Red privada virtual como alternativa para el respaldo de información digital en el Ilustre Municipio de Baños

U

R

A

´

A

“UNIANDES”

F

S

M

C

S

P

´

´

´

I

S

I

´

T

:

RED PRIVADA VIRTUAL COMO ALTERNATIVA PARA EL RESPALDO DE INFORMACION DIGITAL EN EL ILUSTRE MUNICIPIO DE BA

´

˜

A

: M ´

A

P

D

A

: I

. B

˜

N

F

P

M.SC.

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quién suscribe, legalmente CERTIFICA QUE: El presente Trabajo de

Titulación realizado por el Tecnólogo Pablo Daniel Méndez Alban, Estudiante

de la Carrera de Sistema, Facultad de Sistemas Mercantiles, con el tema “RED

PRIVADA VIRTUAL COMO ALTERNATIVA PARA EL RESPALDO DE

INFORMACIÓN DIGITAL EN EL ILUSTRE MUNICIPIO BAÑOS”, ha sido

prolijamente revisado, y cumple con todos los requisitos establecidos en la

normativa pertinente de la Universidad Autónoma de los Andes –UNIANDES-,

por lo que apruebe su presentación.

Ambato, octubre de 2017

Ing. Freddy Baño N, M.SC.

Dedicatoria

A mi padre soberano Jehov ´a Dios, por haberme dado salud, fuerza y sabidur´ıa para lograr mis objetivos, por su bondad amorosa y gu´ıa correcta.

A mi padre M ´aximo, que aunque se encuentra lejos siempre estuvo pendien-te de mis estudios y mi bienestar; en memoria de mi madre Mar´ıa, aunque est ´a descansando siempre supo darme palabras de ´animo; a mi hermana Fernanda; a mi hermana Ruth; a mis sobrinos Miguel y Anthony que siempre me han dado apoyo emocional.

A mi tutor el Ingeniero Freddy Ba ˜no por su motivaci ´on para culminar con es-te ´ultimo proyecto de es-tesis, y todos los profesores que me dictaron clases a lo largo de la carrera, gracias por su tiempo y formaci ´on profesional.

