INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA
UNIDAD CULHUACAN
TESINA
Seminario de Titulación:
“Las tecnologías aplicadas a las redes de computadoras”
FNS 5092005/04/2008
SISTEMA DE ACTIVACIÓN DE VPN CON CISCO 7206 VXR
Que como prueba escrita de su examen Profesional para obtener
el Título de:
Ingeniero en Comunicaciones y Electrónica Presentan:
PÉREZ LÓPEZ ROBERTO
REBOLLAR HERNÁNDEZ JUAN VICTOR Ingeniero en Computación
Presenta:
GODÍNEZ QUEZADA ERICK ARTURO
INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA ELÉCTRICA UNIDAD CULHUACAN
TESINA
POR LA OPCIÓN DE SEMINARIO DE TITULACIÓN
FNS5092005/04/2008
QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMUNICACIONES Y ELECTRÓNICA
PRESENTA: PÉREZ LÓPEZ ROBERTO
REBOLLAR HERNÁNDEZ JUAN VICTOR QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMPUTACIÓN
PRESENTA: GODÍNEZ QUEZADA ERICK ARTURO
SISTEMA DE ACTIVACIÓN DE VPN CON CISCO 7206 VXR
SE REALIZARÁ UN SISTEMA DE ACTIVACIÓN DE VPN EN EQUIPO CISCO 7206 VXR PARA SOLVENTAR LA NECESIDAD EN LAS GRANDES EMPRESAS DE PODER ADMINISTRAR EN SUS REDES LAS ALTAS Y BAJAS DE ESTE TIPO DE CONEXIONES DE MANERA AUTOMÁTICA Y CENTRALIZADA. EL SISTEMA DE ACTIVACIÓN CONTARÁ CON EL PROCEDIMIENTO NECESARIO DE CONFIGURACIÓN DE VPN PARA ASEGURAR QUE AL CONFIGURAR LOS EQUIPOS DE LA RED, NO SE CORROMPAN OTROS SERVICIOS YA INSTALADOS, CON ESTO SE EVITA GRAN PARTE DE EL ERROR HUMANO QUE PUEDE EXISTIR AL CONFIGURAR ESTE TIPO DE SERVICIOS DE FORMA DIRECTA EN LOS ELEMENTOS DE LA RED. CISCO ENTREGA LA LÍNEA MÁS AMPLIA Y COMPLETA DE SOLUCIONES PARA EL TRANSPORTE DE DATOS, VOZ Y VIDEO ALREDEDOR DEL MUNDO, ASEGURANDO QUE TANTO LAS REDES PÚBLICAS COMO LAS PRIVADAS OPEREN CON MÁXIMO DESEMPEÑO, SEGURIDAD Y FLEXIBILIDAD. EL EQUIPO CISCO 7206 VXR ES EL MÁS RECIENTE DE LA SERIE CISCO 7200.
CAPITULADO
INTRODUCCIÓN.
CAPÍTULO 1 FUNDAMENTOS DE LAS REDES PRIVADAS VIRTUALES.
CAPÍTULO 2 FUNDAMENTOS DE LOS SISTEMAS DE INFORMACIÓN.
CAPÍTULO 3 CONFIGURACIÓN VRF (VPN ROUTING / FORWARDING).
CAPÍTULO 4 DISEÑO DEL SISTEMA DE ACTIVACIÓN DE VPN.
CONCLUSIONES.
BIBLIOGRAFÍA.
GLOSARIO.
México D.F. 09 de Agosto de 2008
M. en C. Diana Salomé Vázquez Estrada
Coordinador Académico del Seminario Ing. Patricia Cortés Pineda.
Asesor.
M. en C. Héctor Becerril Mendoza Jefe del Departamento de Ingeniería
en Comunicaciones y Electrónica
II A Dios que me ha dado una familia maravillosa y una vida llena de emociones, retos y felicidad.
A mis amados padres en quienes siempre he encontrado el apoyo que me ha hecho crecer como persona y a quienes les debo todo lo que soy.
A mi amada esposa quien me llena de alegría cada día y me da la fuerza y motivación para cumplir mis objetivos.
Erick Arturo
Agradezco a mis padres el darme el apoyo necesario e inculcarme los valores necesarios para ser una persona de bien y llegar hasta donde estoy ahora.
A mis hermanas y hermano por darme su apoyo cuando lo he necesitado.
A mis sobrinos que me dan ratos de alegría cuando estoy con ellos.
A Dios por permitirme ser quien soy.
Roberto
III Agradezco al Instituto Politécnico Nacional por haber permitido formarme como una persona profesional, además de brindar la preparación que egresados de otras escuelas envidian en su formación Académica.
Agradezco a Dios por permitir compartir la alegría de las dos grandes mujeres, a mi lado.
Agradezco a mi Madre la mejor madre que pudo existir, que con sus infinitos cansancios logró darme más de lo que se le da a un hijo, el valor de luchar por lo que quieres, no importe el cansancio que esto conlleve y el amor que supera al de ella misma.
Agradezco a mi futura esposa que me ha brindado el apoyo incondicional y enseñado a ver la otra mitad de mí, día a día, en ella, en su amor…Gracias!
Juan Victor
IV
Índice
Introducción 1
Capítulo I. Fundamentos de las Redes Privadas Virtuales 9
1.1 Seguridad para la VPN 13
1.2 Ventajas y Desventajas de una Red Privada Virtual (VPN) 15
1.2.1 Ventajas de una Red Privada Virtual (VPN) 16
1.2.2 Desventajas de una Red Privada Virtual (VPN) 17
1.3 Arquitectura de la Red Privada Virtual (VPN) 17
1.3.1 Redes Privadas Virtuales basadas en FireWall 17
1.3.2 Redes Privadas Virtuales basadas en caja negra 18
1.3.3 Redes Privadas Virtuales basadas en ruteadores 18
1.3.4 Redes Privadas Virtuales basadas en acceso remoto 18
1.4 Topologías de VPN 18
1.4.1 Topología de Cortafuego/VPN a cliente 19
1.4.2 Topología de VPN/LAN a LAN 20
1.4.3 Topología de cortafuego/ VPN a Internet/ extranet 21
1.4.4 Topología de VPN/tramas a ATM 22
1.4.5 Topología de VPN de hardware (caja negra) 23
1.4.6 Topología de VPN/NAT 23
1.5 Tráfico de entrada y salida de la VPN 23
1.6 Tráfico de entrada de la VPN 24
1.7 Topología de conmutación de VPN 24
Capítulo II. Fundamentos de los Sistemas de Información 25
2.1 Sistemas de información 25
2.2 Categorías de los sistemas de información 26
2.2.1 Sistemas para el procesamiento de transacciones 26
2.2.2 Sistemas de información administrativa 26
2.2.3 Sistemas para el soporte de decisiones 27
2.3 Estrategias para el desarrollo de sistemas 28
2.4 Ciclo de vida clásico del desarrollo del sistema 30
2.4.1 Investigación preliminar 31
2.4.2 Determinación de los requerimientos del sistema 32
2.4.3 Diseño del sistema 33
2.4.4 Desarrollo de software 33
2.4.5 Prueba del sistema 34
2.4.6 Implantación y evaluación 34
Capítulo III. Configuración VRF (VPN routing/forwarding) 36 3.1 Protocolo de Gateway Fronterizo o Border Gateway Protocol 38 3.2 Conmutación Multi-Protocolar mediante Etiquetas MPLS 38
3.2.1 Características básicas y funcionamiento 39
V
3.2.2 Arquitectura MPLS 42
3.2.3 Cabecera MPLS 42
3.3 Operación de VRF 43
3.3.1 Pasos a seguir para la configuración de la VRF (Seguimiento de ruteo VPN) 44 3.3.2 Ejemplo de una configuración de VRF es el siguiente: 46
Paso 1: Configuración VRF 46
Paso 2: Configura dirección de familia 47
Paso 3: Anuncio de subredes 47
Paso 4: Configuración interfaz de circuito interno 48
Capítulo IV. Diseño del Sistema de Activación de VPN 49
4.1 Interfaz Gráfica de Usuario: 50
4.1.1 Procesar Workflow 53
4.1.2 Generación de mensajes de error 58
4.2 Demonios del SAS 59
4.2.1 Demonio de Ejecuciones 59
4.2.2 Demonio de Notificaciones 60
4.2.3 Demonio del ruteador 62
4.3 Dralasoft 62
4.3.1 Motor de Ejecución de Workflows de Dralasoft 64
4.4 Diseño de la base de datos 70
4.4.1 Tabla REQUEST: 71
4.4.2 Tabla WORKFLOW 71
Conclusión 73
Bibliografía: 75
Glosario 76
1
Introducción
Algunos años atrás, las diferentes sucursales de una empresa podían tener, cada una, una red local a la sucursal que operara aislada de las demás. Cada una de estas redes locales tenía su propio esquema de nombres, su propio sistema de email, e inclusive usar protocolos que difieren de los usados en otras sucursales. Es decir, en cada lugar existía una configuración totalmente local, que no necesariamente debía ser compatible con alguna o todas las demás configuraciones de las otras áreas dentro de la misma empresa. Conforme ha ido pasado el tiempo las empresas han visto la necesidad de que las redes de área local superen la barrera de lo local permitiendo la conectividad de su personal y oficinas en otros edificios, ciudades, comunidades autónomas e incluso países.
