde la entrada SPD a la especificada
de SA, para obtener parmetros de codificacin. Los paquetes
entrantes obtienen la SA correcta directamente, usando el tro
SPI/DestIP/Protocolo, y de ah van a la entrada SPD.
SPD tambin puede especificar qu trfico debera circunvalar
IPSec, y cul se debera dejar caer, as que tambin debe ser
consultado para trfico no IPSec entrante. Las entradas SPD se
Pgina 32
deben ordenar de forma explcita, ya que varias podran coincidir

con un paquete particular, y el proceso debe ser reproducible.
Se puede pensar en SPD como algo parecido a un filtro de

paquetes, en el que las acciones que se deciden son la activacin
de procesos SA. Los selectores pueden incluir direcciones de
origen y destino, nmeros de puertos si fueran relevantes,
nombres de anfitriones, niveles de sensibilidad de seguridad,
protocolos, etc...
Una entrada SAD incluye:
Direccin IP de destino
Protocolo IPSec (SA o ESP)
SPI (cookie)
Contador de secuencias
Indicador de secuencia O/F
Ventana de informacin anti-rplica
Tipo de AH e informacin
Tipo de ESP e informacin
Informacin sobre el tiempo de vida
Indicadores de modos tnel/transporte
Informacin sobre el camino MTU
Una entrada SPD contiene:
Puntero a SAs activas
Campos de selector
Cada SA puede definir una cabecera ESP y una cabecera AH. Una
sesin de IPSec debe tener una de las dos o ambas, pero no se
puede definir sin ninguna de las dos (en caso contrario no habra
cabeceras para especificar el SPI que deba buscar la SA). El RFC no
dice qu sucedera si las cabeceras AH y ESP estuvieran en
desacuerdo sobre el valor de SPI. Se puede pensar que esto
implicara mltiples SAs en un haz (Caire, 2006).
Pgina 33
3.8.- Filtrado de Paquetes IPSec
Los protocolos AH y ESP estn implementados sobre la capa IP, AH

es el protocolo IP 51 y ESP es el protocolo IP 50. El protocolo
ISAKMP usa el puerto UDP 500 para envo y recepcin. En el caso
en que se tenga un firewall delante del Gateway de seguridad,
habr que tener en cuenta estos protocolos para su filtrado
(Herrera, 2003).
3.9.- Ventajas y Desventajas de usar IPSec
3.9.1.- Ventajas de IPSec

IPSec ofrece confidencialidad (cifrado),
autenticacin e integridad.
Basado en estndares y muy adecuado para
trficos totalmente IP.
IPSec est debajo de la capa de transporte, por
lo que resulta transparente para las aplicaciones.
IPSec puede ser transparente a los usuarios
finales.
Compatible con la infraestructura de claves
pblicas.
Provee un alto grado de encriptacin a bajo
nivel.
Estndar abierto del sector. IPSec proporciona
una alternativa de estndar industrial abierto ante
las tecnologas de cifrado IP patentadas. Los
administradores de la red aprovechan la
interoperabilidad resultante.
Pgina 34
3.9.2.- Desventajas de IPSec

En la mayora de los casos, su implementacin
necesita modificaciones crticas al kernell.
IPSec no es seguro si el sistema no lo es. Los
gateways de seguridad deben estar en perfectas
condiciones para poder confiar en el buen
funcionamiento de IPSec
Puede ser vulnerable a ataques del tipo man in
the middle y de denegacin de servicio (DoS).
Es un protocolo complejo de entender, su
configuracin es complicada y adems requiere
una configuracin minuciosa en el cliente. Su
administracin suele ser lenta y complicada.
Tiene un alto coste de implementacin y de
mantenimiento.
IPSec autentica mquinas, no usuarios: el
concepto de identificacin y contrasea de
usuarios no es entendido por IPSec, si lo que se
necesita es limitar el acceso a recursos
dependiendo del usuario que quiere ingresar,
entonces habr que utilizar otros mecanismos de
autenticacin en combinacin con IPSec.
Problemas con traduccin de direcciones NAT
(Network AddressTranslation).
Diferentes implementaciones de distintos
proveedores pueden ser incompatibles entre si.
Necesita del uso de muchos puertos y protocolos
en el sistema hardware que lo implemente (router,
firewall,...).
Pgina 35
CAPITULO 4
DEFINICIN DE REQUERIMIENTOS
4.1.- Identificacin de Requerimientos

4.1.1.- Red de Comunicaciones
Calidad de servicio aplicada a la red local y enlace
Cableado estructurado 5e+ o superior
4.1.2.- Adecuacin de Espacios fsicos

Acondicionamiento Arquitectnico
Automatizacin
4.1.3.- Equipamiento
Sistema de Dominio
Servidores de Sucursales
4.2.- Identificacin de requerimientos de administracin de

la red VPN.
El administrador de la red tiene como obligacin de aprender el uso y
configuracin de los equipos instalados, adems se es imprescindible el
mantenimiento de los equipos para su ptimo rendimiento, el
administrador de la red VPN requiere las siguientes capacidades:
Pgina 36
Mantener la infraestructura de la red para cumplir con los

requerimientos estratgicos de la empresa.
Asegurar la calidad de servicio (QoS) requerida para el
trfico de datos.
Garantizar el funcionamiento de la red.
4.3.- Descripcin de Requerimientos.
4.3.1.- Calidad de servicio aplicada a la red local y

enlace
Descripcin Permitir la transferencia de datos con gran

velocidad en el entorno de la red.
Precondicin
Contar con una conexin de ISP de alta
velocidad.
Secuencia Paso Accin
Normal 1 El trabajador accede desde su

ordenador a su servidor local.
2 Puede realizar cambios a los

documentos guardados en el servidor
local dependiendo de su
configuracin y restricciones.
3 El trabajador accede desde su

ordenador al servidor de la otra
sucursal.
Pgina 37
4 Puede realizar cambios a los

documentos guardados en el servidor
de la otra sucursal dependiendo de
su configuracin y restricciones.
Frecuencia Accesos de 1 15 veces al da

esperada
Urgencia Muy Alta
Tabla 1 Calidad de Servicio
Pgina 38
4.3.2.- Cableado Estructurado
Descripcin Establecimiento del medio fsico en el cual

se proceder la transferencia de datos.
Si existe un cableado en uso ver su

eficiencia y potenciar al uso que deseamos.
Precondicin
Medio fsico, cable categora 5, o redes
inalmbricas.
Normal 1 Conexin a un dispositivo switch o

router.
2 Establece normas y polticas de

conectividad fsica.
3 Conexin a travs de conectores RJ45

o Conexin inalmbrica
4 Guarda la configuracin.
Frecuencia Encendido 1 3 veces al da