´Indice general

Aprobaci ´on del asesor del trabajo de titulaci ´on

Declaraci ´on de autenticidad

Derechos de autor

Dedicatoria

´Indice General

´Indice de Figuras

´Indice de Cuadros

Resumen Ejecutivo

Abstract

Introducci ´on 1

Antecedentes de la investigaci ´on . . . 1

Planteamiento del Problema . . . 3

Formulaci ´on del problema . . . 4

Objetivos . . . 4

Objetivo General . . . 5

Objetivos espec´ıficos . . . 5

Idea a defender . . . 5

Justificaci ´on . . . 5

I. Marco Te ´orico 7

1.1. Redes de Computadoras . . . 7

1.1.1. Tecnolog´ıas de acceso . . . 8

1.1.1.1. Tecnolog´ıas Al ´ambricas: . . . 8

1.1.1.2. Tecnolog´ıas Inal ´ambricas: . . . 8

1.2. Clasificaci ´on de red . . . 8

1.2.1. Clasificaci ´on seg ´un su alcance, tama ˜no o escala . . . 9

1.2.1.1. Red WPAN . . . 9

1.2.1.2. Red LAN . . . 9

1.2.1.3. Red MAN . . . 10

1.2.1.4. Red WAN . . . 11

1.2.2. Clasificaci ´on seg ´un el procesamiento . . . 11

1.2.2.1. Servidor . . . 11

1.2.2.2. Cliente . . . 12

1.2.2.3. Red servidor / cliente . . . 13

1.2.2.4. Redes entre iguales ´o aut ´onomo . . . 13

1.3. Sistema de comunicaci ´on de datos . . . 14

1.3.1. Comunicaci ´on de datos . . . 14

1.3.2. Tareas de un sistema de comunicaci ´on de datos . . . 14

1.3.3. Utilizaci ´on del sistema transmisi ´on . . . 15

1.3.4. Interface . . . 15

1.4. Modelos de red . . . 16

1.4.1. Modelo de referencia OSI . . . 16

1.4.2. Modelo TCP/IP . . . 20

1.5. Red privada virtual . . . 22

1.5.1. Descripci ´on de VPN . . . 23

1.5.2. Requisitos para establecer una VPN . . . 24

1.5.2.1. Requisitos Hardware . . . 24

1.5.2.2. Requisitos Software . . . 24

1.5.3.3. Encriptaci ´on de datos . . . 26

1.5.3.4. Administraci ´on de llaves . . . 26

1.5.3.5. Soporte de protocolo m ´ultiple . . . 26

1.5.4. Componentes que conforman una VPN . . . 26

1.5.4.1. Disponibilidad . . . 26

1.5.4.2. Control . . . 27

1.5.4.3. Compatibilidad . . . 27

1.5.4.4. Seguridad . . . 27

1.5.4.5. Confiabilidad . . . 27

1.5.4.6. Autenticaci ´on de Datos y Usuarios . . . 27

1.5.5. Herramientas de una VPN . . . 28

1.5.6. Tecnolog´ıa de t ´unel . . . 28

1.5.7. Funcionamiento de una VPN . . . 28

1.5.8. Ventajas e inconvenientes de la VPN . . . 29

1.5.9. Seguridad en la implemention de una VPN . . . 32

1.6. Computacion en la Nube . . . 32

1.6.1. Fondo com ´un de Recursos . . . 33

1.6.2. Modelos de Despliegue de Cloud . . . 34

1.6.2.1. Cloud P ´ublica . . . 34

1.6.2.2. Cloud Privada . . . 35

1.6.2.3. Cloud H´ıbrida . . . 35

1.6.2.4. Cloud Comunitaria . . . 36

1.6.3. Arquitectura General de Cloud Computing . . . 36

1.7. Seguridad Inform ´atica . . . 37

1.7.1. Seguridad y algoritmos . . . 37

1.7.2. Principios . . . 37

1.7.2.1. Confidencialidad . . . 37

1.7.2.2. Integridad . . . 38

1.7.2.3. Disponibilidad . . . 38

1.7.3. SSL . . . 38

1.7.3.1. Funcionamiento conexi ´on SSL . . . 39

1.7.3.3. Openssl . . . 39

1.7.4. Cifrados de seguridad . . . 40

1.7.4.1. SHA1 . . . 40

1.7.4.2. Hash . . . 41

1.7.4.3. Firewall . . . 41

1.7.4.4. Certificado digital . . . 42

1.7.5. Criptograf´ıa . . . 42

1.7.6. Control de Acceso . . . 43

1.7.6.1. Identificaci ´on y autenticaci ´on . . . 43

1.7.7. Dnsmasq . . . 44

1.7.8. Iptables . . . 44

1.8. Conclusiones parciales del capitulo . . . 45

Capitulo II 46 II. Marco Metodol ´ogico 47 2.1. Caracterizaci ´on del sector . . . 47

2.1.1. Misi ´on . . . 47

2.1.2. Visi ´on . . . 48

2.1.3. Ubicaci ´on . . . 48

2.2. Descripci ´on del procedimiento metodol ´ogico . . . 48

2.2.1. Modalidad de investigaci ´on . . . 48

2.2.2. Tipo de investigaci ´on . . . 49

2.2.3. M ´etodos, t ´ecnicas e instrumentos . . . 49

2.2.3.1. M ´etodos . . . 49

2.2.3.2. T ´ecnicas . . . 50

2.2.3.3. Instrumentos . . . 51

2.2.4. Poblaci ´on y muestra . . . 51

2.2.4.1. Poblaci ´on . . . 51

2.2.4.2. Muestra . . . 51

2.4. Conclusiones parciales del cap´ıtulo . . . 64

Capitulo III

66

3.2. Objetivos . . . 66

3.2.1. Objetivo General . . . 66

3.2.2. Objetivos Espec´ıficos . . . 66

3.3. Desarrollo de la Propuesta . . . 67

3.3.1. Identificaci ´on de la informaci ´on. . . 69

3.3.2. Esquema de red del Municipio de Ba ˜nos . . . 69

3.4. Implementaci ´on . . . 70

3.4.1. Asignaci ´on de la IP en el servidor . . . 70

3.4.2. Instalaci ´on del servidor . . . 71

3.4.2.1. Creaci ´on de una autoridad de certificaci ´on . . . . 71

3.4.2.2. Creacion certificados y claves del servidor VPN . 72 3.4.2.3. Creaci ´on el certificado y claves de los clientes . . 73

3.4.2.4. Mejoramiento de la seguridad del servidor OPENVPN con TLS-AUTH . . . 73

3.4.3. Direccionamiento de las peticiones DNS a trav ´es de la VPN 74 3.4.4. Configuraci ´on del servidor OPENVPN . . . 76