La Red Privada Virtual (VPN, Virtual Private Network ) vino a solucionar este problema de comunicación siendo una tecnología de red que permite una extensión de la red local sobre una red pública, por ejemplo Internet. Esto es posible gracias a los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación:
Autenticación y autorización: Técnica por la cual se reconoce el usuario o equipo a conectarse y el nivel de acceso que debe tener.
Integridad: Es la garantía de que los datos enviados no han sido alterados.
Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de ser interceptados, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma.
2 El concepto de VPN ha estado presente desde hace algunos años en el mundo de la redes de voz. A mediados de los años 80’s, grandes portadoras fueron ofrecidas como VPN para servicios de voz, de manera que las compañías podían tener la apariencia de una red privada de voz, mientras compartían los recursos de una red mucho mayor. Este concepto se está aplicando ahora tanto para voz como para datos de la misma manera. Esencialmente una VPN es una red de datos aparentemente privada, pero la cual utiliza los recursos de un red de información mucho mayor. La Internet es la plataforma ideal para crear una VPN.
En un principio existían dos tipos básicos de tecnologías VPN, las cuales fueron la base de las VPN hoy en día: VPN confiables y VPN seguras. Las VPN híbridas, surgieron como consecuencia de un desarrollo tecnológico y de los avances de la Internet.
Antes de que la Internet se volviera universal, una VPN consistía en uno o más circuitos rentados a un proveedor de comunicaciones. Cada circuito rentado actuaba como un cable independiente, el cual era manejado por el cliente. La idea básica era que el cliente usara el circuito de la misma manera en que usaba los cables físicamente en su red local.
La privacidad con la que contaban estas VPN no era más que la que el proveedor del servicio de comunicación le otorgaba al cliente; nadie más podía usar el mismo circuito.
Esto permitía a los clientes tener su propia dirección IP y políticas de seguridad independientes. Un circuito rentado corría sobre uno o más switch de comunicación, de los cuales, cualquiera podía ser comprometido por algún operador que tratara de monitorear el tráfico de las líneas. El cliente VPN tenía que confiar la integridad de los circuitos y de la información en el proveedor de servicio VPN; por este motivo este tipo de redes era llamado VPN confiable.
Con el paso del tiempo la Internet se volvió más popular como medio de comunicación corporativo, y la seguridad se volvió un tópico de mayor importancia. Con el antecedente de las VPN confiables, se buscaron implementaciones que no afectaran la privacidad de la información y que incluyeran la integridad de los datos enviados. Se empezaron a crear protocolos que permitieran la encriptación del tráfico en algún extremo de la red, que se
3 moviera a través de la Internet como cualquier otra información, para luego ser descifrado cuando alcanzara la red de la corporación o al destinatario.
Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de carácter privado, únicamente a personal autorizado, de una empresa, centros de formación, organizaciones, etc.; cuando un usuario se conecta vía Internet, la configuración de la Red Privada Virtual le permite conectarse a la red privada del organismo con el que colabora y acceder a los recursos disponibles de la misma como si estuviera tranquilamente sentado en su oficina.
En la práctica, la tecnología VPN nos da la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder desde su equipo portátil desde un sitio remoto, por ejemplo un hotel, cafetería, restaurante, etc. Todo esto utilizando la infraestructura de Internet.
Las ventajas de ocupar la tecnología VPN en las empresas son los ahorros considerables en enlaces privados: un enlace privado o "dedicado" de punto a punto entre 2 sucursales o enlaces del tipo empresarial, son bastante costosos, aunque ofrecen buena calidad en el servicio, su costo es sumamente elevado, pues llegan a costar decenas de miles de pesos de renta mensual más el costo de los equipos de telecomunicaciones especiales necesarios para soportar estos enlaces.
Infraestructura fácil de mantener: como referencia a lo anterior, la infraestructura y equipos de red como fibras ópticas, ruteadores, conversores de señal, tarjetas de recepción, etc. son equipos de precio elevado, y se tiene que tener un espacio dedicado a estos en una empresa que los requiera, donde las condiciones ambientales deben ser las adecuadas y, por otra parte, el costo del soporte técnico es también costoso. Con la implementación de una VPN, el mantenimiento a la infraestructura y el soporte son bastante económicos en comparación a lo anterior, si un equipo llega a tener una falla en hardware, la inversión en su mantenimiento es relativamente baja como cualquier otro equipo de cómputo de la empresa.
4 Los proveedores del servicio de VPN y las empresas de gran tamaño que lo ocupan enfrentan constantemente la necesidad de optimización de los costos de gestión y funcionamiento, simplificando la gestión de redes y aumentando las oportunidades de beneficios.
Una solución a estas necesidades es la implementación de un Sistema de Activación el cual ayude a administrar de forma óptima este tipo de conexiones VPN creando un procedimiento estándar de configuración, y dando el mayor rendimiento en funcionamiento eliminando la configuración manual de equipos de red para evitar errores humanos.
Se realizará un sistema de activación de VPN en equipos CISCO 7206 VXR para solventar la necesidad en las grandes empresas de poder administrar en sus redes las altas y bajas de este tipo de conexiones de manera automática y centralizada.
Gracias al sistema de activación se podrá llevar un control de los cambios que ha tenido la red en cuanto a las conexiones VPN se refiere y quien ha sido el responsable de llevarlas a cabo, facilitando la identificación de responsabilidades dentro del equipo de Sistemas de Operación.
El sistema de activación contará con el procedimiento necesario de configuración de VPN para asegurar que al configurar los equipos de la red, no se corrompan otros servicios ya instalados, con esto se evita gran parte del error humano que puede existir al configurar este tipo de servicios de forma directa en los elementos de la red.
Se ha elegido realizar un Sistema de Activación de VPN específicamente para equipos 7206 VXR de la marca CISCO debido a que en primer lugar, CISCO es el líder mundial en redes para Internet. CISCO entrega la línea más amplia y completa de soluciones para el transporte de datos, voz y video alrededor del mundo, asegurando que tanto las redes públicas como las privadas operen con máximo desempeño, seguridad y flexibilidad.