esperada
Urgencia Alta
Tabla 2 Cableado Estructurado
Pgina 39
4.3.3.- Adecuacin de Espacios fsicos
Descripcin Permitir adecuar el entorno dela red VPN en

acondicionamiento arquitectnico y equipos.
Precondicin
Instalacin elctrica.
Normal 1 Acondicionamiento de limpieza de

equipos de comunicacin.
2 Acondicionamiento del clima, a

travs de aires acondicionado.
3 Capacitacin al personal mediante

constantes mensajes de correo
interno.
Frecuencia 1 2 veces al da
esperada
Urgencia Alta
Tabla 3 Adecuacin de Espacios Fsicos
Pgina 40
4.3.4.- Equipamiento
Descripcin Seleccin adecuada de los dispositivos parte

de la red VPN.
Precondicin
Instalacin de una red punto a punto con
protocolo IPSec.
Normal 1 Configurar los parmetros de un

tnel VPN en un router.
2 Verificar la autentificacin,
confidencialidad, integridad y
encriptacin del protocolo.
3 Configurar los parmetros de un PC

cliente remoto con Windows XP.
Frecuencia 1 2 veces al mes

esperada
Urgencia Alta
Tabla 4 Equipamiento
Pgina 41
CAPITULO 5
ANLISIS DE RIESGOS
5.1.- Anlisis e Identificacin de Riesgos

Para el anlisis de riesgos nos basamos en los principios de la Norma
Australiana As Nzs 4360. Este Estndar provee una gua genrica para el
establecimiento e implementacin el proceso de administracin de
riesgos involucrando el establecimiento del contexto y la identificacin,
anlisis, evaluacin, tratamiento, comunicacin y el monitoreo en curso
de los riegos.
Los riesgos que se han podido detectar en la Consultora AT & Consult
son los siguientes:
5.1.1.- Riesgos por Amenazas Naturales

1) Lluvias torrenciales
2) Vientos Fuertes
3) Tormentas elctricas
4) Incendio
5.1.2.- Riesgos por Factores Tecnolgicos

5) Fallas en los equipos (PCs, UPSs, Switches, etc.)
6) Fallas en la red.
Pgina 42
7) Uso de Software ilegal, no autorizado o pirata.

8) Spam.
9) Mal funcionamiento del dispositivo de Backup.
10) Ausencia de polticas de Backups.
11) Falta de actualizacin de antivirus en las PCs.
12) Ausencia de polticas de cuentas de usuario.
13) Ausencia de polticas de acceso a ciertas pginas Web.
14) Abuso de privilegios de acceso al sistema.
5.1.3.- Riesgos por Amenazas en la Organizacin

15) Excesiva Burocracia en la adquisicin de equipos.
16) Excesiva Burocracia en la contratacin de personal.
17) Incumplimiento del proveedor del servicio.
18) Riesgo de liquidez.
5.1.4.- Riesgos por Amenazas a la Infraestructura

19) Fallos de servicios de comunicaciones.
20) Condiciones inadecuadas de temperatura o humedad.
21) Sobrecargas elctricas.
22) Cortes de energa.
23) Ambiente inadecuado para el alojamiento de los servidores.
24) No se cuenta con extintor.
5.1.5.- Riesgos por Amenazas Humanas

25) Personal no capacitado.
26) Errores de los administradores.
27) Errores de mantenimiento o actualizacin.
28) Indisponibilidad del personal.
29) Fraude de empleados.
30) El personal no cumple con las pautas de seguridad.
31) Exposicin de la informacin de sus cuentas.
5.1.6.- Riesgos por Amenazas de Ataques

Intencionados
32) Manipulacin indebida de la informacin.
Pgina 43
33) Suplantacin de identidad.

34) Uso de recursos para fines no previstos.
35) Accesos no autorizados.
36) Interceptacin de informacin.
37) Robo.
38) Ataque destructivo de informacin.
39) Destruccin del cableado de las redes.
40) Destruccin del cableado elctrico.
5.1.7.- Riesgos por Amenazas Polticas o legales

41) Cambio o Actualizacin de los sistemas de Servicios de
Impuestos.
42) Cambio de personal debido al cambio de directiva.
5.2.- Valoracin de los Riesgos

5.2.1.- Valoracin
5.2.1.1.- Probabilidad
Probabilidad Valor
Casi certeza 5
Probable 4
Posible 3
Improbable 2
Raro 1
Tabla 5 Tabla de Probabilidad
5.2.1.2.- Impacto
Impacto Valor
Catastrfico 5
Mayor 4
Moderado 3
Pgina 44
Menor 2
Insignificante 1
Tabla 6 Tabla de Impacto
Pgina 45
5.2.1.3.- Riesgo
Riesgo
Extremo
Alto
Moderado
Bajo
Tabla 7 Tabla de Riesgo
Tabla 8 Matriz de Riesgo
Pgina 46
5.3.- Tabla de Riesgos Cualitativa