3.4.5. Configuraci ´on del cliente de VPN . . . 77

3.4.5.1. Autenticaci ´on mediante login y password . . . 77

3.4.6. Configuraci ´on de iptables para el enrutamiento de peticiones 78 3.4.7. Configuraci ´on del router . . . 78

3.4.7.1. Instalaci ´on y configuraci ´on de Rsync . . . 79

3.4.7.2. Configuracion de Rsync . . . 79

3.4.8. Configuraci ´on del Cliente . . . 79

3.4.8.1. Cliente OpenVPN . . . 79

3.4.8.2. Configurando cliente OpenVPN . . . 80

3.4.9. Cliente para la Copia de Respaldos . . . 80

´Indice de figuras

1.1. Red Inalambrica PtMP . . . 10

1.2. Enrutamiento redes WAN . . . 11

1.3. Tipos de servicios en servidores . . . 12

1.4. Tipos de cliente . . . 12

1.5. Red cliente servidor . . . 13

1.6. Redes entre iguales . . . 13

1.7. Sistema general de comunicaci ´on de datos . . . 14

1.8. Tareas de un sistema de transmisi ´on . . . 15

1.9. Sistemas de transmisi ´on . . . 15

1.10.Modelo de capas OSI . . . 16

1.11.Protocolos en el modelo OSI . . . 17

1.12.Equipos en el modelo OSI . . . 17

1.13.Transmisi ´on de informaci ´on modelo OSI . . . 18

1.14.Flujo entre capas del modelo OSI . . . 19

1.15.Funcionamiento de la VPN . . . 28

1.16.VPN Multipunto . . . 29

1.17.Cloud Computing . . . 32

1.18.Tipos de nube . . . 34

1.19.Arquitectura de la nube . . . 36

1.20.Arquitectura general de la nube . . . 37

2.1. Gr ´afico pregunta 1 . . . 52

2.2. Gr ´afico pregunta 2 . . . 53

2.3. Gr ´afico pregunta 3 . . . 54

2.4. Gr ´afico pregunta 4 . . . 55

2.6. Gr ´afico pregunta 6 . . . 57

2.7. Gr ´afico pregunta 7 . . . 58

2.8. Gr ´afico pregunta 8 . . . 59

2.9. Gr ´afico pregunta 9 . . . 60

2.10.Gr ´afico pregunta 10 . . . 61

3.1. Requerimientos de software . . . 67

3.2. Requerimientos de hardware . . . 68

3.3. Diagrama de Procesos . . . 69

3.4. Diagrama de red del ilustre municipio de Ba ˜nos de Agua Santa . . 70

3.5. Configuraci ´on de la tarjeta de red . . . 70

3.6. Creaci ´on de llaves . . . 72

3.7. Creaci ´on de certificados . . . 73

3.8. Creaci ´on de usuarios . . . 74

3.9. Generaci ´on de llaves en el servidor . . . 74

3.10.DNSMasq . . . 75

3.11.Configuraci ´on de IPtables . . . 76

3.12.Configuraci ´on del servidor OPENVPN . . . 76

3.13.Configuraci ´on del cliente . . . 77

3.14.Creaci ´on de usuarios en cliente . . . 77

3.15.Configuraci ´on del firewall . . . 78

3.16.Configuraci ´on DST-NAT router . . . 79

3.17.Configuraci ´on de Rsync . . . 79

3.18.Cliente OpenVPN . . . 80

3.19.Conexi ´on al servidor OpenVPN . . . 81

3.20.Configuraci ´on de la conexi ´on Deltacopy . . . 81

3.21.Configuraci ´on del Perfil Creado . . . 81

3.22.Configuraci ´on de la tarea programada . . . 82

3.23.Resultado y resumen de la sincronizaci ´on . . . 82

3.24.Carpetas y Archivos del Cliente . . . 82

´Indice de cuadros

2.1. Poblaci ´on a investigar . . . 51

2.2. Encuesta Pregunta 1 . . . 52

2.3. Encuesta Pregunta 2 . . . 53

2.4. Encuesta Pregunta 3 . . . 54

2.5. Encuesta Pregunta 4 . . . 55

2.6. Encuesta Pregunta 5 . . . 56

2.7. Encuesta Pregunta 6 . . . 57

2.8. Encuesta Pregunta 7 . . . 58

2.9. Encuesta Pregunta 8 . . . 59

2.10.Encuesta Pregunta 9 . . . 60

Resumen ejecutivo

Abstract

Introducci ´

on

Antecedentes de la investigaci ´on

Internet se ha convertido en el principal medio de comunicaci ´on con diferentes fines como transmisi ´on de datos, llamadas, compartir recursos entre otros medios. El uso de esta red implica que la informaci ´on debe viajar por puertas de enlace, firewall entre otros nodos de comunicaci ´on indeterminados sin tener un control sobre qu ´e puntos puede viajar los datos enviados lo cual deja vulnerables los datos ya que no viajan encriptados.

En los ´ultimos a ˜nos se ha observado como grupos de hackers han intervenido mucha informaci ´on que viaja por internet, es por eso que las empresas o institu-ciones deben implementar filtros y protecinstitu-ciones para enviar datos de manera que se mantenga su integridad.

Las empresas pueden usar una red VPN para conectar de manera segura oficinas y usuarios remotos por medio de un acceso a Internet econ ´omico suministrado por un tercero, en lugar de a trav ´es de enlaces WAN dedicados o enlaces de acceso telef ´onico de larga distancia.Las redes VPN proporcionan el m ´aximo nivel de seguridad posible a trav ´es de Seguridad IP cifrada (IPsec) o t ´uneles VPN Secure Sockets Layer (SSL) y tecnolog´ıas de autenticaci ´on. Estas redes protegen los datos que se transmiten por VPN de un acceso no autorizado. Las empresas pueden aprovechar la infraestructura de Internet para aprovisionar una VPN, para a ˜nadir r ´apidamente nuevos emplazamientos y usuarios. Tambi ´en pueden aumen-tar enormemente el alcance de la red VPN sin ampliar la infraestructura de forma significativa. Los servicios que ofrecen las empresas que prestan servicios de Redes Privadas Virtuales (VPN) son costosos y los administradores de sistemas no pueden agregar alguna configuraci ´on o alg ´un servicio extra como se lo puede hacer creando un servidor dedicado.

Las copias de seguridad (backups) son una copia de la informaci ´on que se desea proteger en un dispositivo f´ısicamente separado al usado inicialmente que pueda servir como respaldo en el caso de que suceda alg ´un imprevisto con el original. Es decir, si la informaci ´on se encuentra principalmente en un computador, la copia de seguridad podr´ıa estar en un disco externo o en lugar remoto, de tal manera que, si llegaran a robar el equipo o se da ˜nara, se podr´ıa mitigar perdidas gracias al respaldo creado. La computaci ´on en nube es un sistema inform ´atico basado en Internet y centros de datos remotos para gestionar servicios de informaci ´on y aplicaciones. La computaci ´on en nube permite que los consumidores y las empresas gestionen archivos y utilicen aplicaciones sin necesidad de instalarlas en cualquier computadora con acceso a Internet. Esta tecnolog´ıa ofrece un uso mucho m ´as eficiente de recursos, como almacenamiento, memoria, procesamiento y ancho de banda, al proveer solamente los recursos necesarios en cada momento.

encuentran en la nube (Internet) y son directamente gestionados por el proveedor de servicios. De esta manera, es mucho m ´as simple para el consumidor disfrutar de los beneficios. En otras palabras: la tecnolog´ıa de la informaci ´on se convierte en un servicio, que se consume de la misma manera que consumimos la electricidad o el agua.