Por otro lado, el equipo CISCO 7206 VXR es el más nuevo de la serie Cisco 7200, la cual se caracteriza por llevar en una sola plataforma de bajo costo las funciones que antes llevaban a cabo varios dispositivos independientes. Los ruteadores de la serie Cisco 7200
5 pueden utilizarse con eficiencia, tanto en las redes de los proveedores de servicios como en las de las empresas para reducir los costos de aprovisionamiento WAN, dar soporte a servicios diferenciados y proporcionar aplicaciones de valor añadido como la gestión del tráfico, la contabilidad y la calidad de servicio. La serie Cisco 7200 establece una relación adecuada entre rendimiento y precio para los requisitos tanto de proveedores de servicios como de empresas. Con su combinación de rendimiento ampliable, densidad y un bajo precio por puerto, la serie Cisco 7200 permite expandir las funciones de capa de red a una gama más amplia de configuraciones y entornos.
La siguiente tabla muestra los equipos de esta familia así como sus características.
Tabla I.1 Comparación de ruteadores de la familia 7200
Modelos 7204VXR 7206VXR 7201
Tamaño 3 RU
Alto: 13.34 cm (5.25 pulgadas)
Ancho: 42.67 cm (16.8 pulgadas)
Profundidad: 43.18 cm (17 pulgadas)
3 RU
Alto: 13.34 cm (5.25 pulgadas) Ancho: 42.67 cm (16.8 pulgadas) Profundidad: 43.18 cm (17 pulgadas)
I RU
Alto: 4.39 cm (1.73 pulgadas)
Ancho: 41.20 cm (16.2 pulgadas) Profundidad: 43.94 cm (17.3 pulgadas) Slots 4 Slots para Adaptadores de
Puerto simple (single Port Adapter Slots )
1 Slot Controlador
Entrada/Salida(I/O Controller Slot)
1 Slot para Máquina de Procesamiento de
Red(Network Processing Engine Slot)
6 Slots para Adaptadores de Puerto simple 1 I/O Controller Slot
1 Slot para Máquina de Procesamiento de Red
1 Slot para Adaptador de Puerto simple N/A N/A - built-on Máquina - NPE-G2 con 4 puertos GE
Módulos de
seguridad SA-VAM2+
C7200-VSA SA-VAM2+
C7200-VSA SA-VAM2+
Desempeño 2 Mpps1 con NPE-G2 2 Mpps con NPE-
G2 2 Mpps
Capacidad
Backplane 1.8 Gbps2 con NPE-G2 1.8 Gbps con NPE-
G2 1.8 Gbps
1- Millones de paquetes por segundo.
2- Gigabits por segundo.
6 La más conveniente para manejar varias conexiones VPN es la 7206VXR debido a su desempeño y capacidad de tráfico y conexión.
A continuación se muestra la comparación del equipo CISCO 7206 VXR con sus equivalentes de otras marcas.
Tabla I.2 Comparación entre el ruteador CISCO 7206VXR y sus competidores de otras marcas
Modelos CISCO 7206VXR Juniper J6350 Nortel VPN
Router 5000
Tamaño 3 RU
Alto: 13.34 cm (5.25 pulgadas)
Ancho: 42.67 cm (16.8 pulgadas) Profundidad: 43.18 cm (17 pulgadas)
2 RU
Alto: 44.5 cm (17.5 pulgadas)
Ancho: 8.9 cm (3.5 pulgadas) Profundidad:
54.6 cm (21.5 pulgadas)
Alto: 13.3 cm (5.25 pulgadas) Ancho: 43.8 cm (17.25 pulgadas) Profundidad: 58.4 cm (23 pulgadas) Slots 6 Slots para
Adaptadores de Puerto simple
1 I/O Controller Slot 1 Slot para Maquina de Procesamiento de Red
6 Slots PIM
4 Slots EPIM 5 Slots PCI
Módulos de
seguridad SA-VAM2+
C7200-VSA TUV, CSA, CB
Desempeño 2 Mpps con NPE-G2 Capacidad
Backplane 1.8 Gbps con NPE-G2 2 Gbps
Cisco Systems es una empresa multinacional ubicada en San José (California, Estados Unidos), principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones tales como:
• Dispositivos de conexión para redes informáticas: ruteadores (enrutadores, encaminadores o ruteadores), switches (conmutadores) y hubs (concentradores).
• Dispositivos de seguridad como Cortafuegos y Concentradores para VPN.
• Productos de Telefonía IP como teléfonos y el CallManager (una PBX IP).
7
• Software de gestión de red como CiscoWorks.
• Equipos para Redes de Área de Almacenamiento.
Actualmente, Cisco Systems, es Líder Mundial en soluciones de red e infraestructuras para Internet.
Es considerada una de las grandes empresas del sector tecnológico y un importante miembro del mercado del NASDAQ o mercado accionario de tecnología.
La empresa fue fundada en 1984 por el matrimonio de Leonard Bosack y Sandra Lerner, quienes formaban parte del personal de computación de la Universidad de Stanford. El nombre de la compañía viene de la palabra "San Francisco"; al mirar por la ventana había al frente un cartel que decía "San Francisco" y un árbol se interponía entre la palabra separando San Fran Cisco, de ahí proviene el nombre de la empresa. Donde comenzó su despliegue como empresa multinacional.
Bosack adaptó el software para enrutadores multi-protocolo originalmente escrito por William Yeager, otro empleado de informática en esa Universidad. Cisco Systems creó el primer ruteador comercialmente exitoso.
Hoy en día, otro gigante que le está intentando hacer sombra es la multinacional Juniper Networks, dedicada principalmente a la venta de ruteadores para enlaces backbone (columna vertebral).
Además de desarrollar el hardware de sus equipos, Cisco Systems también se ocupa de desarrollar su propio software de gestión y configuración de los mismos. Dicho software es conocido como IOS de código actualmente cerrado y totalmente propietario.
A través del IOS se consigue configurar los equipos Cisco mediante la denominada
"Command Line Interface" ( Interfaz de Línea de Comandos, por su nombre en español) que sirve de intérprete entre el usuario y el equipo.
8 Cisco Systems también posee una división de publicaciones tecnológicas denominada Cisco Press, la cual tiene convenio con la editorial estadounidense Pearson VUE, así como una división educativa que produce material educativo para programas que tienen como fin la formación de personal profesional especializado en el diseño, administración y mantenimiento de redes informáticas. Algunos de estos programas son:
CCDA (Cisco Certified Design Associate) CCDP (Cisco Certified Design Professional) CCIE (Cisco Certified Internetwork Expert) CCIP (Cisco Certified Internetwork Professional) CCNA (Cisco Certified Network Associate) CCNP (Cisco Certified Network Professional) CCSP (Cisco Certified Security Professional)
Tales programas son dictados en alianza con Instituciones Universitarias denominadas 'Academias Locales' las cuales existen en 128 países.
9
Capítulo I. Fundamentos de las Redes Privadas Virtuales
Desde una perspectiva histórica, el término Red Privada Virtual (VPN) o en inglés VPN (Virtual Prívate Network) comenzó a forjar su camino a principios de 1997, pero hay quienes están en desacuerdo con esta afirmación, si bien es verdad que la tecnología subyacente utilizada en las VPN, es el conjunto del protocolo TCP/IP que se desarrollo en los sesentas, algunos de sus conceptos datan desde antes para ser exactos desde la segunda guerra mundial. Por lo mismo crea controversia, por el alto desarrollo de Internet en los noventas en los que comienza a desarrollarse en mayor proporción.
Una Red Privada Virtual (VPN) es un proceso de comunicación cifrada o encapsulada que transfiere datos desde un punto hacia otro de manera segura; la seguridad de los datos se logra gracias a una tecnología robusta, de cifrado y los datos que se transfieren pasan a través de una red abierta, insegura y enrutada.
Es necesario que sepamos a que se refiere el término CIFRADO
CIFRADO: No es más que tomar un mensaje escrito y pasarlo a algún argot o código, por ejemplo: “llegaré tarde” se convierte en “2der56gtr2345” en el otro extremo de este proceso se aplica el DECIFRADO que es lo contrario de CIFRADO, seguimos con el ejemplo al tomar “2der56gtr2345” se convierte de nuevo a “llegaré tarde”.