La siguiente tabla de riesgos se ha elaborado a travs de la
Herramienta Methodware Pro AuditAdvisor. Para ello se tom la
valoracin mostrada en las tablas anteriores, en base a ella se
elabor las tabla de riesgos.
Severidad Riesg
Consecuenci Probabilid Riesgo o
Nombre a Abs. ad Abs. Abs. Abs.
1 Lluvias Torrenciales 3 3 Alto
9,0
2 Vientos Fuertes 2 2 Bajo
4,0
3 Tormentas Elctricas 4 2 Alto
8,0
4 Incendio 5 3 Extremo
15,0
5 Fallas en los equipos
(PC's, medidores,
contadores, etc.) 3 5 Extremo
15,0
6 Fallas en la red 4 3 Alto
12,0
7 Uso de Software ilegal, no
autorizado o pirata. 2 3 Moderado
6,0
8 Spam
9 Mal funcionamiento de
dispositivo de backup. 1 1 Bajo
1,0
10 Ausencia de polticas de
Backups.
2 1 Bajo
2,0
11 Falta de Actualizacin de
4 3 Alto
antivirus en las PCs 12,0
12 Ausencia de polticas de 3 3 Alto 9,0
cuentas de usuario.
Pgina 47
13 Ausencia de polticas de
acceso a ciertas pginas
4 3 Alto
Web. 12,0
14 Abuso de privilegios de
acceso al sistema 3 2 Moderado
6,0
15 Excesiva Burocracia en la
adquisicin de equipos.
4 3 Alto
12,0
16 Excesiva Burocracia en la
contratacin de personal. 3 2 Moderado
6,0
17 Incumplimiento del
proveedor de servicio 5 2 Alto
10,0
18 Riesgo de liquidez 2 2 Bajo
4,0
19 Fallos de servicios de
comunicaciones. 2 3 Moderado
6,0
20 Condiciones inadecuadas
de temperaturas o
humedad. 3 2 Moderado
6,0
21 Sobrecargas elctricas. 3 2 Moderado
6,0
22 Cortes de energas. 5 1 Moderado
5,0
23 Ambiente inadecuado
para alojamiento de
servidores. 5 5 Extremo
25,0
24 No se cuenta con extintor. 3 3 Alto
9,0
25 Personal no capacitado. 4 3 Alto
12,0
26 Errores del administrador. 3 3 Alto
9,0
27 Errores de mantenimiento
o actualizacin. 3 3 Alto
9,0
Pgina 48
28 Indisponibilidad del
personal 2 3 Moderado
6,0
29 Fraude de empleados. 3 2 Moderado
6,0
30 El personal no cumple con
las pautas de seguridad. 3 2 Moderado
6,0
31 Exposicin de la
informacin de sus
cuentas 2 2 Bajo
4,0
32 Manipulacin indebida de
la informacin 3 3 Alto
9,0
33 Suplantacin de
Identidad. 3 2 Moderado
6,0
34 Uso de recursos para
fines no previstos. 4 2 Moderado
8,0
35 Accesos no Autorizados. 3 2 Moderado
6,0
36 Interceptacin de la
informacin. 5 1 Moderado
5,0
37 Robo 4 3 Alto
12,0
38 Ataque destructivo de
informaciones. 3 3 Alto
9,0
39 Destruccin del cableado
de las redes 4 2 Moderado
12,0
40 Destruccin del cableado
elctrico 3 2 Moderado
6,0
41 Cambio o actualizacin de
los sistemas de Servicios
de Impuestos. 3 2 Moderado
6,0
42 Cambio de personal 3 3 Moderado 9,0
Pgina 49
debido al cambio de
directiva.
Tabla 9 Identificacin de Activos
CAPITULO 6
DISEO DE LA RED
6.1.- Diseo de la Red VPN

A continuacin se explicara el funcionamiento de la red con la que
cuenta la consultora AT & Consult.
6.2.- Identificacin de actividades actuales de la Consultora

Todos los ordenadores tienen acceso libre a internet permitiendo el
uso de pginas Web contra producentes como el Facebook y
YouTube por nombrar algunas.
El sistema operativo con el que cuentan los ordenadores es el
Windows 7 y el paquete Office 2010 en los que ocupan en su
mayor parte las herramientas de Word, Excel y Outlook. Adems
Pgina 50
de los programas contables como el Da Vinci V-2.2.1.0 y el

Constam.
La configuracin del sistema de la red actual es la de grupo de
trabajo o work group en la que todos los ordenadores que
pertenecen a una sucursal es decir a una red LAN se encuentran
enlazados entre s, permitiendo as el acceso de todos los
documentos compartidos sin ningn tipo de restriccin de
jerarqua del personal.
El intercambio de informacin y consultas entre los trabajadores
de ambas sucursales se realiza mediante correo electrnico las
cuales cada trabajador es dueo y administrador de sus cuentas
de correo electrnico y al momento de retirarse de la consultora se
queda con dicha cuenta de correo cometiendo tal vez
involuntariamente el delito de robo de informacin.
El cableado estructurado es de topologa estrella y se encuentra
en buenas condiciones para la implementacin de la Red VPN.
Pgina 51
6.3.- Diseo lgico de la Red VPN

Para el diseo lgico de la red VPN se tendr que modificar
primero la red LAN de cada sucursal se habr instalar un servidor,
crear un dominio del mismo para asignar cuentas de usuarios,
tambin ser necesario configurar los servicios de DHCP, servidor
de DNS y Active Directory. Despus se proceder a las
configuraciones de la Red VPN en sus respectivos routers, todo
este trabajo debe ser realizado por el administrador de red
siguiendo los pasos que se detallaran en el siguiente captulo.
6.4.- Diseo fsico de la Red VPN

Para el diseo fsico de la red VPN despus de una previa
evaluacin se decidi que el cableado estructurado de la
consultora se encuentra en condiciones adecuadas para la
implementacin de la red VPN, solo ser necesario la adquisicin
del router marca MAIPU modelo MPSEC VPN3005, puesto que esta
tiene un switch con los puertos necesarios para cada ordenador y
adems tiene un router que le fue proporcionado por la empresa
proveedora de internet que es por donde realizaremos nuestro
tnel para enlazar ambas sucursales.
La estructura que deber tener la red y los procedimientos que
sern necesarios para su correcto funcionamiento debe ser
realizado por el administrador de red siguiendo los pasos que se
detallaran en el siguiente captulo.
Pgina 52
CAPITULO 7
IMPLEMENTACIN Y CONFIGURACIN
7.1.- Implementacin
Antes que empecemos a configurar las opciones de red debemos
aclarar que los pasos a seguir se desarrollaran en un simulador
puesto que debemos presentar la propuesta a la consultora para
su posterior aprobacin.
7.2.- Configuracin de la Red

Podemos simular la configuracin de la red VPN usando los routers
que se encuentran en los laboratorios de la carrera de ingeniera
en Redes y Telecomunicaciones para ello necesitaremos:
o DOS SERVIDORES VPN MARCA MAIPU MODELO MPSEC VPN3005.

o UN ROUTER 2FETH+8LAN, MARCA MAIPU MODELO MP1800-3.
o UN HUB.
o TRES COMPUTADORES.
Los servidores MPSEC 3005 son los que se pretende colocar
en cada sucursal para la configuracin del tnel VPN.
El router MP1800 simulara a un servidor ISP de Internet, la
configuracin que se realizara en este router no se har en
la implementacin puesto que el servidor de ISP proporciona
sus propias direcciones IP.
El Hub es un dispositivo de capa 1, aprovechando este
concepto y con la ayuda del programa Wireshark
Pgina 53
analizaremos el trfico de red para comprobar si nuestra red

