Diseño de una red privada virtual (VPN) con seguridad L2TP para la empresa Laboratorios Expofarma S A

Texto completo

(1)DISEÑO DE UNA RED PRIVADA VIRTUAL (VPN) CON SEGURIDAD L2PT PARA LA EMPRESA LABORATORIOS EXPOFARMA S.A.. YULY MARCELA JOTA FONSECA DANIEL STEVEN RAMIREZ CASTAÑEDA ANDRÉS RICARDO PENAGOS AREVALO. UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERÍA PROGRAMA DE TELECOMUNICACIONES BOGOTÁ D.C. Octubre,2018.

(2) DISEÑO DE UNA RED PRIVADA VIRTUAL (VPN) CON SEGURIDAD L2PT PARA LA EMPRESA LAORATOROS EXPOFARMA S.A.. YULY MARCELA JOTA FONSECA DANIEL STEVEN RAMIREZ CASTAÑEDA ANDRÉS RICARDO PENAGOS AREVALO. TRABAJO DE GRADO. UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE TELECOMUNICACIONES BOGOTÁ D.C. Octubre 2018.

(3) Tabla de contenido 1. INTRODUCCIÓN ............................................................................................................... 6. CAPÍTULO I: Esquematización del Tema ................................................................................ 7 1.1. DESCRIPCION DEL TEMA ............................................................................................ 7. 1.2. DESCRIPCION DEL PROBLEMA .................................................................................. 7. 1.3. JUSTIFICACIÓN ............................................................................................................. 8. 1.4. OBJETIVOS .................................................................................................................... 8. 1.4.1. Objetivo General .......................................................................................................... 8. 1.4.2. Objetivos Específicos .................................................................................................. 8. CAPITULO II. Esquematización Teórica ................................................................................. 9 2.1 MARCO TEÓRICO ............................................................................................................. 9 2.2 MARCO JURIDICO........................................................................................................... 24 CAPITULO III. Esquematización Ingenieril ............................................................................ 25 3.1 ANÁLISIS DEL PROYECTO ............................................................................................. 25 3.1.1 TÉCNICAS DE RECOLECCIÓN DE DATOS ................................................................ 25 3.1.2 REVISIÓN Y RECONOCIMIENTO DE LA RED ............................................................ 27 3.2 ESTRUCTURA TEMÁTICA .............................................................................................. 28 CONCLUSIONES ................................................................................................................... 38.

(4) LISTA DE FIGURAS Pág. Figura 1. Elementos VPN. 11. Figura 2. VPN de acceso remoto. 12. Figura 3. Diagrama de acceso remoto. 13. Figura 4. diagrama de VPN LAN. 14. Figura 5. Diagrama VPN con NAT. 15. Figura 6. L2TP/IPSEC VPN. 17. Figura 7. Tecnologías VPN. 19. Figura 8. Acceso VPN. 21. Figura 9. Túnel VPN. 22. Figura 10. Conexión VPN. 27. Figura 11. Cisco PIX Firewall Modelo 515. 29. Figura 12. Interfaces instaladas en el PIX.. 30.

(5) LISTA DE TABLAS. Tabla 1. Compatibilidad del PIX con Easy VPN Server.. 30. Tabla 2. Compatibilidad de dispositivos Cisco para VPN sitio a sitio. 31. Tabla 3. Compatibilidad con software clientes VPN. 31.

(6) 1. INTRODUCCIÓN. Las empresas hoy en día buscan mayor conectividad a sus recursos desde fuera de la red, pero esto implica riesgos de seguridad para la información es por esto que se desarrollaron tecnologías como lo son VPN (red virtual privada) que permite a los empleados conectarse desde redes externas con credenciales que brindan los permisos de trafico de información por medio de un túnel sin riesgo de pérdida de información y o filtraciones de externos, reduciendo costos de infraestructura debido a que las personas pueden trabajar desde sus casas. En esta monografía se pretende diseñar una red virtual privada para la empresa Laboratorios Expofarma S.A. de acuerdo con los requerimientos de la misma, siguiendo la metodología indicada y los pasos propuestos por dicha metodología, recolección de información y definición de requerimientos, diseño de la red pruebas y conclusiones..

(7) CAPÍTULO I: Esquematización del Tema TITULO Diseño una red Privada virtual (VPN) con seguridad L2TP para la empresa laboratorios EXPOFARMA S.A.. 1.1 DESCRIPCION DEL TEMA Diseñar una red privada con seguridad L2TP teniendo en cuenta los estándares de seguridad y los equipos necesarios para la red contemplando las necesidades de la empresa Laboratorios EXPOFARMA S.A.. 1.2. DESCRIPCION DEL PROBLEMA. Realizar una conexión externa sin duda tiene sus ventajas, pero implica siempre un riesgo para cualquier entidad, al momento de realizar una conexión se puede presentar algún ataque, o inconveniente de seguridad debido a ello las empresas pueden estar vulnerables a cualquier conexión externa. Por ello se requiere diseñar un proyecto que ayude a las empresas a que puedan seguir funcionando con las nuevas tecnologías de una forma segura, para poder satisfacer la necesidad de comunicación de cualquier compañía que lo requiera hacia cualquier parte que lo desee o usuarios externos de forma segura y económica, empleando internet como un medio de transmisión con un protocolo de túnel (L2TP), el cual encapsula toda la información antes de ser enviados de manera cifrada, y garantiza que todos los datos que son transportados por este medio no podrán ser modificados o manipulados. La Red Privada Virtual ofrecerá a laboratorios EXPOFARMA S.A. una conexión segura a un costo muy pequeño, ya que la red física es pública y la información es protegida mediante un protocolo de túnel, el cual cifra los datos que se transmiten desde un punto a otro, impidiendo que la información sea revisada por cualquier tercero que no se encuentre en alguno de los costados de la red VPNs. Este tipo de tecnología no requiere de una línea dedicada, aunque esta brinda mayor seguridad porque está viajando por un canal privado, es muy costosa y no puede conectar dos redes de área local remotas..

(8) 1.3. JUSTIFICACIÓN. Las empresas en general buscan contar con acceso a sus recursos tecnológicos (dominios, aplicaciones e información) aun estando fuera de las instalaciones de una forma confiable y segura, muchas de las empresas no cuentan o conocen la tecnología que de VPN (RED VIRTUAL PRIVADA). Con el fin de diseñar una red VPN con seguridad L2TP para la empresa laboratorios EXPOFARMA S.A, brindando especificaciones técnicas y alcances de la red, aprovechando internet como el medio donde viajará la información segura y confiable. 1.4. OBJETIVOS. 1.4.1 Objetivo General ● Diseñar una red privada virtual (VPN) con seguridad de protocolo de túnel de capa dos, para la empresa Laboratorios EXPOFARMA S.A. 1.4.2 Objetivos Específicos ● Recolectar la información necesaria para saber cómo va a hacer el funcionamiento de la VPN dentro de la red privada y el uso que se le va a dar. ● Analizar la información adquirida para poder establecer el diseño que se va a llevar acabo. ● Establecer cuáles son los requisitos que se necesitan en la empresa para el diseño del modelo VPN ● Determinar la infraestructura que permita la conexión desde una red externa a la red privada de la compañía ● Diseñar el modelo VPN de acuerdo con la recolección y análisis de la información, como también teniendo en cuenta los requerimientos establecidos..