VIRTUAL: Se refiere a una situación “como si” estuviera dentro de la misma Red.
Otra forma de ver una VPN es como el proceso más sencillo para enviar datos cifrados de un punto a otro, generalmente por Internet. No obstante, las VPN también pueden utilizarse
10 en líneas rentadas, enlaces ATM (Frame Relay) transmisión de tramas o servicios de red telefonía simple (POTN), como las redes digitales de servicios integrados (ISDN) y las líneas de suscripción digital (xDLS). Algunos proveedores de servicios de Internet (PSI) ya proporcionan diversas implementaciones de VPN. Al agregar la tecnología VPN a los segmentos de tramas, los clientes pueden obtener los beneficios adicionales de la tecnología VPN.
Las VPN dan cabida al crecimiento, muchos dispositivos de VPN manejaran cualquier servicio que se coloque en ellas. Le permitirán crear “túneles” o comunicaciones punto a punto con cifrado, bajo demanda. Podrá crear túneles hacia otros sitios, como uno que vaya de “las oficinas centrales corporativas” hasta las “oficinas principales de ventas” y más adelante podrá crear más túneles hacia otras oficinas.
El encapsulamiento es el proceso de tomar un paquete de datos y envolverlo dentro de un paquete IP.
Las VPN se presentan en cuatro áreas:
Intranet.- Una VPN tiene como principal característica que se conecta una oficina central con otra remota es decir que solo se tiene acceso a la intranet desde afuera de la red.
Normalmente, solo se utiliza dentro de la red de una compañía y únicamente acceden los empleados de la misma. El acceso viene desde el exterior y no desde el interior.
Acceso Remoto.- Una VPN de acceso remoto se crea desde las oficinas centrales y los usuarios móviles remotos. Con el software de cifrado cargado en una laptop, un individuo establecerá un túnel cifrado al dispositivo de la VPN en las oficinas centrales corporativas.
Extranet.- Una VPN extranet se crea entre la empresa y sus clientes o proveedores, la extranet permitirá el acceso con el protocolo http normal utilizado por los navegadores web actuales, o permitirá que se realice la conexión utilizando otro servicio y protocolo acordado por las partes involucradas.
11 VPN interna.- Esta es la que menor usa una compañía desplazándola la red LAN o de Área Local. Algunos motivos que las compañías no las utilizan son porque los estudios de seguridad indican que los ataques por empleados internos ocupan el primer lugar. De acuerdo al Instituto de Seguridad de Computo (CSI) de la oficina de brigada contra el crimen computacional internacional del FBI de San Francisco California.
Usando una combinación de encripción, autentificación, túnel y control de acceso, una VPN proporciona a los usuarios un método seguro de acceso a los recursos de las redes corporativas. La implementación de una VPN involucra dos tecnologías: un protocolo de túnel y un método de autentificación de los usuarios del túnel.
Cuatro diferentes protocolos de túnel son los más usados para la construcción de VPN sobre la Internet:
· Protocolo de túnel punto - punto (PPTP).
· Envío de capa 2 (L2F).
· Protocolo de túnel de capa 2 (L2TP).
· Protocolo de seguridad IP (IPSec).
La razón de la diversidad de protocolos es porque las empresas que implementan VPN’s tienen requerimientos diferentes. Por ejemplo: enlazar oficinas remotas con el corporativo, o ingresar de manera remota al servidor de la organización.
Los protocolos PPTP, L2F y L2TP se enfocan principalmente a las VPN de acceso remoto, mientras que IPSec se enfoca mayormente en las soluciones VPN de sitio – sitio.
El protocolo PPTP ha sido ampliamente usado para la implementación de VPN’s de acceso remoto. El protocolo más común que se usa para acceso remoto es el protocolo de punto - punto (PPP); PPTP se basa en la funcionalidad de PPP para proveer acceso remoto que puede estar dentro de un túnel a través de la Internet hacia su destino. PPTP encapsula los paquetes PPP usando una versión modificada del encapsulado genérico de ruteo (Generic
12 Routing Encapsulation GRE), lo que da al protocolo PPTP la flexibilidad de manejo de otros protocolos como: intercambio de paquetes de Internet (IPX) y la interfaz gráfica de sistema básico de entrada / salida de red NetBEUI. PPTP está diseñado para correr en la capa 2 del sistema OSI (Open System Interconnection) o en la capa de enlace de datos. Al soportar comunicaciones en la capa 2, se permite transmitir protocolos distintos a los IP sobre los túneles. Una desventaja de este protocolo es que no provee una fuerte encripción para proteger la información y tampoco soporta métodos de autentificación basados en tokens.
L2F fue diseñado como protocolo de túnel de tráfico desde usuarios remotos hacia los corporativos. Una diferencia entre PPTP y L2F es que el túnel creado por L2F no es dependiente en IP, y le permite trabajar directamente con otro tipo de redes como frame relay o ATM. Al igual que PPTP, L2F emplea PPP para la autentificación del usuario remoto. L2F permite túneles para soportar más de una conexión.
L2TP es un protocolo de capa 2, y permite a los usuarios la misma flexibilidad que PPTP para manejar protocolos diferentes a los IP, como IPX y NetBEUI. L2TP es una combinación de PPTP y L2F, y puede ser implementado en diferentes topologías como Frame Relay y ATM. Para proveer mayor seguridad con la encripción, se pueden emplear los métodos de encripción de IPSec. La recomendación es que para procesos de encripción y manejo de llaves criptográficas en ambientes IP, el protocolo IPSec sea implementado de manera conjunta.
IPSec nació con la finalidad de proveer seguridad a los paquetes IP que son enviados a través de una red pública, trabaja principalmente en la capa 3. IPSec permite al usuario autentificar y/o cifrar cada uno de los paquetes IP. Al separar las aplicaciones de autentificación y encripción de paquetes, se tienen dos formas diferentes de usar IPSec llamadas modos. En el modo de transporte sólo el segmento de la capa de transporte de un paquete IP es autentificado y encriptado. En el otro modo llamado de túnel, la autentificación y encripción se aplica a todo el paquete. Mientras que el modo de transporte es útil en muchas situaciones, el modo de túnel provee mayor seguridad en contra de ataque
13 y monitoreo de tráfico que pueda ocurrir sobre la Internet. A su vez este protocolo se subdivide en dos tipos de transformaciones de datos: el encabezado de autentificación (AH) y la carga de seguridad encapsulada (ESP).
1.1 Seguridad para la VPN
La seguridad en la VPN debería de ser considerada como una parte de seguridad general de una organización, de hecho, el término de seguridad de redes abarca tantos aspectos de una organización que sería más adecuado emplear el término de seguridad de la información.
La seguridad de la información abarca la seguridad de redes, la seguridad de las computadoras, la seguridad de acceso y la seguridad física, entre otras. Puesto que los recursos capitales para cualquier organización son escasos, también lo son los recursos para implementar la seguridad.
Cuando se piensa en la seguridad de redes, especialmente cuando se implementa en las VPN, se debería revisar la pila de interconexión de sistemas abiertos (OSI). El modelo OSI se ha utilizado virtualmente en todos los sistemas de cómputo actuales. La pila OSI tiene siete niveles: aplicación, presentación, sesión, transporte, red, enlace de datos y físico. Los ataques más comunes en la actualidad como pueden ser las sobrecargas de la memoria intermedia (búfer) y otros ataques de seguridad, suceden a través de todos estos niveles. La VPN se ubica en los niveles más bajos de la pila OSI, tener esta tecnología tan bajo como sea posible en la pila ayuda a eliminar muchos de los ataques que podrían suceder si estuviesen en los niveles de arriba.
La seguridad es un tema multifacético donde los elementos pueden estar acomodados en distintos niveles, y puede incrementar la seguridad conforme pase de un nivel a otro.