VPN en realidad encripta los paquetes de datos y las
direcciones IP de origen y destino.
Pgina 54
Los tres computadores no servirn de interfaz visual para la

configuracin de los routers, sern colocados uno a cada
extremo del tnel VPN y un computador conectado al HUB
para ver el flujo y la captura de paquetes de datos atraves
del Wireshark y comprobar de esta manera que nuestra red
VPN funciona.
Ilustracin 7 Esquema lgico de la Red VPN.
Pgina 55
7.3.- Configuracin del Router MP1800 SERVICE_ISP
El router MP1800 como lo mencionamos anteriormente nos

simulara el servidor de internet o ISP, debido a esto es que al
momento de implementar la red VPN en la consultora no ser
necesario configurar este router puesto que las direcciones le son
asignadas por el proveedor de internet, en el ordenador PC2
tendremos instalado un emulador de interfaz del Router, en
nuestro caso usaremos el Putty que nos ser de mucha, para la
prctica asignaremos las siguientes direcciones IP:
Puerto FastEthernet0/0
IP y Mascara de Red: 203.25.25.254 y 255.255.255.0
Ambas direcciones IP son pblicas, es decir son las que se

mostrara como direcciones de la red VPN, los comandos para la
configuracin del Router son los siguientes:
SERVICE_ISP>enable
SERVICE_ISP #configure terminal
SERVICE_ISP (config)# interface FastEthernet0/0
SERVICE_ISP (config-if)#ip address 203.25.25.254 255.255.255.0
SERVICE_ISP (config-if)# no shutdown
SERVICE_ISP (config-if)#exit
SERVICE_ISP (config)# interface FastEthernet0/1
SERVICE_ISP (config-if)# ip address 201.18.8.254 255.255.255.0
SERVICE_ISP (config-if)# no shutdown
SERVICE_ISP (config-if)#exit
Pgina 56
7.4.- Configuracin del Router MPSEC 3005 Snt-Cruz.

Este router ser instalado en una de las sucursales, mas
propiamente en la sucursal Santa Cruz, conectando el puerto
consola con el ordenador PC2 podremos realizar las
configuraciones correspondientes, asignaremos las siguientes
direcciones IP:
Direccin IP Privada
Direccin IP Pblica
Los comandos para la configuracin del Router son los siguientes:
ROUTER_Snt-Cruz>enable
ROUTER_Snt-Cruz # configure terminal
ROUTER_Snt-Cruz (config)# interface FastEthernet0/0
ROUTER_Snt-Cruz (config-if)# ip address 192.168.8.1 255.255.255.0
ROUTER_Snt-Cruz (config-if)#no shutdown
ROUTER_Snt-Cruz (config-if)# exit
ROUTER_Snt-Cruz (config)# interface FastEthernet0/1
ROUTER_Snt-Cruz (config-if)# ip address 203.25.25.1 255.255.255.0
ROUTER_Snt-Cruz (config-if)#no shutdown
ROUTER_Snt-Cruz (config-if)# exit
ROUTER_Snt-Cruz (config)# crypto ike key key123 address 201.18.8.1
ROUTER_Snt-Cruz (config)# crypto tunnel tun1
ROUTER_Snt-Cruz (config-tunnel)#peer address 201.18.8.1
ROUTER_Snt-Cruz (config-tunnel)#local address 203.25.25.1
ROUTER_Snt-Cruz (config-tunnel)#set auto-up
ROUTER_Snt-Cruz (config-tunnel)#exit
ROUTER_Snt-Cruz (config)#crypto policy p1
ROUTER_Snt-Cruz (config-policy)#flow 192.168.8.0 255.255.255.0
192.168.9.0 255.255.255.0 ip tunnel tun1
ROUTER_Snt-Cruz (config-policy)#exit
ROUTER_Snt-Cruz (config)#ip route 0.0.0.0 0.0.0.0 203.25.25.254
Pgina 57
7.4.- Configuracin del Router MPSEC 3005 La-Paz.

Este router ser instalado en una de las sucursales, mas
propiamente en la sucursal La Paz, conectando el puerto consola
con el ordenador PC2 podremos realizar las configuraciones
correspondientes, asignaremos las siguientes direcciones IP:
Direccin IP Privada
Direccin IP Pblica
Los comandos para la configuracin del Router son los siguientes:
ROUTER_La-Paz>enable
ROUTER_La-Paz # configure terminal
ROUTER_La-Paz (config)# interface FastEthernet0/0
ROUTER_La-Paz (config-if)# ip address 192.168.9.1 255.255.255.0
ROUTER_La-Paz (config-if)#no shutdown
ROUTER_La-Paz (config-if)# exit
ROUTER_La-Paz (config)# interface FastEthernet0/1
ROUTER_La-Paz (config-if)# ip address 201.18.8.1 255.255.255.0
ROUTER_La-Paz (config-if)#no shutdown
ROUTER_La-Paz (config-if)# exit
ROUTER_La-Paz (config)#crypto ike key key123 address 203.25.25.1
ROUTER_La-Paz (config)#crypto tun tun1
ROUTER_La-Paz (config-tunnel)#peer address 203.25.25.1
ROUTER_La-Paz (config-tunnel)#local address 201.18.8.1
ROUTER_La-Paz (config-tunnel)#exit
ROUTER_La-Paz (config)#crypto policy p1
ROUTER_La-Paz (config-policy)#flow 192.168.9.0 255.255.255.0
192.168.8.0 255.255.255.0 ip tunnel tun1
ROUTER_La-Paz (config-policy)#exit
ROUTER_La-Paz (config)#ip route 0.0.0.0 0.0.0.0 201.18.8.254
7.5.- Especificaciones de comandos.

El Comando Crypto es el que nos generara la VPN key 123 sera la
contrasea para ambos extremos de nuestra red.
Pgina 58
Con el comando flow se habilita toda la red para formar parte de la VPN.
Con el comando ip route nos habilita la ruta por defecto para el paso de
datos.
Ahora procederemos a ejecutar un par de comandos para mostrar el
correcto funcionamiento de nuestra VPN.
ROUTER_La-Paz#show crypto ipsec sa
policy name : p1
f (src, dst, protocol, src port, dst port) : 192.168.9.0/24 192.168.8.0/24
ip any any
local tunnel endpoint : 201.18.8.1 remote tunnel endpoint : 203.25.25.1
the pairs of ESP ipsec sa : id : 2, algorithm : DES HMAC-SHA1-96
inbound esp ipsec sa : spi : 0X42930201(1116930561)
current input 8 packets, 0 kbytes
encapsulation mode : Tunnel
replay protection : ON
remaining lifetime (seconds/kbytes) : 28760/4607999
uptime is 0 hour 0 minute 40 second
outbound esp ipsec sa : spi : 0Xf7580201(4149740033)
current output 8 packets, 0 kbytes
encapsulation mode : Tunnel
replay protection : ON
remaining lifetime (seconds/kbytes) : 28760/4607999
uptime is 0 hour 0 minute 40 second
ROUTER_La-Paz#show crypto ike sa
localaddr peeraddr peer-identity negotiation-state