(9) CAPITULO II. Esquematización Teórica. 2.1 MARCO TEÓRICO Red: Es un conjunto de equipos y otros dispositivos, como impresoras, discos, entre otros, que se conectan entre sí con cables, para que puedan comunicarse entre ellos, con el fin de compartir información y recursos, haciendo que todas las personas o departamentos de una empresa, estén trabajando unidos, sin duplicar la información, transmitiendo de forma rápida y eficaz. VPN: Red privada virtual, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. VPN de acceso remoto Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas). Red de Área Amplia (WAN): Son redes informáticas que se extienden sobre un área geográfica extensa, estas pueden llevar mensajes entre nodos que están a menudo en diferentes organizaciones y quizás separadas por grandes distancias, pero a una velocidad menor que las redes LAN. El medio de comunicación está compuesto por un conjunto de círculos de enlazadas mediante computadores dedicados, llamados rotures o encaminadores. Esto gestiona la red de comunicaciones y encaminan mensajes o paquetes hacia su destino.. CARACTERISTICAS FUNCIONALES Para que una VPN proporcione la comunicación que se espera, el sistema que se implante ha de contemplar varios aspectos de funcionamiento para determinar que será una buena solución. Transparente a las aplicaciones Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones..

(10) Confidencialidad Los datos que circulan por el canal sólo pueden ser leídos por el emisor y el receptor. La manera de conseguir esto es mediante técnicas de encriptación. Autentificación El emisor y el receptor son capaces de determinar de forma inequívoca sus identidades, de tal manera que no exista duda sobre las mismas. Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafío-respuesta. Integridad Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal. Para esto se pueden utilizar firmas digitales. No repudio Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emitió él. Control de acceso Capacidad para controlar el acceso de los usuarios a distintos recursos. Viabilidad Capacidad para garantizar el servicio. Por ejemplo, para las aplicaciones de tiempo real. ELEMENTOS PRINCIPALES DE UNA VPN Servidor VPN Es un servidor que se pone como gateway en la salida de Internet de la red. Permite conectarse con otros servidores VPN generando túneles de comunicación seguros con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto VPN o una conexión de enrutador a enrutador. Cliente VPN El cliente VPN permite la comunicación privada virtual iniciada desde el cliente de la red (VPN). Es en si una computadora que inicia una conexión VPN con un servidor VPN. Un cliente VPN o un enrutador tiene una conexión de enrutador a enrutador a través de una red pública, así es como los usuarios finales logran la comunicación dentro de un ambiente de la empresa que requieren una conexión segura del extremo usuario-aanfitrión. Túnel Porción de la conexión en la cual sus datos son encapsulados..

(11) Conexión VPN Es la porción de la conexión en la cual sus datos son encriptados. Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma porción de la conexión. Protocolos del Túnel Se utiliza para administrar los túneles y encapsular los datos privados. Los datos que son enviados por el túnel deben de ser encriptados para que sea una conexión VPN. Datos del Túnel (Tuneled Data) Datos que son generalmente enviados a través de un enlace VPN. Red de Transito La red pública o compartida que es cruzada por los datos encapsulados. Generalmente una red IP. La red de tránsito debe ser Internet o una intranet IP privada.. Figura 1: Elementos VPN Fuente: https://es.slideshare.net/marvelnano/proyecto-final-de-vpn-buses. TOPOLOGÍAS DE VPN. Existen muchos tipos de topologías de VPN que pueden adecuarse a las necesidades de una organización o se adaptan a una configuración de red ya existente. Estas topologías pueden ser definidas a través de acceso remoto (por ejemplo, una laptop tratando de acceder a un servidor de su organización), conexión entre dos LANs (Local Area Network), a través de Intranet e Extranet, utilizando una tecnología Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network Address Translation). Examinaremos ahora como funcionan algunas de las topologías de VPN más usadas..

(12) TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall cliente). Este tipo de VPN es el más común y más usado en nuestros tiempos. Nace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organización. Para que esto sea posible, la organización precisará tener un firewall instalado conteniendo los softwares necesarios para implementar a VPN. El cliente tiene que tener también instalado un software de criptografía compatible con los softwares del firewall.. La comunicación ocurre cuando el cliente necesita de una comunicación confidencial con la organización, y sin embargo no se encuentre localizado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organización a partir de una red externa. La figura inferior ilustra cómo se establece este tipo de comunicación.. Figura 2: VPN de acceso remoto Fuente: https://es.slideshare.net/marvelnano/proyecto-final-de-vpn-buses. Los pasos siguientes describen el proceso de comunicación entre el equipo portátil y el firewall de la organización:      . El usuario con el equipo portátil marca a su PSI local y establece una conexión PPP. El equipo portátil solicita las claves del dispositivo del firewall. El firewall responde con la clave apropiada. El software VPN instalado en el equipo portátil ve la solicitud hecha por el usuario del equipo portátil, cifra el paquete y lo envía a la dirección IP publica de el.

(13)         . Firewall. El firewall le quita la dirección IP, descifra el paquete y lo envía al servidor al que ha sido direccionado dentro de la LAN local. El servidor interno procesa la información recibida, responde a la solicitud y envía el documento de regreso. El firewall examina el tráfico y reconoce que es información de túnel VPN así que toma el paquete, lo cifra y lo envía al equipo portátil. La pila de VPN en el equipo portátil ve el flujo de datos, reconoce que viene del dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles.. Figura 3: Diagrama de acceso remoto Fuente: https://es.slideshare.net/marvelnano/proyecto-final-de-vpn-buses. TOPOLOGÍA DE VPN LAN-TO-LAN. Este tipo de topología es la segunda más utilizada, se usa cuando es necesario comunicar dos redes locales separadas geográficamente. Las LANs pueden estar operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado y un firewall NT del otro. Ellos pueden estar usando softwares de VPN diferentes, más tienen que estar usando el mismo algoritmo de criptografía y estar configurados para saber que cuando ocurre algún tráfico para uno u otro firewall, este tiene que ser criptografía. Podemos observar en la figura inferior como se da el acceso entre dos redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT que será transmitido por FTP (File Transfer Protocol). El usuario de la LAN UNIX intenta conectarse a través de una aplicación FTP con un servidor LAN NT..