Todas las redes son vulnerables, todas las redes son inseguras y todas las redes pueden estar expuestas al peligro. Las auditorias periódicas ayudan, pero también ayuda comprender como es la infraestructura de la red. Al comprender y conocer completamente la topología se pueden identificar las debilidades. Mucha gente se concentra en asegurar el cortafuego y
14 asume que éste es el dispositivo de protección del perímetro, en muchas topologías hay un cortafuego, pero también hay un enrutador externo conectado a la conexión del Proveedor de Servicio de Internet, mucha gente olvida este dispositivo y servicio.
El control de acceso al usuario es extremadamente importante cuando se implementa una tecnología VPN. Primero tiene que asegurarse de que solo concede el acceso a los usuarios autorizados, después, debe asegurarse de que esos usuarios autorizados solo tienen concedido el acceso a aquellos servidores que usted considera necesarios.
Una cosa acerca de la seguridad es que siempre está cambiando, y la implementación de procedimientos de seguridad tiene que estar al día en la manera de pensar. Durante años, las contraseñas simples fueron suficientes para las máquinas individuales y otros dispositivos de red, pero ahora han terminado su vida útil.
Con las VPN y los cortafuegos, no basta preocuparse solo por la seguridad interna, ahora, también es necesario preocuparse por la seguridad externa en una red pública como lo es Internet, así que hay que tener en mente que una buena política de calidad debe ser muy dinámica. La capacitación las listas de correo y las advertencias sobre seguridad son parte de una buena política de calidad, además de tener una buena comunicación con los proveedores de servicio de Internet, con la esperanza de estar actualizados sobre los aspectos de seguridad relacionados con los productos que venden.
Para que las VPN sean un medio efectivo para el comercio electrónico para aplicaciones de extranet y para las transacciones financieras a través de Internet deben de utilizarse tecnologías de autenticación segura, así como la criptografía y cifrado en cada extremo del túnel de la VPN.
Puntos importantes de consideración para la VPN:
• Solo a las partes autorizadas se les permite el acceso a aplicaciones y servidores corporativos.
15
• Cualquiera que pase a través del flujo de datos cifrados de la VPN no debe estar capacitado para descifrar el mensaje, estos datos viajaran a través de una red pública y cualquiera tendrá la capacidad para interceptarlos.
• Los datos deben estar intocables al 100 por ciento.
• Los usuarios deben tener distintos niveles de acceso.
• Los aspectos de interoperabilidad deben tomarse en consideración.
• Se debe tener facilidad de administración.
• Es importante tener las ramificaciones legales.
Todos estos puntos son importantes para una VPN aunque como redactamos anteriormente el tema de seguridad es muy extenso, multifacético, las organizaciones piensan distinto en cuanto a cómo implementar una buena política de seguridad, como vigilar el tráfico entrante y saliente, esto repercute en su persona, ya que se hace tedioso, molesto etc. Por lo consiguiente cada empresa debe adecuarse al tipo de seguridad que requiere.
En cualquier organización, la información (no solo datos, sino la información confiable, precisa y crítica en el negocio) es un activo comercial crítico. Mientras que la tecnología facilita la obtención de esta valiosa información en minutos y/o en horas o días, la contraparte es la seguridad. Para alguien que trabaja en casa, en una oficina remota o con un equipo distante en algún lugar del mundo, conseguir estos datos en minutos significa el trabajo completo, la presentación terminada y el contrato firmado, pero también significa abrirse a los riesgos que están asociados con los beneficios como la alteración de los datos.
1.2 Ventajas y Desventajas de una Red Privada Virtual (VPN)
El mundo ha cambiado bastante en las últimas décadas. Cada vez más, la necesidad de conectarse a Internet y comunicarse con sitios remotos se está haciendo prioritaria. Las empresas, sobre todo, necesitan una forma rápida, segura y fiable de comunicarse, sin importar donde se encuentran sus oficinas.
Hasta hace poco, lo normal era utilizar alguna de las diferentes tecnologías de Red de Área Amplia (WAN) disponibles, como por ejemplo las líneas dedicadas o contratadas, que
16 mantenían conexiones exclusivas para grupos y compañías. El uso de la Red Digital de Servicios Integrados (RDSI) por medio de conexiones de fibra óptica, proveían a la compañía una manera de extender su red privada más allá de su área geográfica. Una red WAN dedicada a un cliente tiene ventajas visibles sobre una red pública como es Internet, cuando se trata de fiabilidad, rendimiento y seguridad. Pero mantener una red WAN, particularmente con líneas dedicadas, puede ser bastante caro y normalmente sube de precio según la distancia de sus oficinas.
Según la popularidad de Internet iba creciendo, las redes corporativas se empezaron a extender de forma rápida. Primero llegaron las Intranet, las cuales están protegidas por contraseña para uso exclusivo de empleados de la compañía. Ahora, muchas compañías están creando su propia Red Privada Virtual (VPN) para cubrir las necesidades de sus empleados móviles para poder tener acceso a la red corporativa y de sus oficinas remotas.
Básicamente, una VPN es una red privada que utiliza una red pública para conectar sitios distantes y usuarios alejados entre sí. En lugar de utilizar una conexión dedicada contratada a una compañía proveedora de servicios, una red privada VPN usa conexiones virtuales, enrutadas por Internet desde la red de la compañía, hasta el lugar remoto.
1.2.1 Ventajas de una Red Privada Virtual (VPN)
La principal ventaja de usar una VPN es permitir la conexión de red con todas las características de la red privada a la que se quiere acceder desde cualquier lugar.
El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de una computadora en esa red privada, pudiendo acceder a la información publicada para esa red privada: bases de datos, documentos internos, etc. a través de un acceso público. Todas las conexiones de acceso a Internet desde la computadora con el cliente VPN se realizarán usando los recursos y conexiones que tenga la red privada. La reducción de costos en los sistemas de comunicación de la empresa es evidente. Se diversifican las conexiones con las que podemos trabajar, como telefonía fija, conexión de banda ancha (Línea de Abonado Digital Asimétrica, ADSL), Red Digital de Servicios Integrados (RDSI).
17 Se estima que una solución VPN para una determinada empresa puede reducir sus costos entre un 30% y un 50% comparada con las conexiones punto a punto.
1.2.2 Desventajas de una Red Privada Virtual (VPN)
Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes públicas y tomar precauciones en su desarrollo. Estas redes dependen de un área externa a la organización, Internet en particular, y por lo tanto depende de factores externos al control de la organización. Las diferentes tecnologías de VPN podrían no trabajar bien juntas. Las redes VPN necesitan diferentes protocolos.
1.3 Arquitectura de la Red Privada Virtual (VPN)
Existen innumerables opciones para la instalación de la Red Privada Virtual, desde la VPN independiente basada en caja negra y la VPN basada en ruteador hasta la VPN basada en software y FireWall. Además de estas arquitecturas, existe una amplia variedad de servicios y características que pueden implementarse en estos dispositivos. Podríamos instalar casi cualquier característica que deseáramos, desde la autenticación de usuarios y el filtrado web hasta software antivirus.
Dentro de las posibles arquitecturas que encontramos dentro de las VPN se pueden mencionar las que se verán a continuación.
1.3.1 Redes Privadas Virtuales basadas en FireWall
Las Redes Privadas Virtuales basadas con FireWall probablemente son la forma más común de implementación de la VPN, y muchos proveedores ofrecen este tipo de configuración. Actualmente sería difícil encontrar una organización conectada a Internet que no utilice algún tipo de FireWall. Debido a que estas organizaciones ya están conectadas a Internet, todo lo que se necesitaría es añadir software de cifrado, si el Fire Wall fue adquirido recientemente ya tendrá incluida esta tecnología de cifrado.