Planteamiento del Problema

En la actualidad tanto las empresas como los organismos oficiales y otras en-tidades presentan una estructura distribuida, disponiendo de sedes en puntos distantes. La llegada de Internet abre las puertas a la comunicaci ´on entre estos puntos, pero es necesario proporcionar soluciones para que dicha comunicaci ´on sea fiable y segura para que ni la informaci ´on ni los dispositivos sean vulnerables a los ataques que pueden sufrir en la Internet.

En la ciudad de Ba ˜nos se encuentra el proceso eruptivo el Volc ´an Tungurahua que es un gran peligro para toda la ciudad, una vez que empezara un proceso violento de erupci ´on habr´ıa pocos minutos para evacuar y salir de la ciudad, esto no dar´ıa tiempo para desmontar y sacar los equipos como servidores y compu-tadores principales donde se almacenan datos importantes que son necesarios para llevar un registro de todos los procesos que realiza la Instituci ´on. Mediante una investigaci ´on que se ha realizado en el Ilustre Municipio de Ba ˜nos se ha determinado que este momento existe un grave problema que conllevar´ıa a perder toda informaci ´on irremplazable, por eso cabe destacar que toda la informaci ´on digital se encuentra dentro de la instituci ´on y de perderse no se tendr´ıa registros de los procesos que se llevan en el medio inform ´atico.

cuenta de lo ocurrido ya que este proceso es transparente para el usuario. Como consecuencia podr´ıa haber incongruencia de datos, llevando a generar errores o p ´erdidas a la Instituci ´on. Hechas estas observaciones anteriores podemos resumir la necesidad de disponer respaldos de informaci ´on digital, aprovechando el internet como medio de comunicaci ´on y herramientas como servidores se crea un medio de comunicaci ´on seguro, r ´apido y estable.

Formulaci ´on del problema

Como mantener un respaldo de la informaci ´on del Ilustre Municipio de Ba ˜nos que sea estable seguro y confiable.

Delimitaci ´on del problema

´

Area:Redes de computadoras. Campo:Redes privadas Virtuales

Aspecto:Configuraci ´on de un servidor Red Privada Virtual sobre una red P ´ublica. Delimitaci ´on Espacial:Ilustre Municipio de Ba ˜nos.

Delimitaci ´on Temporal:Agosto del 2015 a Noviembre del 2016.

Beneficiarios:Departamento de SISTEMAS, autoridades y personal administra-tivo del Ilustre Municipio de Ba ˜nos.

Objeto de la investigaci ´on y campo de acci ´on

Objeto:Redes de computadoras.

Objetivos

Objetivo General

Configurar una Red Privada Virtual que permita tener un respaldo remoto actuali-zado de la informaci ´on digital del Ilustre municipio de Ba ˜nos

Objetivos espec´ıficos

Fundamentar te ´oricamente las redes privadas virtuales, los sistemas de respaldo, sistemas operativos de red y medio de comunicaci ´on.

Investigar la situaci ´on actual del respaldo de informaci ´on del Ilustre Municipio Ba ˜nos

Dise ˜nar una Red Privada Virtual sobre la red p ´ublica Internet, con la finalidad de respaldar informaci ´on.

Idea a Defender

Con la implementaci ´on de una Red Privada Virtual en el Ilustre Municipio de Ba ˜nos existir ´an respaldos seguros de la informaci ´on digital sin comprometer el robo o suplantaci ´on de datos. Estos datos ser ´an almacenados en un servidor remoto accesible por mediante una VPN.

Justificaci ´on

con sucursales, bodegas o centros de almacenamientos de datos que se encuen-tran ya sea cerca o en lugares distantes de su matriz principal. Resulta de vital importancia el estudio de este proyecto ya que esta tecnolog´ıa permitir ´a tener un respaldo de la informaci ´on digital como bases de datos y documentos instituciona-les, por cual se deber ´a optimizar los procesos y la seguridad a nivel general entre los departamentos del Ilustre Municipio de Ba ˜nos y el servidor alojado fuera de la ciudad. El estudio de la red privada virtual permite establecer una conexi ´on para el transporte de la informaci ´on, permitiendo que se enlace dos puntos del Ilustre Municipio de Ba ˜nos por medio del Internet.

Los beneficios de este proyecto de investigaci ´on se ver ´an reflejados en la optimi-zaci ´on de los recursos, en la comunicaci ´on eficaz, y el cumplimiento de objetivos operacionales, la instituci ´on podr ´a implementar pol´ıticas de respaldos, los mismos que conducir ´an a incrementar la seguridad y confiabilidad de la informaci ´on que estar ´a disponible cuando sea necesario.