(14) El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es cifrado y se envía hacia una dirección IP pública del firewall LAN NT. Este firewall acepta y descifra el paquete y envía para o servidor al que se le ha enviado la información. Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT. Este a su vez cifra el paquete y envía la información hacia el firewall da LAN UNIX que descifra y transmite la información para el usuario que solicito el requerimiento. Figura 4: diagrama de VPN LAN Fuente: https://es.slideshare.net/marvelnano/proyecto-final-de-vpn-buses. TOPOLOGIA DE VPN UTILIZANDO NAT. (Network Address Translation) Traducción de Direcciones de Nombres es el proceso de cambiar una dirección IP de una organización (una dirección privada de la organización) por una dirección IP pública enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organización. Entretanto, el NAT interfiere directamente en la implementación de la VPN, pues cambia la dirección IP a la hora que el paquete de datos sale de la red interna. La utilización de NAT no resulta complicado, pero la ubicación del dispositivo VPN es importante. La figura inferior ilustra el proceso.

(15) Figura 5: Diagrama VPN con NAT Fuente: https://es.slideshare.net/marvelnano/proyecto-final-de-vpn-buses. Los pasos siguientes describen el proceso de comunicación de entrada y salida con un dispositivo NAT: Cuando un paquete precisa salir de la red interna, este es enviado hacia el firewall implementado con NAT. Este por primera vez, cambia la dirección IP enrutable El firewall implementado con NAT reenvía el paquete al dispositivo VPN que realiza el proceso de cifrado del paquete. El paquete es enviado hacia el enrutador externo que sea transmitido a su destino. Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado hacia el firewall implementado con NAT que cambia la dirección IP por el número original, este es enviado hacia el ruteador interno para ser dirigido hacia su destino. Seguridad Las redes VPN utilizan altos estándares de seguridad para la transmisión de datos, comparables con una red punto a punto. Protocolos como 3DES (Triple data encryption standard) el cual cumple la función de encriptar la información a transferir y el protocolo IPSec (IP Security) para manejo de los túneles mediante software brindan un alto nivel de seguridad al sistema. También se emplean varios niveles de autenticación para el acceso a la red privada mediante llaves de acceso, para validar la identidad del usuario Las redes VPN utilizan altos estándares de seguridad para la transmisión de datos, comparables con una red punto a punto. Protocolos como 3DES (Triple data encryption standard) el cual cumple la función de encriptar la información a transferir y el protocolo IPSec (IP Security) para manejo de los túneles mediante software brindan un alto nivel de seguridad al sistema. También se emplean varios niveles de autenticación para el acceso a la red privada mediante llaves de acceso, para validar la identidad del usuario. (Limari Ramirez,2004).

(16) Para hacerlo de manera segura es necesario proporcionar los medios para garantizar la autenticación, integridad, confidencialidad y el no repudio. A través de la experiencia se ha podido determinar que los tipos de amenazas atacan las vulnerabilidades de las infraestructuras informáticas, siendo éstas tan comunes como mensajes y archivos infectados con virus informáticos, equipos de conectividad mal configurados, alteración en páginas y sitios web, sistemas operativos desactualizados, denegación de servicio, etc.; lo que ha permitido establecer mecanismos de seguridad tradicionales, como: Firewalls, Antivirus, Anti-Spams, control de contenido Web, etc. Los sistemas de seguridad deben evolucionar ante los métodos de fraude a través de una red de datos y su entorno que lo compone. En la actualidad los sistemas tradicionales de seguridad no son los suficientemente efectivos cuando se trata de nuevos métodos de ataques informáticos. Los equipos que antes eran reactivos ahora deben ser proactivos, como proactivos deberán ser quienes administren las comunicaciones y seguridades informáticas de determinada entidad. Dentro de la nueva tendencia en sistemas de seguridad, los fabricantes de equipos de conectividad y seguridad ofrecen al mercado soluciones que variarán dependiendo de la naturaleza de las infraestructuras que necesiten ser protegidas. Lo más común es encontrar infraestructuras de redes heterogéneas es decir que los equipos de conectividad son de diferentes fabricantes, lo cual implica un sistema de seguridad que se adapte a lo que está implementado. Por lo general el sistema de seguridad tradicional se ha compuesto de un firewall, un antivirus y un antispam y que esté implementado sobre servidores de propósito general. En la actualidad se han desarrollado equipos de Gestión Unificada de Amenazas o UTM (Unified Threat Management). Este tipo de equipos de tipo appliance permite mitigar las amenazas íntegramente desde un solo equipo, a través de las funcionalidades de firewall, antivirus, IPS e IPSec-VPN, todos éstos ejecutados en tiempo real. Básicamente la ubicación de este tipo de equipos debe ser en las zonas perimetrales de las redes de datos. Soluciones semejantes pueden ser también a través de software sobre plataformas Linux. Para redes que no exigen mucha carga de tráfico puede ser una solución adecuada, pero al tratarse de redes corporativas donde el número hosts en su red llega a alcanzar los 1000 equipos, los dispositivos dedicados o appliances son los más adecuados. (Diaz, P., & Hidalgo, P).

(17) Figura 6:. L2TP/IPSEC VPN Fuente: https://marc92.wordpress.com/diferencia-cable-directo-y-cable-cruzado/. Los bajos costos Para una implementación de red que abarque empresas alejadas geográficamente ya no será indispensable en términos de seguridad realizar enlaces mediante líneas dedicadas (punto a punto). En su lugar, se puede emplear un acceso ADSL. Es de bajo costo, brinda un ancho de banda alto y está disponible en la mayoría de zonas urbanas. Los usuarios remotos móviles podrán ahorrar costos de llamadas telefónicas de larga distancia, realizándolas a través de un acceso local a Internet. (Limari Ramirez,2004). Aumento de productividad Una VPN da un nivel de acceso durante mayor tiempo, que significa una mayor productividad de los usuarios de la RED. Además, con la consecutiva reducción en las necesidades de espacio físico, se fomenta el teletrabajo (Limari Ramirez,2004). Disponibilidad La disponibilidad viene motivada principalmente por dos variables: una accesibilidad plena e independiente del momento y del lugar, y un rendimiento óptimo que garantice la calidad de servicio ofrecida al usuario final..