18 1.3.2 Redes Privadas Virtuales basadas en caja negra
Las Redes Privadas Virtuales basadas con caja negra constan básicamente de un dispositivo cargado con software de cifrado para crear un túnel de VPN. Algunas cajas negras vienen con software que se ejecuta en un equipo cliente de escritorio para ayudar a administrar el dispositivo, y otras pueden configurarse a través de un explorador web. Se cree que estos tipos de dispositivos de cifrado de hardware son más veloces que los tipos de software, ya que crean túneles más rápidos bajo demanda y ejecutan el proceso de cifrado con mayor rapidez.
1.3.3 Redes Privadas Virtuales basadas en ruteadores
Las Redes Privadas Virtuales basadas con ruteadores son adecuadas para una organización que ha hecho una gran inversión en ruteadores y cuyo personal tiene experiencia en ellos.
Muchos proveedores de ruteadores soportan esta configuración. Existen dos tipos que a continuación se mencionan, en uno de ellos el software se añade al ruteador para permitir el proceso de cifrado ocurra. En el segundo método se inserta una tarjeta externa de otro proveedor en el mismo chasis del ruteador. Este método está diseñado para endosar el proceso de cifrado del CPU del ruteador a la tarjeta adicional.
1.3.4 Redes Privadas Virtuales basadas en acceso remoto
Las Redes Privadas Virtuales basadas con acceso remoto es el software que se ejecuta en las máquinas de los usuarios remotos, las cuales están tratando de crear un túnel hacia su organización y a un dispositivo en su red que le permita la conexión. Este dispositivo podrá ser un ruteador, un Fire Wall, una caja negra o un servidor de autenticación independiente, concediendo el acceso a la red.
1.4 Topologías de VPN
Así como existen incontables maneras para adquirir e implementar una arquitectura de VPN, también existen muchas formas de colocar esta arquitectura en una topología de
19 VPN. La topología nos indica el lugar que le corresponde a cada dispositivo y configuración dentro de la red privada virtual.
Para elegir la topología que más nos conviene es necesario visualizar la red de conexión de Internet, después examinar las oficinas remotas que tendrán su propia conexión a Internet y donde quiere crear el túnel de VPN.
1.4.1 Topología de Cortafuego/VPN a cliente
Esta es la topología de uso más común y prácticamente todas las organizaciones que implementan una VPN ya que cualquiera que se conecte a Internet tienen un cortafuego instalado, y todo lo que necesitan es agregar un software de VPN de cortafuego. Además de que es la más fácil de configurar.
Esta topología utiliza la configuración cliente/VPN típica, en ella hay dos componentes que deben habilitarse para establecer la comunicación:
El dispositivo de cortafuego/VPN debe ejecutar algún tipo de código VPN. Existen muchas formas de realizar esto; algunos cortafuegos tiene incluida en su código la capacidad de crear una VPN, así que las reglas deberán agregarse al cortafuego. Con algunos fabricantes será necesario agregar más software
El equipo portátil tiene una pila de VPN instalada. Se trata de una pila de VPN puesto que una aplicación de VPN implicaría que el código corriera en el nivel 7 del modelo OSI. La pila de VPN en realidad se encuentra entre los niveles 2 (enlace de datos) y 3 (red).
En esta topología se debe de utilizar el mismo cifrado tanto del fabricante como del cortafuego/VPN, ya que si no es así no existirá comunicación entre estos.
Proceso de comunicación entre el equipo portátil y el servidor interno una vez que se han complementado las configuraciones:
20 1. El usuario con el equipo portátil marca su PSI y establece una conexión PPP.
2. El equipo portátil solicita las claves del dispositivo de cortafuego/VPN. Este puede ser un paso manual realizado por el usuario o un paso automático configurado por el software.
3. El cortafuego VPN responde con la clave apropiada.
4. El software de VPN instalado en el equipo portátil espera que el usuario intente tener acceso al servidor interno (conocido como la dirección IP de destino). Si el usuario visita cualquier sitio destino al de la red corporativa, no pasa nada. Ahora el usuario quiere hacer conexión con el servidor interno. El software que se ejecuta en el equipo portátil ve la solicitud (de nuevo conocida como dirección IP), cifra en paquete y lo envía a la dirección IP pública de la combinación cortafuego/VPN.
5. El dispositivo de cortafuego/VPN le quita la dirección IP, descifra el paquete y lo envía al servidor dentro de la LAN local.
6. El servidor interno responde la solicitud y envía el documento de regreso.
7. El cortafuego/VPN examina el tráfico y por su tabla sabe que es una configuración de túnel de VPN. Así que toma el paquete, lo cifra y lo envía al equipo portátil.
8. La pila de VPN en el equipo portátil ve el flujo de datos, sabe que viene del dispositivo de cortafuego/VPN, descifra el paquete y lo maneja en aplicaciones de niveles superiores.
Este tipo de configuración permite que VPN tenga una gran flexibilidad y bajos costos debido a que puede utilizar Internet como su propia red privada.
1.4.2 Topología de VPN/LAN a LAN
Por lo general las organizaciones utilizan la topología de cortafuego/VPN a clientes, esta es extendida a distintas oficinas remotas. También se utiliza entre oficinas de distintos clientes/fabricantes, creando un túnel VPN entre dos sitios.
Antes de realizar la comunicación, los componentes que deben habilitarse son los siguientes:
21 1. El administrador de cada sitio está de acuerdo con el cifrado DES. El software de
VPN de cada dispositivo crea una clave única.
2. Si se trata de un producto de cortafuego/VPN, el administrador de cada oficina establece una regla, por ejemplo, que todo el trabajo destinado a la otra terminal debe cifrarse.
3. El usuario final utiliza una aplicación FTP en su escritorio para intentar conectarse al servidor.
4. El paquete abandona el escritorio en texto sencillo y llega al dispositivo de cortafuego/VPN.
5. El paquete es cifrado y se envía a la dirección IP pública del dispositivo de cortafuego/VPN de la otra oficina.
6. El cortafuego/VPN acepta y descifra el paquete y lo reenvía a su destino final.
7. El servidor recibe el paquete y responde.
8. Envía un paquete en texto sencillo a su dispositivo de cortafuego/ VPN Local.
9. Después el cortafuego/ VPN lo cifra y lo envía al otro cortafuego/ VPN.
10. El cortafuego/ VPN lo descifra y finalmente lo envía de regreso al usuario original.
El servidor no necesita una configuración especial, puesto que cree que está enviando una solicitud y una respuesta normales.
Los aspectos importantes aquí son los relacionados con el enrutamiento: tanto la máquina del usuario como la del servidor deben saber a qué direcciones enrutar el dispositivo de cortafuego/ VPN.
1.4.3 Topología de cortafuego/ VPN a Internet/ extranet
Las intranets y las extranets son servicios de Internet comunes y de todos los días. En la tecnología VPN estos servicios no han cambiado, pero ahora tienen un nivel adicional de cifrado.
Con la tecnología VPN, se puede tener acceso internamente o externamente a cualquier servicio. Esto tiene dos condiciones. Primero se cuenta con flexibilidad para que una
22 máquina se encargue de ambos y por lo tanto se reduce la redundancia. La segunda condición es la seguridad; ahora los usuarios externos pueden tener acceso a estos servidores.
1.4.4 Topología de VPN/tramas a ATM
Algunos negocios no creen en la eficacia de Internet para transmitir información crítica- comercial debido a sus aspectos de seguridad. Es una razón de porque las compañías construyen intranets empleando solo líneas rentadas o enlaces basados en retransmisión de tramas para conectarse a sus sitios. Por lo tanto, las redes privadas virtuales pueden configurarse sobre una infraestructura compartida tal como ATM o topologías de redes basadas en tramas.