Cap´ıtulo I

Marco Te ´

orico

1.1. Redes de Computadoras

Una red en general es un sistema de transmisi ´on de datos que permite el in-tercambio de informaci ´on entre dispositivos electr ´onicos (computadores) que toman el nombre de HOST. El HOST es todo dispositivo electr ´onico (computador) conectado a una red. (C ´aceres, 2011)

En definici ´on m ´as espec´ıfica, una red es un conjunto de computadoras que van a compartir archivos (carpetas, datos, im ´agenes, audio, video, etc.) o recursos (disco duro, lectora, monitor, impresora, fotocopiadora, web cam, etc.), ´estas computadoras pueden estar interconectadas por un medio f´ısico o inal ´ambrico. Existen varios tipos de medios de transmisi ´on: guiados (cable de cobre y fibra

´optica), inal ´ambricos (radio terrestre) y sat ´elite. Cada una de estas tecnolog´ıas tiene distintas propiedades que afectan el dise ˜no y el desempe ˜no de las redes que las utilizan.(Aubrey Adams, 2009)

Debido al avance de la tecnolog´ıa varios Dispositivos que pueden conectarse a una red tales como: computadores, impresoras, c ´amaras de foto y video digita-les, televisores que cuentan con sistemas operativos (Android, webOS,FireOS), c ´amaras de seguridad, termostatos, sem ´aforos inteligentes centralizados, que son capases de intercambiar informaci ´on o recibir o enviar informaci ´on de formar remota como al propietario, supermercado virtual o recibir asistencia t ´ecnica en caso de fallo o alerta de un evento.

Los nodos de red (estaci ´on, servidor, dispositivo de comunicaci ´on). Los medios de comunicaci ´on (f´ısico, inal ´ambrico).

Los protocolos (TCP, IP, UDP, etc.).

1.1.1. Tecnolog´ıas de acceso

1.1.1.1. Tecnolog´ıas Al ´ambricas:

Redes de Acceso por par de Cobre (xDSL, Modems) Redes de Acceso por Cable.

Redes h´ıbridas de fibra y cable (HFC). Acceso Fijo por Red el ´ectrica (PLC).

Redes de Acceso por Fibra ´optica (FTTx, PON, EFM, otros).

1.1.1.2. Tecnolog´ıas Inal ´ambricas:

Bucle inal ´ambrico (WiLL o Wireless Local Loop, LMDS, MMDS). Redes MAN/LAN inal ´ambricas (WLAN, Wi-Fi, WiMAX, HiperLAN2).

Comunicaciones m ´oviles de segunda y tercera generaci ´on (CDMA, GSM, UMTS, 3G).

´

Optica por Aire (HAPs, FSO). Redes de acceso por sat ´elite. Televisi ´on digital terrestre (TDT).

Por alcance, tama ˜no o escala (WPAN, LAN, MAN, WAN). Por procesamiento (centralizada, distribuida).

Por dependencia del servidor (aut ´onomo, cliente-servidor). Seg ´un la tecnolog´ıa de transmisi ´on usada.

Los sistemas integrados que transmiten y procesan todo tipo de datos e informa-ci ´on, donde la tecnolog´ıa y las organizainforma-ciones de normatividad t ´ecnica (ISO/OSI, EIA/TIA, IEEE) est ´an dirigi ´endose hacia un ´unico sistema p ´ublico que integre todas las comunicaciones y de uniforme acceso mundial.(C ´aceres, 2011)

1.2.1. Clasificaci ´on seg ´un su alcance, tama ˜no o escala

1.2.1.1. Red WPAN

(Wireless Personal Area Networks, red inal ´ambrica de ´area personal) es una red de computadoras para la comunicaci ´on entre distintos dispositivos (tantas computadoras, puntos de acceso a internet, tel ´efonos celulares, PDA, dispositivos de audio, impresoras) cercanos al punto de acceso. Estas redes normalmente son de unos pocos metros y para uso personal, as´ı como fuera de ella. (C ´aceres, 2011)

1.2.1.2. Red LAN

(Local Area Network, red de ´area local) son las redes de un centro de c ´omputo, oficina, edificio. Debido a sus limitadas dimensiones, son redes muy r ´apidas en las cuales cada dispositivo electr ´onico (computador) se puede comunicar con el resto.

Figura 1.1: Red Inalambrica PtMP

Autor: El investigador

1.2.1.3. Red MAN

(Metropolitan Area Network, red de ´area metropolitana) conecta diversas LAN cercanas geogr ´aficamente (en un ´area de alrededor de cincuenta kil ´ometros) entre s´ı a alta velocidad. Por lo tanto, una MAN permite que dos nodos remotos se comuniquen como si fueran parte de la misma red de ´area local. Una MAN est ´a compuesta por conmutadores o routers conectados entre s´ı con conexiones de alta velocidad (generalmente cables de fibra ´optica).

Las redes inal ´ambricas de ´area metropolitana (WMAN) tambi ´en se conocen como bucle local inal ´ambrico (WLL, Wireless Local Loop). Las WMAN se basan en el est ´andar IEEE 802.16. Los bucles locales inal ´ambricos ofrecen una velocidad total efectiva de 1 a 10 Mbps, con un alcance de 4 a 10 kil ´ometros, algo muy ´util para compa ˜n´ıas de telecomunicaciones. (C ´aceres, 2011)

1.2.1.4. Red WAN

(Wide Area Network, red de ´area extensa) son redes punto a punto que interco-nectan ciudades, pa´ıses y continentes. Al tener que recorrer gran distancia sus velocidades son menores que las redes LAN, aunque son capaces de transportar una mayor cantidad de datos. Por ejemplo, una red troncal de fibra ´optica para interconectar ciudades de un pa´ıs (red de fibra ´optica entre Tumbes y Tacna), un enlace satelital entre pa´ıses (Per ´u y EEUU), un cable submarino entre continentes (Am ´erica y Europa). (Dordoigne, 2015)

Figura 1.2: Enrutamiento redes WAN

Autor: El investigador

1.2.2. Clasificaci ´on seg ´un el procesamiento

Todo dispositivo electr ´onico (computador) tiene un lado servidor y otro cliente, puede ser servidor de un determinado servicio, pero cliente de otro servicio.