(18) La calidad de servicio (QoS – Quality of Service), hace referencia a la capacidad que dispone una red para asegurar un cierto grado de operación de extremo a extremo. La QoS puede venir dada como una cierta cantidad de ancho de banda o un retardo que no debe sobrepasarse, o bien como una combinación de ambas. Actualmente, la entrega de datos en Internet es realizada de acuerdo con el mejor esfuerzo (best effort), lo cual no garantiza la calidad de servicio demandada. No obstante, en el futuro Internet será capaz de suplir esta carencia ofreciendo un soporte para la QoS a través de un conjunto de protocolos emergentes entre los que cabe destacar DiffServ (Differential Services), RSVP (Resource ReSerVation Protocol) y RTP (Real Time Protocol). Pero por ahora, los proveedores sólo proporcionan la QoS de las VPNs haciendo uso del tráfico CIR (Committed Information Rate) en Frame Relay u otras técnicas (ejemplo MPLS).. Interoperabilidad Las implementaciones de los tres primeros requisitos han provocado la aparición de un cuarto: la interoperabilidad. Los estándares sobre tunneling, autenticación, encriptación y modo de operación ya mencionados anteriormente son de reciente aparición o bien se encuentran en proceso de desarrollo. Por esta razón, previamente a la adquisición de una tecnología VPN, se debe prestar una cuidadosa atención a la interoperabilidad de extremo a extremo. Esta responsabilidad puede residir tanto en el usuario final como en el proveedor de red, dependiendo de la implementación deseada. Una manera de asegurar una correcta interoperabilidad radica en la elección de una solución completa ofrecida por un mismo fabricante. En el caso de que dicho fabricante no sea capaz de satisfacer todos los requisitos, se deberán limitar los aspectos inter operacionales a un subconjunto que englobe aquellos que sean esenciales, además de utilizar únicamente aquel equipamiento que haya sido probado en laboratorios o bien sometido a pruebas. (Daniela Peña, 2016) Una vez vista la relevancia que presentan estas cuatro áreas para las VPN, se procederá a realizar una breve descripción de los principales protocolos comúnmente utilizados, los cuales permiten alcanzar en general unos resultados satisfactorios, principalmente en las áreas de seguridad y compatibilidad. En los Anexos: A, B, C y D se explica detalladamente las tecnologías de acceso remoto, bloques criptográficos para SSL, el protocolo SSL/TSL y finalmente el protocolo LDAP. (Daniela Peña, 2016). Funcionamiento de Redes Privadas virtuales El funcionamiento de una VPN es similar al de cualquier red normal, aunque realmente para que el comportamiento se perciba como el mismo hay un gran número de elementos y factores que hacen esto posible. La información entre los mismos se efectúa con túneles virtuales y usando sus respectivos procedimientos de seguridad que cercioren la confiabilidad e integridad de los datos transferidos..

(19) Figura 7. Tecnologías VPN Fuente: http://computopractico.blogspot.com/2009/09/ccna-1-2111-ventajas-de-las-vpn.html. Tipos de encriptación Todas las VPN trabajan con algún tipo de tecnología de encriptación, para garantizar integridad de los datos para su traslado por la red pública. La encriptación hay que considerarla tan esencial como la autenticación, ya que 24 permite proteger los datos transportados de poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión. (Omar Vidal,2008) • En la encriptación con clave secreta: se usa una contraseña secreta conocida por todos los participantes que van a hacer uso de la información encriptada. La contraseña se utiliza tanto para encriptar y desencriptar la información. Este tipo de sistema tiene el problema que, al ser compartida por todos los participantes y debe mantenerse secreta, al ser revelada, tiene que ser cambiada y distribuida a los participantes, lo que puede crear problemas de seguridad. (Limari Ramirez,2004) • La encriptación de clave pública: se necesita dos claves una pública la que se envía a todos los involucrados y una secreta para proceso de desencriptación, su principal desventaja es que la encriptación es más lenta que la de clave secreta. (Omar Vidal,2008) VPN para empresas Una empresa u organización normalmente implementa una VPN para satisfacer las necesidades de comunicación dentro de la organización (intranet), comunicación con otras organizaciones (extranet) y acceso de usuarios desde dispositivos móviles, computadoras en casa u oficinas remotas..

(20) Las soluciones que cubren estas necesidades abarcan la gran mayoría de topologías y tecnologías que los proveedores de servicios VPN ofrecen. La diferencia se encuentra en el nivel de seguridad que maneja cada tipo de implementación. En el caso de la intranet, el tráfico enviado suele no estar bien protegido por los hosts finales o los firewalls con los que cuenten. Por lo tanto, la solución VPN para este tipo de comunicación debe ofrecer altos niveles de aislamiento y seguridad. Además, el servicio debe contar con calidad de servicio (QoS) garantizada para procesos críticos. Por dichas razones, una organización no suele optar por utilizar la red de Internet, pues no se puede contar con calidad de servicio de extremo a extremo, aislamiento o seguridad que las conexiones dentro de la empresa requieren. (Daniela Peña, 2016). Acceso remoto antes de las VPN Antes de que las VPN fueran tomadas como opción para el acceso remoto, era común que una corporación instalara módems desde los cuales el usuario remoto hacía una llamada para estar en conexión con la red corporativa. En redes donde no hay muchos usuarios remotos se pueden agregar sólo uno o dos módems a una computadora configurada como Servidor de Acceso Remoto (RAS, Remote Access Server). En el caso de organizaciones que mantienen muchos usuarios remotos, es preciso instalar desde decenas hasta cientos de módems y formar bancos o pilas de módems. (Alexandro González, 2006) El acceso remoto así resulta ser caro y requiere de un gran soporte por parte de las empresas. Frecuentemente, los usuarios se encuentran muy alejados de las oficinas centrales de la compañía y tienen que realizar llamadas de larga distancia o llamada 0(Gil, C. ,2010)00. Esto resulta ser especialmente caro si las llamadas son internacionales y si los teletrabajadores requieren estar conectados durante un tiempo largo. El acceso remoto requiere también del uso de los RAS que también son muy caros. (Alexandro González, 2006) El uso de un módem desde otro país causa muchas dificultades ya que las velocidades de conexión son muy lentas, una línea telefónica no es buena y puesto que la mayor parte del tráfico internacional pasa a través de un satélite se producen muchos retrasos en la comunicación. (Alexandro González, 2006). Protocolos utilizados en una VPN Las VPN trabajan con dos tipos comunes de protocolos: PPTP y L2TP. El primero, cuyas siglas significan "Point to Point Tunneling Protocol", ha sido desarrollado por el consorcio PPTP Forum, integrado por Microsoft, US Robotics y 3com entre otras importantes empresas. En general PPTP es el más sencillo, aunque ofrece menor seguridad que L2TP, por este motivo se recomienda al usuario el reemplazo o actualización de las VPN montadas sobre este protocolo. En cuanto al L2TP, cuyas siglas significan "Layer Two Tunneling Protocol", es un estándar creado por el IETF (Internet Engineering Task Force) para solventar y corregir los problemas del protocolo PPTP. El L2TP ofrece más seguridad que el PPTP, pero su implementación resulta más complicada para el usuario común. (Gil, C. ,2010).

(21) Figura 8. Acceso VPN Fuente: https://www.servicomecuador.com/vpn-linux-centos-openvpn/. Para qué sirven las conexiones VPN Seguro que con las explicaciones anteriores ya te has imaginado unas cuantas situaciones en las que las conexiones VPN podrían ser útiles. Es un secreto a voces que son especialmente importantes en el entorno corporativo, pero sus usos no acaban ni mucho menos ahí. Estos son los principales usos de las conexiones VPN. Teletrabajo El uso más obvio de una conexión VPN es la interconectividad en redes que no están físicamente conectadas, como es el caso de trabajadores que están en ese momento fuera de la oficina o empresas con sucursales en varias ciudades que necesitan acceder a una única red privada. Desde el punto de vista de la seguridad, permitir el acceso indiscriminado a la red propia de una empresa desde Internet es poco menos que una locura. Aunque el acceso esté protegido con una contraseña, podría ser capturada en un punto de acceso WiFi público o avistada por un observador malintencionado. Por el contrario, el riesgo disminuye si el trabajador y la empresa se conectan mediante una conexión VPN. El acceso está protegido, la conexión está previsiblemente cifrada y el trabajador tiene el mismo acceso que si estuviera presencialmente ahí. evitar censura y bloqueos geográficos de contenido Con el apogeo de Internet y la picaresca tanto de los proveedores de contenidos como de los usuarios, se han ido popularizando otros usos más lúdicos de las conexiones VPN, muchos de ellos relacionados con un concepto muy sencillo: falsear dónde estás..