sa-id
201.18.8.1 203.25.25.1 203.25.25.1 STATE_QUICK_R2
2
201.18.8.1 203.25.25.1 203.25.25.1 STATE_MAIN_R3
1
ROUTER_B#show crypto ike proposal
crypto ike proposal : g1-des-sha1 ref : 0

encryption : des
Pgina 59
integrity : sha1
group : group1
lifetime : 86400 seconds
crypto ike proposal : g1-des-md5 ref : 0
encryption : des
integrity : md5
group : group1
crypto ike proposal : g2-3des-sha1 ref : 0
encryption : 3des
integrity : sha1
group : group2
crypto ike proposal : g2-3des-md5 ref : 0
encryption : 3des
integrity : md5
group : group2
crypto ike proposal : g2-aes128-sha1 ref : 0
encryption : aes128
integrity : sha1
group : group2
crypto ike proposal : g2-aes128-md5 ref : 0
encryption : aes128
integrity : md5
group : group2
crypto ike proposal : g5-3des-sha256 ref : 0
encryption : 3des
integrity : sha2-256
group : group5
crypto ike proposal : g5-aes256-sha256 ref : 0
encryption : aes256
integrity : sha2-256
group : group5
7.6.- Captura de datos.

Para la captura de datos tenemos que tener previamente instalado
el Wireshark en la PC2 que va conectada al HUB, debemos
configurar los adaptadores de red de los ordenadores que se
encuentran a cada extremo de la red LAN como lo muestra la
ilustracin 7.
Para ello hacemos clic derecho en adaptador de rea local, luego
clic en propiedades, seguidamente seleccionamos el protocolo de
internet versin 4, propiedades nuevamente y procedemos a poner
Pgina 60
en red el ordenador asignando una direccin IP que este dentro del

rango de direcciones IP de la NetWork, este paso se debe hacer
para el PC0 y PC1, puesto que el PC2 no pertenece a ninguna red.
Ilustracin 8 Asignacin de Direccin IP a los ordenadores.
Ahora procederemos a Ejecutar el Wireshark y a travs de un

computador conectado al Hub podremos verificar el trfico y las
cabeceras que generamos al hacer un ping, como el Hub es un
dispositivo que trabaja en la capa 1 nos botara por todos sus puertos los
pulsos elctricos que nos generan las tramas para su posterior captura.
En la imagen siguiente estamos haciendo ping desde una consola de
Windows y desde el emulador PuTTy a diferentes destinos de nuestra
red y todos son respondidos.
Pgina 61
Ilustracin 9 Ejecutando el comando PING.
En la siguiente imagen se puede apreciar la trama de un Ping que

realizamos desde el Router A hacia el Router B a su direccin IP publica,
como vern la respuesta es correcta pues estos IP pertenecen a la
direccin Publica y por tal razn el Wireshark nos muestra como todas
las peticiones y respuestas echas.
Ilustracin 10 Comando PING a direcciones pblicas.
En la siguiente imagen veremos la trama generada al hacer ping desde

la consola de un ordenador perteneciente a la red 192.168.8.0 hacia
otro ordenador perteneciente a la red 192.168.9.0 como vern solo nos
muestra las direcciones de red o IP publica y en la columna de
protocolos nos nuestra el protocolo ISAKMP en ves del ICMP que es el
protocolo correcto esto nos demuestra que la encriptacin de los
paquetes al viajar por nuestra red se realiza de manera satisfactoria.
Pgina 62
Ilustracin 11 Comando PING a direcciones privadas.
Ilustracin 12 Equipos de prctica de la Red VPN.
7.7.- Configuracin del sistema de Red.

Para la configuracin del sistema de red partiremos por seleccionar
un ordenador el que se encuentre en mejor condiciones previa
evaluacin e instalaremos el sistema operativo Windows Server
2008.
Posteriormente realizaremos todas las configuraciones que
complementan adecuadamente una eficaz red de trabajo.
Pgina 63
7.7.1.- Configuracin del Servidor DNS.

Como primer paso se debe instalar las funciones para el
servidor DNS, para ello vamos a inicio > herramientas >
administrador del servidor.
Una vez ah vamos a funciones > agregar funciones.
Ilustracin 13 Configuracin del servidor DNS.
Seleccionamos la opcin Servidor DNS. Presionamos la

opcin siguiente. Luego nos aparecer un resumen del
proceso de instalacin. Si todo esta correcto presionamos el
botn instalar.
Luego nos dirigimos a inicio > herramientas administrativas
y seleccionamos DNS.
En este punto entraremos a configurar las zonas. En las
zonas es donde especificamos, nombre de dominio, tipo de
servidor si es maestro o esclavo y ruta del archivo.
Existen diferentes zonas con sus perspectivas
configuraciones las cuales son:
Zona directa:
La zona directa nos permite crear zonas primarias y
segundarias. En dichas zonas podemos crear distintos tipos
de registro tales como: A, CNAME, NS, MX, y asociarlos con
una direccin Ip.
Pgina 64
Las resoluciones de esta zona devuelven la Ip

correspondiente al nombre de dominio solicitado.
Registro A: este registro se usa para traducir nombres de
servidores de alojamiento a direcciones IPv4.
Registro CNAME: Se usa para crear nombres de servidores de
alojamiento adicionales, o alias, para los servidores de
alojamiento de un dominio.
Registro NS: Define la asociacin que existe entre un nombre
de dominio y los servidores de nombres que almacenan la
informacin de dicho dominio.
Registro MX: Asocia un nombre de dominio a una lista de
servidores de intercambio de correo para ese dominio.
Zona inversa: nos permite por el contrario crear registros
PTR, los cuales nos permiten asociar una Ip con un nombre.
Es como hacer una pregunta Cul es el nombre DNS del
equipo que utiliza la direccin IP 192.168.8.1?.
Registro PTR: Tambin conocido como registro inverso,
funciona a la inversa del registro A, traduciendo IPs en
nombres de dominio.
Ya teniendo claro las zonas y cada uno de los registros
procedamos a la configuracin les las zonas.
Pgina 65
Para crear una nueva zona directa, damos clic derecho en

zona de bsqueda directa > nueva zona y seguimos el
asistente.
En el primer pantallazo se nos da una introduccin al

asistente de configuracin de la zona directa. Presionamos el
botn siguiente.
Nos aparecer entonces un cuadro de dialogo que nos

preguntara el tipo de zona que queremos crear (zona
principal, zona secundaria o zona de rutas internas) y nos
dan una especificaciones de cada una. En este caso
crearemos una zona principal. Presionamos el botn
siguiente.
En el siguiente cuadro de dialogo debemos dar nombre a la

zona, el cual puede ser el nombre de dominio o el nombre de
un subdominio. En este caso ser el nombre del dominio
podra ser atconsult.local.
En el siguiente cuadro de dialogo debemos crear o dar la

ruta a un archivo de zona. En este caso crearemos uno
nuevo que se llamara vpn.atconsult.local. presionamos el
botn siguiente.
Pgina 66
En la siguiente ventana debemos especificar si el servidor

DNS tendr actualizaciones dinmicas seguras, no seguras o
no dinmicas.
Nota: Las actualizaciones dinmicas seguras solo se activan
si la zona est integrada en active directory, por ende en
este caso esta deshabilitada.
En este caso seleccionamos la opcin Permitir todas las
actualizaciones dinmicas (seguras y no
seguras). Presionamos el botn siguiente.
En la siguiente pantalla nos aparecer un resumen de la
configuracin de nuestra zona. Si todo est correctamente
presionamos el botn finalizar.
Pgina 67
Procedemos entonces a configurar una nueva zona inversa.