1.2.2.1. Servidor

correo electr ´onico, comercio electr ´onico, base de datos, proxy, comunicaciones, FTP, web, administraci ´on, impresi ´on, aplicaciones, etc.

Figura 1.3: Tipos de servicios en servidores

Autor: El investigador

1.2.2.2. Cliente

Dispositivo electr ´onico (computador) que accede a la informaci ´on de los servidores o utiliza sus servicios. Ejemplo: Cada vez que estamos viendo una p ´agina web (almacenada en un servidor remoto) nos estamos comportando como clientes. Tambi ´en seremos clientes si utilizamos el servicio de impresi ´on de una impresora conectada a la red. (Concejero y cols., 2014)

Figura 1.4: Tipos de cliente

Autor: El investigador

1.2.2.3. Red servidor / cliente

Uno o m ´as computadoras act ´uan como servidores y el resto como clientes. Son las m ´as potentes de la red. No se utilizan como puestos de trabajo. Se pueden administrar de forma remota (Internet es una red basada en la arquitectura cliente/servidor).

Figura 1.5: Red cliente servidor

Autor: El investigador

1.2.2.4. Redes entre iguales ´o aut ´onomo

No existe una jerarqu´ıa en la red, todas las computadoras pueden actuar como clientes (accediendo a los recursos) o como servidores (ofreciendo recursos).

Figura 1.6: Redes entre iguales

1.3. Sistema de comunicaci ´on de datos

1.3.1. Comunicaci ´on de datos

El prop ´osito fundamental de las comunicaciones de datos es el de intercambiar informaci ´on entre dos sistemas (fuente y destino). (Aubrey Adams, 2009) La figura1, muestra un modelo sist ´emico de comunicaciones, donde:

La informaci ´on es introducida mediante un dispositivo de entrada a un Sistema Fuente y que mediante un transmisor es convertida en una se ˜nal que depende de las caracter´ısticas del medio de transmisi ´on.

En el otro extremo en el Sistema Destino, el receptor recibe la se ˜nal transmi-tida y es aproximadamente igual a la se ˜nal de entrada (informaci ´on).

Finalmente, el dispositivo de salida entrega el mensaje (informaci ´on transmi-tida)

Figura 1.7: Sistema general de comunicaci ´on de datos

Fuente: Aubrey Adams, 2009

1.3.2. Tareas de un sistema de comunicaci ´on de datos

Figura 1.8: Tareas de un sistema de transmisi ´on

Fuente: C ´aceres, 2011.

1.3.3. Utilizaci ´on del sistema transmisi ´on

Necesidad de hacer un uso eficiente de las facilidades de transmisi ´on que son t´ıpicamente compartidas entre varios dispositivos de comunicaci ´on. Se usan varias t ´ecnicas como:

Figura 1.9: Sistemas de transmisi ´on

Fuente: C ´aceres, 2011.

1.3.4. Interface

Actualmente los sistemas de acceso se basan en se ˜nales electromagn ´eticas y pulsos lum´ınicos.

1.4. Modelos de red

1.4.1. Modelo de referencia OSI

El modelo OSI (Open Systems Interconnection, interconexi ´on de sistemas abier-tos) fue un intento de la Organizaci ´on Internacional de Normas (ISO) para la creaci ´on de un est ´andar que siguieran los dise ˜nadores de nuevas redes. Se trata de un modelo te ´orico de referencia: ´unicamente explica lo que debe hacer cada componente de la red sin entrar en los detalles de implementaci ´on. “El modelo OSI, define como los fabricantes de productos de hardware y software, pueden crear productos que funcionen con los productos de los fabricantes, sin necesidad de controladores especiales o equipamiento opcional”.

Figura 1.10: Modelo de capas OSI

Fuente: Est ´andar ISO 7498-1:1994

Figura 1.11: Protocolos en el modelo OSI

Fuente: Est ´andar ISO 7498-1:1994

Los creadores del modelo OSI consideraron que era 7 el n ´umero de capas que mejor se ajustaba a sus requisitos. OSI ofrece un modo ´util de realizar la interco-nexi ´on y la inter-operabilidad entre redes, su objetivo es promover la intercointerco-nexi ´on de sistemas abiertos. Es la propuesta que hizo la ISO (International Standards Organization) para estandarizar la interconexi ´on de sistemas abiertos. Un siste-ma abierto se refiere a que es independiente de una arquitectura espec´ıfica. La figura 1.11 , relaciona las capas con las principales tecnolog´ıas y protocolos que intervienen en cada una de las capas en una red.(C ´aceres, 2011)

“El modelo de referencia OSI divide el proceso global de comunicaci ´on en fun-ciones que son desempe ˜nadas por varias capas. En cada capa, un proceso en una computadora desarrolla una conversaci ´on con un proceso paritario en la otra computadora.” La figura 1.12 , muestra el nivel o capa donde funcionan los equipos de red.