(22) Al conectarte con VPN, tu dispositivo se comunica con el servidor VPN, y es éste el que habla con Internet. Si tú estás en China y el servidor VPN está en Estados Unidos, generalmente los servidores web creerán que estás navegando desde este país, dejándote acceder a los contenidos disponibles solo allí, como podría ser Netflix. De igual modo, esta misma lógica se puede usar para acceder a aquellos contenidos que estuvieran censurados o bloqueados en tu país, pero no allí donde se encuentra el servidor VPN. Así es como millones de ciudadanos chinos logran conectarse a Facebook y otras 3.000 webs bloqueadas en el país. Capa extra de seguridad Aunque no es estrictamente necesario, sí es común que las conexiones VPN vengan acompañadas de un cifrado de los paquetes que se transmiten con ellas, por lo que es normal oír la recomendación de que, si necesitas conectarte a un punto de acceso Wi-Fi público, al menos uses te conectes con una VPN. Iniciar sesión en tus cuentas bancarias mientras estás conectado a una red WiFi pública en la que no confías probablemente no sea la mejor idea del mundo, pues es relativamente sencillo para un ladrón capturar los paquetes sin cifrar y hacerse con tus cuentas de usuario. Aquí es donde entra la capa extra de seguridad que puedes conseguir mediante una conexión VPN, pues los paquetes se enviarían cifrados, de modo que aquel que está escuchando probablemente no podría hacer nada con ellos. No obstante, hay letra pequeña en esto, pues mientras estás desconfiando de la red pública Wi-Fi, estás poniendo toda tu fe en el servidor de VPN, que puede de igual modo capturar todo tu tráfico, guardar registros de lo que haces o incluso vender tu ancho de banda al mejor postor. Una VPN es tan segura y útil como su proveedor. Si no confías en tu VPN, no la uses, pues en vez de tener una capa de seguridad adicional, tendrás al enemigo en casa y mirando absolutamente todo lo que haces en Internet. (Ramírez, I. 2018). Figura 9. Túnel VPN Fuente: https://www.xataka.com/seguridad/que-es-una-conexion-vpn-para-que-sirve-y-queventajas-tiene.

(23) SITE-TO-SITE VPN (VPN entre sitios) Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un link VPN a través de Internet, reemplazando así líneas dedicadas que en general son muy caras. Todo lo que se necesita es un servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere autenticación de usuario, pero sí deben autenticarse los servidores VPN entre sí. Cuando se establece la conexión VPN, uno de los servidores VPN asume el rol de cliente e inicia una conexión con otro servidor VPN. Después de establecida la conexión VPN, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local. ¿Cómo saben los servidores VPN que cada uno es auténtico y no un impostor? De acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticación siteto-site en contraseñas asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre-acordadas o en certificados para cada máquina emitidos por una autoridad certificadora (CA, Certificate Authority). ANALISIS DE PROTOCOLOS Los conocimientos que fundamentan a una VPN son una criptografía y un tunelamiento. Una criptografía se utilizada para garantizar la autentificación, confidencialidad e integridad de las conexiones y es la base para la seguridad de las redes; más el tunelamiento es el responsable por el encapsulamiento y transmisión de los datos sobre una red pública entre dos puntos distintos. Dentro del mercado existen diversos protocolos que nos proporcionan este servicio y que difieren entre si dependiendo del nivel del modelo ISO/OSI donde actúan, de la criptografía utilizada y de cómo influye directamente el nivel de seguridad en el acceso remoto VPN..

(24) 2.2 MARCO JURIDICO L2TP (RFC 2661) es un protocolo de redes privadas virtuales que se utiliza generalmente en VPDN (VPN de acceso remoto). Es una combinación de L2F (Layer 2 Forwarding) y PPTP para corregir la deficiencia de los estos dos protocolos y establecerse como un estándar. Las principales características son: ● ● ● ● ●. Protocolo de nivel 2 que encapsula tramas PPP. Se encapsula sobre UDP. Se utiliza generalmente en VPDN pero es posible configurar conexión Site-to-Site. Los mensajes de control y de datos tienen la misma estructura. Al tener una estructura como la de PPP los métodos de autenticación son los mismos (PAP, CHAP, MS-CHAP o EAP) ● Los datos en un paquete PPP encapsulados en L2TP se pueden comprimir o encriptar. ● Se suele utilizar en combinación con IPSEC. La seguridad en L2TP compone principalmente de 2 partes: ● Autenticación ● Encriptación de datos. Autenticación Se utiliza una autenticación a dos niveles: Autenticación del computador y del usuario. Para la autenticación del computador es necesario tener instalado en ambos computadores uno certificado. Por otra parte, para la autenticación del usuario debido que L2TP no proporciona autenticación por sí mismo es necesario utilizar uno de los métodos que utiliza PPP (CHAP, PAP, MS-CHAP o EAP). Para la integridad de los datos podemos utilizar HMAC (Hash Algorithm Authentication Code), MD5 (Message Digest 5) o HMAC SHA (Secure Hash Algorithm). ENCRIPTACIÓN DE DATOS L2TP soporta algoritmo de encriptación DES, con clave de 256 bits. Un mecanismo muy utilizado es utilizar 3 veces seguidas la encriptación DES, denominada 3DES, que utilizaría tres claves de 256 bits. ISO 27001: Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2. (Antonio José Segovia, 2013). Parte del diseño de cualquier red se debe fundamentar en la seguridad e integridad de la información. Es por esto de tener en cuenta esta norma..