Este tipo de topologías generalmente se configura de dos maneras. La primera es IP sobre una infraestructura de red de tramas/ ATM. Esta configuración combina el nivel de aplicación de los servicios IP sobre la capacidad de una red ATM. Dependiendo de la configuración del equipo, los paquetes IP se convierten en celdas y se transfieren sobre una red de ATM. El proceso de cifrado se ejecuta en estos paquetes antes de la conversión a celdas, y las celdas que contienen la carga IP cifrada se conmutan al destino final.
La segunda opción es la del grupo de trabajo de Conmutación de etiquetas multiprotocolo (MPLS) del Grupo de trabajo de Ingeniería de Internet (IETF). En esta topología de red, los conmutadores inteligentes reenvían dinámicamente el tráfico IP en paralelo junto con el tráfico ATM en la misma red ATM. Al paquete se le aplica un campo que contiene un ID único que identifica el destino final. Todos los conmutadores de esta red ATM examinan este campo y lo reenvía a su destino apropiado. El atributo de la seguridad de esto es que el paquete solo se reenvía a su destino, evitando así el espionaje. Cualquier proceso de cifrado que pueda utilizarse aquí solo se aplica a la porción de datos, antes de enviarlo a la nube ATM. Debido a que esta configuración aplica un campo al paquete, no se puede cifrar los encabezados del paquete: no obstante, se podría cifrar la carga útil, lo que implica que la funcionalidad completa IPSec no se implementará. Sin embargo, al cifrar la carga y conmutarla sólo a su destino, sí existe seguridad.
23 1.4.5 Topología de VPN de hardware (caja negra)
Las VPN de hardware o cajas negras, son dispositivos independientes que implementan algoritmos de tecnología de VPN. Algunas soportan normas de cifrado como DES de 40 bits y 3DES.
Los dispositivos de hardware comienzan a tener servicios adicionales como cortafuegos, antivirus y capacidad de enrutamiento. Por lo general incluyen software adicional que se instala en el equipo de escritorio para permitir la configuración y el mantenimiento de ese dispositivo.
Un par de problemas con los dispositivos hardware:
1. Problemas de desempeño con pequeños paquetes de 64 bytes, esto puede ser importante si la mayor parte de su tráfico consiste en pequeños paquetes de datos.
2. Funcionamiento limitado de subred. Algunos dispositivos presentan problemas para garantizar el acceso interno irrestricto a los usuarios si la red interna esta subdividida.
1.4.6 Topología de VPN/NAT
La traducción de direcciones de red es el proceso de cambiar una dirección IP (por lo general la dirección privada de una compañía) a una dirección pública enrutable. NAT proporciona un mecanismo para ocultar la estructura de la dirección privada de una compañía. Utilizar la traducción de direcciones de red no es complicado pero la ubicación del dispositivo VPN es importante.
1.5 Tráfico de entrada y salida de la VPN
1. Todo el tráfico que viene de un enrutador interno se dirige al dispositivo NAT para cambiar la dirección IP original del dispositivo que lo solicita a una dirección IP pública enrutable.
24 2. Después el dispositivo NAT reenvía el paquete al dispositivo VPN que realiza el
proceso de cifrado del paquete.
3. El paquete se envía al enrutador externo y finalmente a su destino.
1.6 Tráfico de entrada de la VPN
1. Primero los paquetes de VPN entrantes debe dirigirse al dispositivo VPN; este dispositivo quita la carga de cifrado del paquete y revisa los privilegios de autentificación.
2. El paquete se enruta al dispositivo de traducción de direcciones de red para remitirlo a su dirección IP original (interna). En este caso el cortafuego está a cargo de NAT.
3. El dispositivo NAT enruta el paquete (con su nueva dirección IP de origen) al enrutador interno.
1.7 Topología de conmutación de VPN
Esta topología utiliza conmutadores de nivel 3 que crean túneles bajo solicitud. Tienen la capacidad para crear y asignar características de túneles y conmutar tráfico multiprotocolo.
Supuestamente realizan cifrado, encapsulamiento y enrutamiento multiprotocolo a la velocidad del cable. Puede soportar una conmutación basada en las políticas del protocolo de red, esto significa que basándose en la política instalada, pueden conmutar el tráfico de la configuración de tramas en un sentido y el tráfico a Internet en otra dirección. Además estos conmutadores de VPN incluyen software para mantenimiento remoto que proporciona capacidad de planeación, tolerancia frente a las fallas de información estadística, como en la utilización de túneles y calidad del servicio de supervisión.
25
Capítulo II. Fundamentos de los Sistemas de Información
2.1 Sistemas de información
Todo sistema organizacional depende en mayor o menor medida, de una entidad abstracta denominada sistema de información. Este sistema es el medio por el cual los datos fluyen de una persona o departamento hacia otros y puede ser cualquier cosa, desde la comunicación interna entre los diferentes componentes de la organización y líneas telefónicas hasta sistemas de cómputo que generan reportes periódicos para varios usuarios.
Los sistemas de información proporcionan servicio a todos los demás sistemas de la organización y enlazan todos sus componentes en forma tal que éstos trabajen con eficiencia para alcanzar el mismo objetivo.
Existen dos tipos de sistemas, los sistemas abiertos y los cerrados. Los sistemas abiertos se caracterizan por interactuar con su medio ambiente, en contraste, los sistemas cerrados sostienen su nivel de operación siempre y cuando posean información de control adecuada y no necesiten nada de su medio ambiente. Dado que esta condición no puede sostenerse por mucho tiempo, la realidad es que no existen sistemas cerrados. El concepto, sin embargo, es importante porque ilustra un objetivo en el diseño de sistemas: construir sistemas que necesiten la menor intervención del medio externo para mantener un desempeño aceptable. Por consiguiente, la autorregulación y el propio ajuste son objetivos de diseño en todos los ambientes de sistemas. Los sistemas de información organizacionales están formados por subsistemas que incluyen hardware, software, medios de almacenamiento de datos para archivos y bases de datos. El conjunto particular de subsistemas utilizados es lo que se denomina una aplicación de sistemas de información.
26 2.2 Categorías de los sistemas de información
2.2.1 Sistemas para el procesamiento de transacciones
Los sistemas de procesamiento de transacciones (TPS por sus siglas en inglés) tienen como finalidad mejorar las actividades rutinarias de una empresa y de las que depende toda la organización.
Una transacción es cualquier suceso o actividad que afecta a toda la organización como puede ser la facturación, pago a empleados, etc.
El procesamiento de transacciones en su mayoría incluye las siguientes actividades:
Cálculos Clasificación Ordenamiento
Almacenamiento y recuperación Generación de resúmenes
Hablando de las características de las transacciones, por lo general se tienen las siguientes:
• Gran volumen.
• Gran similitud entre transacciones.
• Los procedimientos para su procesamiento son bien comprendidos y pueden describirse a detalle.
• Existen muy pocas excepciones a los procedimientos normales.
Estas características permiten escribir rutinas, las cuales describirán que buscar en cada transacción, los pasos y procedimientos a seguir, y lo que debe hacerse en caso de presentarse una excepción.
2.2.2 Sistemas de información administrativa
Los sistemas de información administrativa (MIS por sus siglas en inglés) ayudan a los directivos a tomar decisiones y resolver problemas. Los directivos recurren a los datos
27 almacenados como consecuencia del procesamiento de transacciones, pero también emplean otra información.
Este tipo de sistemas están orientados a las decisiones cuyos procesos para tomarlas están claramente definidos, y así, se puede identificar la información necesaria que ayudará a formularlas. Con frecuencia, los especialistas en sistemas de información describen este tipo de decisiones como estructuradas.
Debido a que la toma de este tipo de decisiones se toma con frecuencia, es necesario preparar con anterioridad la información en forma de reportes los cuales de antemano ya tienen un formato y un contenido definido.
2.2.3 Sistemas para el soporte de decisiones
No todas las decisiones son de naturaleza recurrente. Algunas se presentan sólo una vez o escasamente por lo cual no se tienen procedimientos claramente definidos para tomarlas y tampoco es posible identificar, con anticipación, todos los factores que deben considerarse en la decisión.