Figura 1.12: Equipos en el modelo OSI

En la figura 1.11 , muestra los protocolos m ´as importantes y su relaci ´on en cada capa o nivel del modelo ISO / OSI. El modelo divide las redes en capas. Cada una de estas capas debe tener una funci ´on bien definida y relacionarse con sus capas inmediatas mediante unos interfaces tambi ´en bien definidos. Esto debe permitir la sustituci ´on de una de las capas sin afectar al resto, siempre y cuando no se var´ıen los interfaces que la relacionan con sus capas superior e inferior. La figura 1.12 , muestra el nivel o capa donde funcionan los equipos de red.

Figura 1.13: Transmisi ´on de informaci ´on modelo OSI

Fuente: Est ´andar ISO 7498-1:1994

En la figura 1.13 , muestra las 7 capas del modelo OSI. Las tres primeras capas se utilizan para enrutar, esto es, mover la informaci ´on de unas redes a otras. En cambio, las capas superiores son exclusivas de los nodos origen y destino. La capa f´ısica est ´a relacionada con el medio de transmisi ´on (cableado concreto que utiliza cada red). En el extremo opuesto se encuentra la capa de aplicaci ´on: un programa de mensajer´ıa electr ´onica, por ejemplo. El usuario se situar´ıa por encima de la capa 7.

Figura 1.14: Flujo entre capas del modelo OSI

Fuente: Est ´andar ISO 7498-1:1994

En la capa de enlace de datos se ha a ˜nadido tambi ´en una serie de c ´odigos al final de la secuencia (F = final) para delimitar no s ´olo el comienzo sino tambi ´en el final de un paquete de datos. La capa f´ısica no entiende de datos ni de c ´odi-gos, ´unicamente env´ıa una secuencia de bits por el medio de transmisi ´on (un cable). Estos bits llegar ´an, probablemente pasando por varios encaminadores intermedios, hasta la capa f´ısica del host destino.

A medida que se van recibiendo secuencias de bits, se van pasando a las capas superiores. Cada capa elimina su encabezado antes de pasarlo a una capa superior. Obs ´ervese que el mensaje que env´ıa cada capa del host A a su capa inferior es id ´entico al que recibe la capa equivalente del host B desde una capa inferior. Finalmente los datos llegar ´an a la capa de aplicaci ´on, ser ´an interpretados y mostrados al usuario del host B. Los paquetes de datos de cada capa suelen recibir nombres distintos. En la capa de enlace de datos se habla de marcos o tramas; en la capa de red, de paquetes o datagramas.

las redes actuales, incluyendo Internet. OSI es un modelo te ´orico general que da preferencia a un buen dise ˜no en papel, antes que a la implementaci ´on de los protocolos.([et al. ] S ´anchez Garreta, 2009)

1.4.2. Modelo TCP/IP

A diferencia del modelo OSI, el modelo TCP/IP no es un est ´andar internacional, y su definici ´on var´ıa. Sin embargo, es usado a menudo como un modelo pr ´actico para entender y resolver fallas en redes Internet. La mayor parte de Internet usa TCP/IP, as´ı que podemos plantear algunas premisas sobre las redes que las har ´an de m ´as f ´acil comprensi ´on.

El modelo TCP/IP se hizo justamente al rev ´es: primero vinieron los protocolos y despu ´es, se pens ´o en sus especificaciones. De tal forma, que el modelo TCP/IP ´unicamente es aplicable para la pila de protocolos TCP/IP pero no es v ´alido para nuevas redes.

Las cinco capas pueden ser recordadas f ´acilmente usando la frase: Favor Entrar, Inmediatamente Tomar el Ascensor, para la secuencia de capas F´ısica, Enlace de Datos, Internet, Transporte y Aplicaci ´on, o en ingl ´es “Please Don’t Look In The Attic,” que se usa por “Physical /Data Link / Internet / Transport / Application”. Internet no es un nuevo tipo de red f´ısica, sino un conjunto de tecnolog´ıas que permiten interconectar redes muy distintas entre s´ı. Internet no es dependiente de la computadora ni del sistema operativo utilizado.

De esta manera, podemos transmitir informaci ´on entre un servidor Unix y un computador que utilice Windows XP o entre plataformas completamente distintas como Macintosh, AMD, Alpha o Intel. (Concejero y cols., 2014)

Capa de red.

Capa de transporte. Capa de aplicaci ´on.

No tiene las capas de sesi ´on ni de presentaci ´on que, por otro lado, estaban pr ´acticamente vac´ıas en el modelo OSI. Tampoco dice nada de las capas f´ısica y de enlace a datos. El nivel m ´as bajo es la capa f´ısica. Aqu´ı nos referimos al medio f´ısico por el cual se transmite la informaci ´on. Generalmente ser ´a un cable aunque no se descarta cualquier otro medio de transmisi ´on como ondas o enlaces v´ıa sat ´elite. La capa de enlace de datos (acceso a la red) determina la manera en que las estaciones (computadoras) env´ıan y reciben la informaci ´on a trav ´es del soporte f´ısico proporcionado por la capa anterior. Es decir, una vez que tenemos un cable, ¿c ´omo se transmite la informaci ´on por ese cable? ¿Cu ´ando puede una estaci ´on transmitir? ¿Tiene que esperar alg ´un turno o transmite sin m ´as? ¿C ´omo sabe una estaci ´on que un mensaje es para ella? Pues bien, son todas estas cuestiones las que resuelve esta capa.