(25) CAPITULO III. Esquematización Ingenieril. 3.1 ANÁLISIS DEL PROYECTO Para realizar la recolección de la información necesaria, se han requerido de herramientas y técnicas que permitan evaluar los requerimientos del cliente, para así tener la información necesaria para hacer el diseño de la red VPN de acuerdo las necesidades de la empresa.. 3.1.1 TÉCNICAS DE RECOLECCIÓN DE DATOS 3.1.1.1 ENTREVISTA Esta herramienta permite conocer directamente del cliente los requerimientos de la red, por lo cual se ha aplicado la entrevista al Director de Tecnología de la compañía. La estructura de la entrevista se muestra a continuación: Pregunta 1: ¿Cuáles son los objetivos del negocio? Respuesta: Los objetivos del negocio van enfocados a la visión de la empresa. Nuestra propuesta de valor superará las expectativas de nuestros clientes, con la entrega anticipada de sus proyectos y con los mejores índices de seguridad del sector. Mantendremos un crecimiento sostenido en ventas de por lo menos el 20% anual, en el cual el desarrollo de proyectos de infraestructura representará una porción significativa de nuestros ingresos; adicionalmente aseguraremos un back log de más de dos años en contratos de largo plazo. Pregunta 2: ¿Cuáles son los objetivos del área de tecnología? Garantizar el buen funcionamiento de la infraestructura y de los aplicativos que se manejan en la compañía. • Atender los incidentes solicitudes y sugerencias de los colaboradores en cuanto a tecnología. • Realizar capacitaciones para asegurar el buen manejo de las herramientas físicas y lógicas por parte de los colaboradores. • Mantener a la compañía a la vanguardia de las soluciones tecnológicas del mercado. • Desarrollar soluciones que ayuden al cumplimiento de los objetivos corporativos.. Pregunta 3: ¿Cuántos usuarios cuentan con equipo portátil y cuántos de ellos requieren conexión VPN?.

(26) actualmente se cuentan con cerca de 40 equipos portátiles de los cuales 25 requieren conexión VPN. Pregunta 4: ¿Se tiene en este momento dispositivos firewall o cortafuego físico? Actualmente se cuenta con un firewall marca Sophos para el balanceo de los canales dedicados y el acceso a internet. Pregunta 5: ¿Requiere la empresa cobertura inalámbrica? En caso de ser afirmativa la respuesta, ¿En toda la planta o sólo para zonas específicas de la planta? La red inalámbrica ya se encuentra implementada en toda la empresa. Pregunta 6: ¿Hay implementación del teletrabajo o está dentro de los planes de la empresa implementarlo? actualmente no se cuenta con teletrabajo implementado, si está dentro de los planes de la empresa desarrollar esta alternativa de trabajo Pregunta 7: ¿cuáles son los aplicativos de gestión de la empresa y cuál es su disponibilidad? Se cuenta con un ERP llamado JD Edwars e Infoview herramienta de análisis y reportes. Estas herramientas son de alto impacto en la empresa por lo cual deben tener alta disponibilidad para el desarrollo de las funciones de los empleados. Pregunta 8: ¿Qué herramientas de colaboración se manejan en la empresa? Se manejan básicamente navegadores de internet, suite de Office Professional 2016, antivirus Kaspersky, aplicación para helpdesk ExpoTic, lectores de PDF y 7-zip para archivos comprimidos Pregunta 9: ¿Qué aplicativos requieren de acceso dedicado o 7 x 24? La aplicación que se requiere disponible en todo momento es el ERP. Para problemas de conexión con la aplicación, es necesario solucionarlos en menos de 2 horas para evitar pérdidas de horas de trabajo-hombre. Pregunta 10: ¿Cuentan la empresa con un servidor de archivos? SI, la empresa cuenta con un servidor de archivos al que se accede por medio de unidades de red, los permisos se manejan desde el Active Directory. Pregunta 11: ¿Cómo es el funcionamiento del correo corporativo y cual se utiliza? el correo corporativo se maneja por medio de Google Apps y se accede por medio de un navegador de internet. Google trabaja con TLS Y SSL para cifrar los correos. Pregunta 12: ¿Cuáles son las áreas de la empresa?.

(27) Financiero, Comercial y Ventas, Tecnología, Gestión Humana, Calidad, Producción y Planeación. Pregunta 13: ¿Actualmente cuentan con seguridad en la red por áreas? para el acceso a internet se utiliza el firewall, no se cuenta con configuración de VLAN y los permisos se administran por directorio activo. Pregunta 14: ¿Cómo se realiza el monitoreo de tráfico en la red? Sólo se usa la interfaz que proporciona el firewall. Pregunta 15: ¿Cuál es la necesidad de implementar red VPN? es necesario implementar una alternativa de conexión a la red corporativa desde redes externas, debido a que algunas veces se ve afectada la operación cuando un colaborador se encuentra fuera de las instalaciones de la compañía y no puede acceder a los aplicativos que requiere para desarrollar su función aun contando con conexión a internet Pregunta 16: ¿Qué controles son necesarios en el momento de la implementación de la vpn? es necesario tener un control de seguridad sobre la conexión que se vaya a implementar desde redes externas a la red interna, garantizando que no haya pérdida de la información o infiltración hacia la red de la empresa de personas inescrupulosas, vigilando las conexiones externas teniendo un informe detallado de los usuarios, ubicación, proveedor de internet, fechas y tiempos en los que se intentó y se logró acceder a la red. 3.1.2 REVISIÓN Y RECONOCIMIENTO DE LA RED. Figura 10. Conexión VPN Ip Publica Sede Remota: 10.200.15.4 Ip Publica Sede Principal: 10.20.15.5.

(28) 3.2 ESTRUCTURA TEMÁTICA METODOLOGÍA DEL DESARROLLO CON CISCO.  Fase de planificación: los requerimientos detallados de red son identificados y la red existente es revisada.  Fase de diseño: la red es diseñada de acuerdo con los requerimientos iniciales y datos adicionales recogidos durante el análisis de la red existente. El diseño es refinado con el cliente. FASE I: La empresa Laboratorios Expofarma S.A. se encuentra ubicada en la ciudad de Bogota cuenta con 2 sucursales, una en el barrio los alcázares y otra en el barrio el Chico. Dichas sedes tratan la información de manera individual, para el proceso de sus datos no consideran la aplicación cliente servidor, si no que más bien emplean una aplicación antigua desarrollada para el manejo de la información. De esta manea el sistema integrado de la empresa demanda mensualmente gastos necesarios para centralizar toda la información en una de las sedes, debido a que existen áreas y procesos que requieren la data completa de la empresa por citar las ares de finanzas, secretaria contabilidad etc. Por esto necesario implementar una alternativa de conexión a la red corporativa desde redes externas, debido a que algunas veces se ve afectada la operación cuando un colaborador se encuentra fuera de las instalaciones de la compañía y no puede acceder a los aplicativos que requiere para desarrollar su función aun contando con conexión a internet Se requiere tener un control de seguridad sobre la conexión que se vaya a implementar desde redes externas a la red interna, garantizando que no haya pérdida de la información o infiltración hacia la red de la empresa de personas inescrupulosas, vigilando las conexiones externas teniendo un informe detallado de los usuarios, ubicación, proveedor de internet, fechas y tiempos en los que se intentó y se logró acceder a la red. Como propuesta para solucionar la problemática de la empresa Laboratorios Expofarma S.A. se plantea implementar una VPN (Virtual Private Network) con un protocolo de seguridad L2TP (Layer 2 Tunneling Protocol) para manejo de información entre las sedes y desde redes externas para tener acceso seguro y confiable a todas las aplicaciones e información de la compañía, con posibilidad de realizar controles de las conexiones a la red interna.. FASE II: La empresa laboratorios EXPOFARMA S.A utiliza la máscara 25 ya que cuenta con un total de 88 equipos como se puede observar en el plano de red, la máscara nos permite un total de 126 hosts y 1 para broatcast. La red de laboratorios EXPOFARMA S.A es la 192.168.200.0/25..