Damos clic derecho en zona de bsqueda inversa > nueva
zona y seguimos el asistente.
En el primer pantallazo se nos da una introduccin al

asistente de configuracin de la zona directa. Presionamos el
botn siguiente.
Nos aparecer entonces un cuadro de dialogo que nos

preguntara el tipo de zona que queremos crear (zona
principal, zona secundaria o zona de rutas internas) y nos
dan una especificacin de cada una. En este caso crearemos
una zona principal. Presionamos el botn siguiente.
En el siguiente cuadro de dialogo debemos configurar el

nombre de nuestra zona inversa. Como las zonas inversas
hacen la traduccin de IP a nombre de dominio, el nombre
de la zona debe ir ligado a los octetos de red del
identificador de nuestra red. En este caso el
direccionamiento es IPv4. Presionamos el botn siguiente.
En el siguiente cuadro de dialogo debemos ingresar los

valores del ID de nuestra red que pertenezcan a la porcin
red, en este caso 168.192.8 pues la mscara es de /24.
Podemos ver como se autocompleta el nombre de la zona de
bsqueda inversa.
Luego nos aparecer un cuadro de dialogo debemos crear o

dar la ruta a un archivo de zona. En este caso crearemos uno
nuevo que se llamara 8.168.192.in-addr.arpa.dns.
Pgina 68
En la siguiente ventana debemos especificar si el servidor

DNS tendr actualizaciones dinmicas seguras, no seguras o
no dinmicas.
Nota: Las actualizaciones dinmicas seguras solo se activan
si la zona est integrada en active directory, por ende en
este caso esta deshabilitada.
En este caso seleccionamos la opcin Permitir todas las
actualizaciones dinmicas (seguras y no
seguras). Presionamos el botn siguiente.
En la siguiente pantalla nos aparecer un resumen de la

configuracin de nuestra nueva zona inversa. Si todo est
correctamente presionamos el botn finalizar.
Despus de haber creado la zona inversa, damos doble clic
sobre ella (8.192.168.in.addr-arpa).
Pgina 69
Podemos observar dos registros (SOA y NS). Seleccionamos

la primera opcin (registro SOA).
Debe salir un cuadro donde podemos especificar el nombre

del servidor primario en este caso dns.atconsult.local y el
correo de la persona responsable de la configuracin de la
zona en este caso webmaster.atconsult.local. Los dems
valores los dejaremos por defecto. Presionaremos el botn
aceptar.
Ahora crearemos los registros A para el DNS. Para ello damos

clic derecho sobre algn lugar del cuadro perteneciente a la
zona atconsult.local. Seleccionamos Host Nuevo (A o AAA).
Pgina 70
En el nuevo cuadro de dialogo debemos especificar el

nombre de host en este caso dns, adems de la direccin IP
del host, en este caso 192.168.8.1, seleccionamos la opcin
crear registro del punto (PTR) asociado para que
automticamente se agregar en la zona inversa el registro
PTR para este host. Presionamos el botn agregar host.
Presionamos el botn agregar host.
Nos aparecer un aviso que nos informa que el registro fue

creado exitosamente.
Debemos configurar entonces la interface de red

adecuadamente. Nos dirigimos a inicio > panel de control >
centro de redes y recursos compartidos > administrar
conexiones de red. All damos clic derecho en el adaptador >
propiedades > protocolo de internet TCP/IPv4 > propiedades.
Configuramos en este caso la interface.
Procedemos a la verificacin del funcionamiento del servidor

DNS.
Usaremos un cliente bajo Windows Seven que se encuentra

en red con el servidor DNS. Realizamos entonces una
bsqueda directa buscando con el nombre del host la
direccin IP del mismo. Procedemos a abrir la
consola cmd.exe y all ejecutamos el comando nslookup
dns.atconsult.local y nos aparecer el nombre y la direccin
Pgina 71
del servidor nos responde la solicitud, adems de la IP del

host que se llama dns.atconsult.local.
Podemos adems hacer una consulta inversa buscando con

la direccin IP, el nombre del host. Para ello ejecutamos el
comando nslookup 192.168.8.2 y podemos observar el
nombre y la direccin del servidor nos responde la solicitud,
adems del nombre del host que tiene como IP192.168.8.2.
7.7.2.- Configuracin del servidor Active Directory.

Una vez configurado el servidor DNS y la configuracin del
protocolo TCP/IP, ejecutamos el comando dcpromo y
esperamos que se configuren para la promocin de un
Controlador de dominio.
Ilustracin 21 Configuracin de Active Directory.
Cargar la ventana de Bienvenida para promocin de un

Controlador de dominio. El check para la instalacin en modo
avanzado brinda configuraciones avanzadas para la
promocin de controladores de dominio. En esta ocasin no
marcaremos el check. Luego Cargar un mensaje de
advertencia, informndonos de las nuevas caractersticas de
los controladores de dominio sobre Windows Server 2008
como la seguridad. Seleccionamos, Add a domain controller
to an existing domain.
Esta opcin nos permitir acceder a nuestro dominio creado

anteriormente en el servidor DNS. Escribimos el nombre
atconsult para nuestro dominio. En este caso ser
atconsult.local. Luego de aceptar el nombre de dominio se
revisar el nombre DNS y NetBIOS para comprobar que no
existan conflictos de nombres.
Pgina 72
A continuacin seleccionamos el nivel funcional del bosque.