Los sistemas para el soporte de decisiones (DSS por sus siglas en inglés) ayudan a los directivos que deben tomar decisiones no muy estructuradas, también denominadas no estructuradas o decisiones semiestructuradas.
Un factor clave en estos sistemas es determinar la información necesaria para el soporte de la decisión.
En este tipo de sistemas es imposible diseñar de antemano tanto el formato como el contenido de los reportes del sistema, por lo cual estos sistemas deben tener una mayor flexibilidad que la de los demás sistemas de información. El usuario debe ser capaz de solicitar informes definiendo su contenido y especificar la forma para producir información.
28 El “Sistema de Activación de VPN con un router Cisco 7206 VXR” se clasifica como un sistema para el procesamiento de transacciones.
2.3 Estrategias para el desarrollo de sistemas
Existen tres enfoques al desarrollo de sistemas de información basados en computadora:
• Método del ciclo de vida para el desarrollo de sistemas.
• Método del desarrollo del análisis estructurado.
• Método del prototipo de sistemas.
Estos tres enfoques se describen en la siguiente tabla.
Tabla 2.1 Características de las estrategias opcionales para el desarrollo de sistemas Estrategia de
desarrollo
Descripción Características de aplicación
Método del ciclo de vida de desarrollo de sistemas.
Incluye las actividades de investigación preliminar,
determinación de
requerimientos, diseño del sistema, desarrollo de software, prueba del sistema e implementación.
Requerimientos del sistema de información predecibles.
Manejable como proyecto.
Requiere que los datos se encuentren en archivos y bases de datos.
Gran volumen de
transacciones y
procesamiento.
Requiere de la validación de los datos de entrada.
Abarca varios departamentos.
Tiempo de desarrollo largo.
Desarrollo por equipos de proyecto.
29 Método de análisis
estructurado.
Se enfoca en lo que el sistema o aplicación realizan sin importar la forma en que llevan a cabo su función (se abordan los aspectos lógicos y no los físicos). Emplea símbolos gráficos para describir el
movimiento y
procesamiento de datos. Los componentes importantes incluyen los diagramas de flujo de datos y el diccionario de datos.
Adecuado para todo tipo de aplicaciones.
Mayor utilidad como complemento de otros métodos de desarrollo.
Método del prototipo de sistemas.
Desarrollo iterativo o en continua evolución donde el usuario participa directamente en el proceso.
Condiciones únicas de la aplicación donde los encargados del desarrollo tienen poca experiencia o información, o donde los costos y riesgos de cometer un error pueden ser altos.
Asimismo, útil para probar a la factibilidad del sistema, identificar los requerimientos del usuario, evaluar el diseño de un sistema o examinar el uso de una aplicación.
Para el “Sistema de Activación de VPN con un router Cisco 7206 VXR” se ha preferido la estrategia “Método del ciclo de vida de desarrollo de sistemas” que aunque es relativamente
30 más lento en cuanto al desarrollo del sistema que los demás, es el más administrable pudiéndose llevar a manera de proyecto con todas las ventajas que esto tiene como la máxima seguridad en la duración del desarrollo, el costo y control en todo momento de los dos anteriores.
2.4 Ciclo de vida clásico del desarrollo del sistema
El método del ciclo de vida para desarrollo de sistemas (SDLC por sus siglas en inglés) es el conjunto de actividades que los analistas, diseñadores y usuarios realizan para desarrollar e implantar un sistema de información.
Las actividades del SDLC son:
• Investigación preliminar.
• Determinación de los requerimientos del sistema.
• Diseño del sistema.
• Desarrollo de software.
• Prueba de los sistemas.
• Implantación y evaluación.
31 Figura 2.1 – Ciclo de vida de desarrollo de sistemas
2.4.1 Investigación preliminar
La solicitud para recibir ayuda de un sistema de información es la que da paso a la primera actividad de sistemas: la investigación preliminar.
Esta actividad consta de tres partes:
1. Aclaración de la solicitud. Muchas solicitudes que provienen de empleados y usuarios no están formuladas de manera clara. Por consiguiente, antes de comenzar cualquier investigación preliminar, la solicitud debe examinarse para determinar con precisión lo que el solicitante desea, y de ser necesario pedir una aclaración.
2. Estudio de factibilidad. Un resultado importante de la investigación preliminar es la determinación de que el sistema solicitado sea factible. La factibilidad se divide en tres aspectos.
• Factibilidad técnica: El trabajo para el proyecto puede realizarse, con el equipo actual, tecnología existente, y el personal disponible. Si se necesita una nueva tecnología, es posible desarrollarla.
32
• Factibilidad económica: Los beneficios que traerá el sistema son suficientes para aceptar el costo. Los costos al no realizar el problema son tan grandes que se debe aceptar el proyecto.
• Factibilidad operacional: Si se desarrolla, el sistema será utilizado, y habrá poca o ninguna resistencia para con los usuarios debido a los beneficios de dicho sistema.
3. Aprobación de la solicitud. Después de aprobar la solicitud, la administración le asigna una prioridad al proyecto solicitado frente a otras aprobaciones, esto mediante la estimación del costo del proyecto, el tiempo necesario para terminarlo, y las necesidades del personal. Cuando llega el momento, se inicia el desarrollo de la aplicación propuesta.
2.4.2 Determinación de los requerimientos del sistema
El aspecto fundamental del análisis de sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra bajo estudio. Esta investigación es llamada investigación detallada y es llevada a cabo mediante el trabajo conjunto de los analistas con los empleados y administradores, donde deben estudiar los procesos de la empresa para dar respuesta a las siguientes preguntas clave:
1. ¿Qué es lo que se hace?
2. ¿Cómo se hace?
3. ¿Con qué frecuencia se presenta?
4. ¿Qué tan grande es el volumen de transacciones o de decisiones?
5. ¿Cuál es el grado de eficiencia con el que se efectúan las tareas?
6. ¿Existe algún problema?
7. Si existe un problema, ¿Qué tan serio es?
8. Si existe un problema, ¿Cuál es la causa que lo origina?
Asimismo, las investigaciones detalladas requieren el estudio de manuales y reportes, la observación en condiciones reales, de las actividades de trabajo, y en algunas ocasiones, muestras de formas y documentos con el fin de comprender el proceso en su totalidad.
33 Toda la información recabada ayuda a identificar las características que debe tener el nuevo sistema.
2.4.3 Diseño del sistema
El diseño de un sistema de información produce los detalles que establecen la forma en la que el sistema cumplirá con los requerimientos identificados durante la fase de análisis.
Los analistas de sistemas comienzan el proceso de diseño identificando los reportes y demás salidas que debe producir el sistema. Hecho lo anterior se determinan con toda precisión los datos específicos para cada reporte y salida.
El diseño de un sistema también indica los datos de entrada, aquellos que serán calculados y los que deben ser almacenados. Asimismo, se describen con todo detalle los procedimientos de cálculo y los datos individuales.
Los documentos que contienen las especificaciones de diseño representan a éste de muchas maneras (diagramas, tablas, y símbolos especiales). La información detallada del diseño se proporciona al equipo de propagación para comenzar la fase de desarrollo de software.
Los diseñadores son los responsables de dar a los programadores las especificaciones de software completas y claramente delineadas. Una vez comenzada la fase de programación, los diseñadores contestan preguntas, aclaran dudas y manejan problemas que enfrentan los programadores cuando utilizan las especificaciones de diseño.
2.4.4 Desarrollo de software
Los encargados de desarrollar software pueden instalar software comprado a terceros o escribir programas diseñados a la medida del solicitante, así como también son los encargados de la documentación de los programas y de proporcionar una explicación de cómo y porqué ciertos procedimientos se codifican en determinada forma. La documentación es esencial para probar el programa y llevar a cabo el mantenimiento una vez que la aplicación se encuentra instalada.