(29) Firewall La serie Cisco PIX (Private Internet Exchange) Firewall proporciona un alto grado de seguridad en un dispositivo hardware y software fácil de instalar y con un rendimiento sobresaliente. Este dispositivo permite proteger rigurosamente la red interna del mundo exterior. Cisco PIX 515E Firewall, es una versión de la plataforma PIX con capacidades mejoradas, diseñadas para una seguridad óptima y un buen desempeño de VPN. Se basa en el Algoritmo de Seguridad Adaptable (ASA) que permite al PIX implementar estrictas medidas de seguridad.. Figura 11. Cisco PIX Firewall Modelo 515. Hardware Modelo:. PIX-515.. Procesador:. Pentium 200 MHz.. Memoria RAM:. 32 MB RAM.. Memoria Flash:. 16MB.. BIOS Flash:. 32KB.. Interfaces Ethernet:. 3 de 10/100 Mbps (inside, dmz, outside).. Peso y Dimensiones.

(30) Factor de forma: 1 RU, standard 19-plg, montable en Rack. Dimensiones (H x W x D): 1.72 x 16.82 x 11.8 in. (4.37 x 42.72 x 29.97 cm). Peso (con fuente de poder): 11 lb (4.11 kg). Ranuras de Expansión Dos slots PCI de 32-bit/33-MHz. Dos slots DIMM RAM de 168-pines, soporta hasta 64Mb de memoria máximo. Interfaces Puerto de consola: RS-232, 9600 bps, RJ45. Puerto Failover: RS-232, 115 Kbps, DB-15 (requiere de cable especial Failover). Dos interfaces integradas Fast Ethernet 10/100, auto (half/full duplex), RJ45.. Figura 12. Interfaces instaladas en el PIX.. Software (Firewall OS) El Cisco PIX Firewall Release 6.2, es de Licencia Restringida, el modelo Cisco PIX 515 “Restringido” (PIX 515-R) provee un excelente valor para organizaciones que buscan seguridad robusta con Cisco PIX. Incluye 32 MB de RAM, dos interfaces Fast Ethernet 10/100, y soporta una interface adicional Fast Ethernet 10/100Mbps. Compatibilidad con Easy VPN server Los Firewalls PIX pueden actuar como clientes VPN basados en hardware, las siguientes plataformas Easy VPN Server son soportadas para este caso:. Cisco IOS Routers Cisco PIX Firewalls Cisco VPN 3000 Concentrators. Release 12.2(8)T y superior Release 6.0(1) y superior Release 3.1 y superior.

(31) Tabla 1. Compatibilidad del PIX con Easy VPN Server.. También los Firewalls pueden interoperar con los siguientes productos VPN Cisco para la conectividad VPN “sitio-a-sitio”.. Cisco IOS Routers Cisco PIX Firewalls Cisco VPN 3000 Concentrators. Release 12.1(6)T y superior Release 5.1(1) y superior Release 2.5.2 y superior. Tabla 2. Compatibilidad de dispositivos Cisco para VPN sitio a sitio. Compatibilidad VPN Client El Firewall PIX soporta una amplia variedad de Clientes VPN basados en software y hardware, incluyendo: Software IPSec VPN clients Cisco secure VPN Client release 1.1 Cisco VPN concentrator client, release 2.5 y superior Cisco VPN client para Windows, release 3.0 y superior Cisco VPN client para Linux, release 3.5 y superior Cisco VPN client para Solaris, release 3.5 y superior Cisco VPN client para Mac OS X, release 3.5 y superior Cisco VPN 3002 hardware client, release 3.0 y Hardware IPSec VPN superior Clients Cisco IOS software Easy VPN remote, release 12.2(3)YJ Cisco PIX Firewall Easy VPN Remote, release 6.2 y superior Layer 2 Tunneling Protocol Microsoft Windows 7 (L2TP) IPSec VPN Clients Poin-to-Point Tunneling Microsoft Windows 7 Protocol Microsoft Windows 8 (PPTP) VPN clients Microsoft Windows 8.1 Microsoft Windows 10.

(32) Tabla 3. Compatibilidad con software clientes VPN. CLIENTE VPN El cliente VPN para este escenario es un computador personal (PC) con las siguientes características: Software Sistema Operativo: Windows 7. Cisco VPN Client: Versión 4.6. Características de VPN Client VPN Client es una aplicación que corre en un PC Windows, en Sun ultraSPARC workstations, en Linux desktop y en Macintosh (Mac) personal computer.. FASE III: Plano de la empresa Laboratorios Expofarma.

(33) El rack que se encuentra localizado en la parte inferior costado izquierdo contiene un switch PT300 cisco, un computador, un servidor, un firewall Cisco y un modem como en la siguiente imagen se observa.. Configuración de los servidores.. Especifica el grupo de Política VPN túnel a Usar En este punto se configura el protocolo L2TP/IPSEC y las políticas que se aplicaran al túnel que se va a utilizar para la conexión VPN, por lo cual se debe ingresar al grupo defauld de políticas para así configurara el protocolo. Acceso al grupo de políticas Asa5500(Config)# group-policy VPN-User-L2TP internal Asa5500(Config)# group-policy VPN-User-L2TP attributes. Configuración del protocolo L2TP Asa5500(config-group-policy)# vpn-tunnel-protocol l2tp-ipsec. Configurara server DNS (Opcional) Asa5500(config-group-policy)# dns value 10.200.250.12. Adicionar el túnel el grupo de políticas de seguridad Asa5500(Config)# tunnel-group VPN-Remote general-attributes Asa5500(config-tunnel-general)# default-group-policy VPN-User-L2TP. Adicionar segmento IP al tunnel Asa5500(Config)# tunnel-group VPN-Remote general-attributes Asa5500(config-tunnel-general)# address-pool VPN-L2TP-Pool. Adicionar el server a autenticar Asa5500(Config)# tunnel-group VPN-Remote general-attributes Asa5500(config-tunnel-general)# authentication-server-group 10.200.250.10 LOCAL.

(34) Configuración de los clientes de la red.. Configuración de un Grupo DHCP para Usuarios VPN Configuración de un Grupo DHCP para Usuarios VPN El primer proceso es crear un Pool (Grupo) de direcciones, este tendrá como funcionalidad asignar a cada usuario remoto un IP del rango configurado; los cuales me permitirán identificar los usuarios conectados con el fin de permitir el acceso a los servicios de la compañía Asa5500(Config)# ip local pool Nombre-Grupo de ip Ip Inicial – Ip Final Asa5500(Config)# ip local pool VPN-L2TP-Pool 192.168.5.2 – 192.168.5.20. Creación de Grupo o perfil de acceso o conexión Este proceso nos permite crear un perfil de conexión con su método de acceso de los usuarios con el fin de identificar a que túnel esta asociada cada conexión externa Asa5500(Config)# tunnel-group name type remote-access Asa5500(Config)# tunnel-group VPN-Remote type remote-access. Método de autenticación del Cliente Asa5500 (config)# tunnel-group VPN-Remote ppp-attributes Asa5500 (config-ppp)# authentication ms-chap-v2. FASE IV: Se entregara con el documento diseño de red en cisco Packet Tracert. 3.3 DISEÑO DEL PROYECTO.