En este caso aprovecharemos las ventajas del nivel funcional
Windows Server 2008. A continuacin seleccionamos
verificamos que el controlador de dominio Windows Server
2008 ejecute el servicio de DNS, para la resolucin de
nombres.
Por defecto el primer controlador de dominio es Global

Catalog. Como es el primer controlador de dominio
promovido no puede ser Read-Only Domain Controller.
Aceptamos el mensaje de advertencia. Este mensaje explica

que es necesario delegar la zona primaria si es que se
requiere que los nombres DNS se resuelvan desde fuera del
dominio atconsult.local, en nuestro caso no es necesario
delegar porque este DNS slo resolver nombres locales y de
Internet pero desde la red interna.
A continuacin ingresamos una contrasea para la

restauracin del Active Directory en modo de Directory
Services Restore Mode. Aparecer un sumario con el
resumen de lo seleccionado para instalacin del AD DS.
Pgina 73
Empezar la promocin del Controlador Windows Server

2008. Este proceso se llevar a cabo durante unos minutos.
Cuando el proceso finaliza debemos reiniciar el nuevo

Controlador de dominio.
Ahora podremos ingresar a nuestro Controlador de dominio

con nuestro domain admin. Podemos acceder a la consola de
administracin del servicio de Directorio Activo. Desde
Server Manager o dirigindonos a Administrative Tools.
Ahora procederemos a crear una carpeta compartida

dndole control total para todos los usuarios. Estos valores
pueden ser modificados por el administrador dando permisos
Pgina 74
de lectura y escritura as como ambas, tambin puede no

dar ningn privilegio a cada usuario individualmente.
Para agregar un nuevo usuario bastara con desplazarse a la

carpeta user dando clic derecho podemos agregar un nuevo
usuario, luego de rellenar los espacios con los datos
correspondientes finalmente se le asignara un nombre
dentro del dominio y servicio DNS, como por ejemplo
[email protected].
Pgina 75
Todas las configuraciones echas anteriormente se realizan en

el ordenador que se encuentra instalado el servidor.
Procedemos a ingresar a otro ordenador en el cual se tenga
instalado el sistema operativo Windows Seven o XP, las
configuraciones siguientes son las mismas.
Ejecutamos el comando sysdm.cpl.
Seguidamente visualizamos una ventana con las

propiedades del sistema. Para entrar al dominio vamos hasta
nombre de equipo y pulsamos en cambiar y seleccionamos
dominio y asignamos un nombre de equipo de esta manera
cualquier trabajador podr acceder a su usuario desde
cualquier ordenador.
Pgina 76
Pgina 77
7.7.3.- Configuracin de DHCP.

Una vez instalado el servidor DNS y el servidor de Active
Directory procederemos a instalar el servidor de DHCP que
es el encargado de administrar las direcciones IP.
Vamos al administrador del servidor, hacemos clic derecho

sobre funciones y agregar funcione, nos aparecer el tpico
asistente para agregar funciones, elegiremos el servidor
DHCP y hacemos clic en siguiente, saldr una serie de
advertencias dicindonos las cosas que hay que tener en
cuenta antes de instalar el servidor.
Ilustracin 29 Configuracin del servidor DHCP.

El asistente nos permitir seleccionar los enlaces de
conexin de red entre las conexiones detectadas con
configuraciones IP estatica, presionamos el botone siguiente,
podemos especificar la configuracin IP versin 4 del
servidor DNS de nuestra red, ah ponemos nuestra propia IP,
como servidor DNS alternativo podemos poner por ejemplo
el servidor DNS de Google (8.8.8.8).
Pgina 78
El asistente nos permite especificar la configuracin del

servidor WIN IPv4. En este caso no usaremos WIN y
presionaremos el botn siguiente.
Despus de hacer clic en siguiente nos aparecer la pantalla

con la configuracin ms importante que debemos hacer en
el servidor DHCP, configurar y agregar los mbitos DHCP.
Hacemos clic en agregar y rellenamos todos los campos con
nuestros datos de red, en nombre colocaremos el nombre del
mbito que nos corresponden nuestro caso ser
administrador, tambin nos pedir las direcciones de IP
inicial y final, es muy importante excluir el Gateway, el ID de
red y el broadcast, tambin deberemos establecer el
Gateway por defecto de la red este parmetro es opcional,
se deber establecer si la red es cableada o inalmbrica para
definir la duracin de la concepcin, podemos crear ms de
una mbito pero para nuestro desarrollo no ser necesario.
Pgina 79
Despus nos aparecer una ventana para la configuracin

del modo sin estado de DHCP Versin 6 pero en este caso lo
deshabilitaremos, presionamos el botn aceptar. Luego nos
aparecer una pantalla con el resumen de la configuracin
de nuestro servidor DHCP. Si todo est bien configurado
presionamos el botn instalar, cuando el proceso de
instalacin finaliza aparece una ventana indicando que se ha
finalizado el proceso correctamente.
Si deseamos hacer una modificacin de las configuraciones
de nuestro servidor DHCP podemos dirigirnos a los archivos
de configuracin que se encuentran en inicio > herramientas
> administrativas > DHCP.
CAPITULO 8
EVALUACIN ECONMICA
8.1.- Justificacin Econmica.

Una vez presentada esta solucin al problema, se proceder a
justificar de manera econmica la misma.
Para ello proporcionamos unos listados de tablas en las que
especificaremos las inversiones que la consultora debera asumir.
Los datos listados a continuacin son costos en los que incluye la
entrega de la red en correcto funcionamiento para la sucursales de
la ciudad de Santa Cruz de la Sierra y La Paz, el costo de
mantenimiento de la red VPN es un punto que trataremos en el
Pgina 80
desglose de costos, los datos de precios de hardware nos fueron

proporcionados por la empresa ClearTec Ltda. y las licencias de
software nos fueron proporcionadas por la empresa Orbitla S.A.
8.2.- Costos de Adquisicin de los equipos
Precio
Precio Cantida
Descripcin Total
Unitario d
($)
Router MAIPU modelo MPSEC
760 2 1520
VPN3005
Switch MAIPU modelo SM 3100
402 2 804
(Recomendado)
Sub_Total1 2324
Tabla 10 Costos de Equipos
Pgina 81
8.3.- Costos de licencia de Software
Precio
Precio Cantida
Descripcin Total
Unitario d
($)
Windows Server 2008, licencia. 469 1 469
Windows Seven Enterprise,
45 2 90
licencia.
Anti-virus Kaspersky
129 2 258
(Recomendado)
Sub_Total2 817
Tabla 11 Costos de Licencias de Software
8.4.- Costos de la Implementacin
Precio
Precio Cantida
Descripcin Total
Unitario d
($)
Instalacin de Equipos.
3 12 36
(Routers y Ordenadores)
Configuracin de equipos.
8 12 96
(Routers y Ordenadores)
Restructuracin de la red
20 - 20
cableada
Sub_Total3 152
Tabla 12 Costos de la Implementacin
Pgina 82
8.5.- Costos Totales
De acuerdo a los costos obtenidos en esta seccin se va hacer una