(35)

(36) Crear el nivel de seguridad tanto de encriptación y autenticación de la VPN Este nos permite configurara el nivel de seguridad del túnel VPN, con el fin de convertir la data enviada por el túnel sea lo mas compleja posible y con un nivel de autenticación bastante fuerte, garantizando una VPN segura para la transferencia de data.. Asa5500(Config)# crypto ipsec transform-set nombre-túnel Autenticación. Tipo-Encriptación. Tipo-. Asa5500(Config)# crypto ipsec transform-set VPN-User-L2TP esp-aes-256 esp-sha-hmac. Tipos de Encriptación. Tipo Autenticación. Estado de la VPN-L2TP/IPSEC Este paso nos permite decidir en que parte de la trama se aplicara la encripcion dependiendo el modo seleccionado, para esto existen el modo túnel que cifra el encabezado y el payload de cada paquete mientras que el modo de transporte cifra solamente el payload Para nuestro trabajo trabajaremos en modo transporte Asa5500(Config)# crypto ipsec transform-set nombre-túnel Modo.

(37) Asa5500(Config)# crypto ipsec transform-set VPN-User-L2TP mode Transport Adicionar Key al tunnel Asa5500(Config)# tunnel-group VPN-Remote ipsec-attributes Asa5500(config-tunnel-general)# pre-shared-key ClavedeConexion. Configurar latido de vida Tunel VPN Asa5500 (config)# l2tp tunnel hello 100. Creación de usuario de conexión Asa5500 (config)# username jdoe password j!doe1 mschap.

(38) CONCLUSIONES En el desarrollo del proyecto se evidencio que la empresa Laboratorios Expofarma S.A. no contaba con conexión directa y segura entre las dos sedes en Bogotá, a pesar de que cada sede contara con infraestructura de red y el proceso para centralizar la información se debía hacer por medio de dispositivos extraíbles o por medio de correos que no eran eficaces, ni seguros, el uso de las aplicaciones corporativas se debía hacer únicamente en la sede principal donde estaban los servidores principales. Se realizó el diseño de una red VPN con un protocolo L2TP que permite la conexión entre las dos sedes sin modificar la infraestructura brindando la seguridad necesaria. El diseño de este proyecto amplio la posibilidad de que los empleados pudieran continuar desarrollando sus labores diarias aun cuando están fuera de la compañía, también puedan moverse entre sedes sin ver afectado los procesos. El proyecto logró justificar la necesidad de realizar controles de conexión a la red interna por la VPN estableciendo restricciones por medio de perfiles de usuario teniendo así un nivel de seguridad mayor en la información y acceso a los aplicativos. El diseño de red de la empresa laboratorios EXPOFARMA S.A se realizó mediante Packet Tracer para configurar los dispositivos de forma real, permitiendo observar la actividad y comportamiento de los dispositivos al configurarlos y evitando problemas a futuro..

(39) REFERENCIAS. 1. LIMARI RAMIREZ, Víctor Humberto. Tesis de Grado: Protocolos de Seguridad para Redes Privadas Virtuales (VPN). Universidad Austral de Chile Valdivia, Chile. 2004 URL: http://cybertesis.uach.cl/tesis/uach/2004/bmfcil732p/doc/bmfcil732p.pdf Última fecha de consulta: 14 de octubre 2018. 2. Ing. Fausto Raúl Orozco Lara. Tesis de Grado: Diseño de una red privada virtual con tecnología MPLS para la Carrera de Ingeniería de Networking de la Universidad de Guayaquil url: http://repositorio.ucsg.edu.ec/bitstream/3317/2198/1/T-UCSG-POSMTEL-23.pdf Última fecha de consulta: 14 de octubre 2018. 3. OMAR VIDAL. (2008). Recuperado de http://omar1985.wordpress.com/ 4. Daniela V. Peña Q, TRABAJO ESPECIAL DE GRADO: “DISEÑO E IMPLEMENTACIÓN DE UNA RED PRIVADA VIRTUAL (VPN-SSL) UTILIZANDO EL MÉTODO DE AUTENTICACIÓN LDAP EN UNA EMPRESA PRIVADA” url: http://mendillo.info/seguridad/tesis/Pe%C3%B1a.pdf 5. PEPELNJAK Iván, GUICHARD Jim. MPLS and VPN Architectures. Editor: Cisco Press, Estados Unidos 2002. 6. Alexandro González Morales Monografia: Redes Privadas Virtuales url https://uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Redes%20privadas% 20virtuales.pdf 7. Diaz, P., & Hidalgo, P. Recuperado de http://bibdigital.epn.edu.ec/bitstream/15000/3703/1/2010AJIEE-32.pdf. 8. Gil, C. (2010). Recuperado de https://eprints.ucm.es/13078/2/Proyecto.pdf 9. Ramírez, I. (2018). ¿Qué es una conexión VPN, para qué sirve y qué ventajas tiene?. Recuperado de https://www.xataka.com/seguridad/que-es-una-conexion-vpn-paraque-sirve-y-que-ventajas-tiene. 10. Prieto, Y. (2011). Recuperado de https://repository.unilibre.edu.co/bitstream/handle/10901/8838/IMPLEMENTACION%2 0DE%20L%20RED%20PRIVADA%20VIRTUAL%20%28VPN%29%20A%20LAS%20S UCURSALES%20Y%20USUARIOS%20EXTERNOS%20DE%20LA%20EMPRESA.pd f?sequence=1&isAllowed=y.

(40) 11. CABLEADO ESTRUCTURADO. (2018). http://platea.pntic.mec.es/~lmarti2/cableado.htm. Recuperado. de. 12. EdgeRouter L2TP/IPSEC VPN server. (2018). Recuperado de https://community.ubnt.com/t5/EdgeRouter/EdgeRouter-L2TP-IPSEC-VPN-server/tdp/2200470 13. Pagina nueva 4. (2018). Recuperado de http://alumnosistema.galeon.com/IS(Limari Ramirez,2004)Y2/TEMA_II/TEMA_2_1_9.htm 14. Que es y como crear una VPN. http://www.configurarequipos.com/doc499.html. (2018).. Recuperado. de. 15. VPN Red Virtual Linux openvpn - Servicomecuador. (2018). Recuperado de https://www.servicomecuador.com/vpn-linux-centos-openvpn/ 16. Metodologías para implementar proyectos http://metodologiaspararedes.blogspot.com/. redes. (2013).. Recuperado. de. 17. Segovia, A. (2018). ¿Qué es norma ISO 27001? http://advisera.com/27001academy/es/que-es-iso-27001. Recuperado. de.

(41)