suma total para saber el costo total que tendr dicha
implementacin, en la siguiente tabla se mostrara el costo total.
Es muy importante saber el costo total ya que de acuerdo a ese
dato se analizaran y se tomaran decisiones, para poner en marcha
o no el presente proyecto.
Costo Total
Descripcin
($)
Costo de Adquisicin de Equipos 2324
Costo de Licencia de Software 817
Costo de Implementacin 152
Total 3293
Tabla 13 Costos Totales.
Pgina 83
CONCLUSIONES
9.1.- Conclusin
El trabajo de investigacin tuvo como objetivo general el realizar el
diseo de una red VPN y sus respectivas configuraciones para
brindar seguridad en la transferencia de datos de la consultora.
La metodologa empleada dio lugar a que se realizara un anlisis
de riesgo, la correcta eleccin de equipos de acuerdo con el
anlisis costo/beneficio, la ubicacin adecuada de los mismos,
comprender a profundidad el funcionamiento de una red VPN en
los aspecto de confidencialidad, integridad y autenticidad de los
datos que fluyen atraves de la red.
Una vez realizado el diseo de la red VPN, se presentan las siguientes
conclusiones:
La principal ventaja es que una red VPN nos da el respaldo

suficiente de una transmisin de informacin segura y
confiable.
Se con la implementacin de un servidor se centraliza el
acceso a la informacin, evitando el robo de informacin por
parte de los trabajadores.
La movilidad de acceder desde cualquier ordenador
perteneciente a la red, esto debido a las cuentas de usuarios
proporcionadas por el administrador.
Por lo tanto, la inversin puesta en los equipos para la

implementacin de la red VPN resultara viable, ya que estos
Pgina 84
proporcionan diferentes soluciones a los problemas de seguridad

informtica, teniendo as una red de ptimo funcionamiento.
RECOMENDACIONES
Pgina 85
BIBLIOGRAFA
Alarcos, B., Redes Privadas Virtuales VPN [Online]. 15-Sep-2013. Alcal,

Espaa,
< http://it.aut.uah.es/enrique/docencia/ii/seguridad/documentos/t9-0506.pdf
>
15-Sep-2013.
Barrera, Luis. (2013). Internet Protocol security [Online]. 2007. Buenos Aires,
< http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/IPSec-
2008.pdf
Caire, Ramiro. (30-Ene-2006). Introduccin a las redes privadas virtuales

[online]..Rosario, Argentina. <
http://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.html>.
15-Sep-2013.
Libros
Herrera, Enrique. (2003). Tecnologa y Redes de transmisin de Datos.
Mxico: LIMUSA.
Pgina 86
ANEXOS
CURRCULO VITAE
Pgina 87

Vaca Nuñez

Cargado por

Copyright:

Formatos disponibles

Vaca Nuñez

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Vaca Nuñez

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD AUTONOMA

GABRIEL RENE MORENO

CARRERA : ING. EN REDES Y TELECOMUNICACIONES.

Juan Pablo Gutirrez

Silvia Justiniano Vaca

Santa Cruz Bolivia

1.1.- DEFINICIN DEL PROBLEMA.................................................................9

1.1.1.- Situacin problemtica.....................................................................9

1.1.2.- Situacin deseada............................................................................9

1.1.3.- Objeto de la investigacin...............................................................10

1.2.2.- Objetivo especficos........................................................................11

2.1.- CONSULTORA XTT..............................................................................14

2.2.- Estructura Organizacional..................................................................15

3.1.- FUNCIONAMIENTO DE LAS VPNS.........................................................19

3.1.1.- Encriptacin con Clave Secreta........................................................20

3.1.2.- Encriptacin de Clave Pblica..........................................................20

3.2.- Clasificacin de las VPNs...................................................................22

3.2.1.- VPNs Seguras.................................................................................22

3.2.2.- VPNs de confianza..........................................................................22

3.2.3.- VPNs segn su Arquitectura............................................................22

3.2.3.1.- VPNs de Acceso Remotos.............................................................23

3.2.3.2.- VPNs Punto a Punto.....................................................................23

3.2.3.3.- VPNs Interna...............................................................................23

3.3.- VPN IPSec.........................................................................................24

3.3.1.- Encapsulated Security Payload (ESP),..............................................25

3.3.2.- Authentication Header (AH),...........................................................26

Ilustracin 3 - Funcionamiento de una AH (Barrera, 2007)...........................26

3.3.4. - Internet Security Association Key Mamagement Protocol (ISAKMP).27

3.4.- Security Association SA.....................................................................27

3.5.- Modo de Transporte...........................................................................28

3.6.- Modo Tnel.......................................................................................29

3.7.- Configuracin de VPN IPSec...............................................................31

3.8.- Filtrado de Paquetes IPSec...................................................................33

3.9.- Ventajas y Desventajas de usar IPSec.................................................33

3.9.1.- Ventajas de IPSec...........................................................................33

3.9.2.- Desventajas de IPSec......................................................................34

4.1.- Identificacin de Requerimientos.......................................................35

4.1.1.- Red de Comunicaciones..................................................................35

4.1.2.- Adecuacin de Espacios fsicos........................................................35

4.2.- Identificacin de requerimientos de administracin de la red VPN.......35

4.3.- Descripcin de Requerimientos..........................................................36

4.3.1.- Calidad de servicio aplicada a la red local y enlace...........................36

4.3.2.- Cableado Estructurado....................................................................38

4.3.3.- Adecuacin de Espacios fsicos........................................................39

5.1.- Anlisis e Identificacin de Riesgos....................................................41

5.1.1.- Riesgos por Amenazas Naturales.....................................................41

5.1.2.- Riesgos por Factores Tecnolgicos...................................................41

5.1.3.- Riesgos por Amenazas en la Organizacin........................................42

5.1.4.- Riesgos por Amenazas a la Infraestructura......................................42

5.1.5.- Riesgos por Amenazas Humanas.....................................................42

5.1.6.- Riesgos por Amenazas de Ataques Intencionados.............................42

5.1.7.- Riesgos por Amenazas Polticas o legales........................................43

5.2.- Valoracin de los Riesgos...................................................................43

5.3.- Tabla de Riesgos Cualitativa...............................................................46

6.1.- Diseo de la Red VPN........................................................................49

6.2.- Identificacin de actividades actuales de la Consultora.......................49

6.3.- Diseo lgico de la Red VPN...............................................................51

6.4.- Diseo fsico de la Red VPN................................................................51

7.2.- Configuracin de la Red.....................................................................52