Las dos capas anteriores quedan a un nivel inferior del protocolo TCP/IP, es decir, no forman parte de este protocolo. La capa de red define la forma en que un mensaje se transmite a trav ´es de distintos tipos de redes hasta llegar a su destino. El principal protocolo de esta capa es el IP aunque tambi ´en se encuentran a este nivel los protocolos ARP, ICMP e IGMP. Esta capa proporciona el direccionamiento IP y determina la ruta ´optima a trav ´es de los encaminadores (routers) que debe seguir un paquete desde el origen al destino.

1.5. Red privada virtual

Es una Red Privada Virtual (VPN) que se extiende, mediante un proceso de encapsulaci ´on, y en su caso, de encriptaci ´on, de los paquetes de datos a distintos puntos remotos mediante el uso de infraestructuras p ´ublicas de transporte. Los paquetes de datos de la red privada viajan por medio de un ”t ´unel”definido en la red p ´ublica.

En el caso de acceso remoto, la VPN permite al usuario acceder a su red corpora-tiva, asign ´andole a su ordenador remoto las direcciones y privilegios de la misma, aunque la conexi ´on la haya realizado por medio de un acceso a Internet p ´ublico. (Feilner y Graf, 2009) En ocasiones puede ser interesante que la comunicaci ´on que viaja por el t ´unel establecido en la red p ´ublica vaya encriptada para permitir una mayor confidencialidad.

En una red privada virtual todos los usuarios parecen estar en el mismo seg-mento de LAN, pero en realidad est ´an a varias redes (generalmente p ´ublicas) de distancia.

Para lograr esta funcionalidad, la tecnolog´ıa de redes seguras, privadas y virtuales debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP a trav ´es de un t ´unel en la red p ´ublica, de manera que dos segmentos de LAN remotos no parezcan estar separados por una red p ´ublica; la soluci ´on debe agregar encriptaci ´on, de manera que el tr ´afico que cruce por la red p ´ublica no pueda ser espiado, interceptado, le´ıdo o modificado; y por ´ultimo, la soluci ´on debe ser capaz de autenticar positivamente cualquier extremo del enlace de comunicaci ´on, de modo que un adversario no pueda acceder a los recursos del sistema. (Brown, 2011)

Las VPN permiten a los usuarios que trabajan en el hogar o en el camino co-nectarse en una forma segura a un servidor corporativo remoto, mediante la infraestructura de entubamiento que proporciona una red p ´ublica (como Internet). La tecnolog´ıa VPN tambi ´en permite que una compa ˜n´ıa se conecte a las sucur-sales o a otras compa ˜n´ıas (extranets) sobre una red p ´ublica (como Internet), manteniendo al mismo tiempo comunicaciones seguras. (Concejero y cols., 2014)

1.5.1. Descripci ´on de VPN

Una Red Privada Virtual es una forma de compartir y transmitir informaci ´on entre un c´ırculo cerrado de usuarios que est ´an situados en diferentes localizaciones geogr ´aficas. Es una red de datos de gran seguridad que permite la transmisi ´on de informaci ´on confidencial entre la empresa y sus sucursales, socios, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmi-si ´on. Aunque Internet es una red p ´ublica y abierta, la transmitransmi-si ´on de los datos se realiza a trav ´es de la creaci ´on de t ´uneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos.

Existen varias formas de garantizar la existencia de un canal seguro entre emisor y receptor. Algunas de ellas pueden ser el uso de extranets, o bien proteger los servidores propios mediante passwords utilizando mecanismos de autenticaci ´on de terceras partes, o incluso utilizar l´ıneas privadas para todas las comunicaciones que requieran un canal seguro.

As´ı, las VPN constituyen una estupenda combinaci ´on entre la seguridad y garant´ıa que ofrecen las costosas redes privadas y el gran alcance, lo asequible y lo escalable del acceso a trav ´es de Internet. Esta combinaci ´on hace de las Redes Privadas Virtuales o VPNs una infraestructura confiable y de bajo costo que satisface las necesidades de comunicaci ´on de cualquier organizaci ´on. (Jes ´us Esteban D´ıaz Bermejo, 2014) Las VPNs permiten:

corporativas.

Los requisitos indispensables para esta interconectividad son: Pol´ıticas de seguridad.

Requerimiento de aplicaciones en tiempo real. Datos, aplicaciones y recursos.

Servidor de acceso y autenticaci ´on. Aplicaci ´on de autenticaci ´on.

1.5.2. Requisitos para establecer una VPN

Para poder establecer una VPN, ya sea entre varias subnets o entre una LAN y un host ”m ´ovil”, son necesarios algunos requisitos:

1.5.2.1. Requisitos Hardware

Es necesario tener un encaminador o router a internet, que va a ser la pieza clave de la VPN. Cualquier tipo de encaminador, en principio, ser´ıa suficiente. Por supuesto, tambi ´en es necesario el soporte f´ısico para la comunicaci ´on entre las dos subnets o entre la LAN y el host ”m ´ovil”.

1.5.2.2. Requisitos Software

tener que ’mirar’ dentro de los datos de la transmisi ´on que, adem ´as, podr´ıan estar encriptados. Otro de los requisitos m ´as importantes a la hora de construir una VPN es el hecho de que las aplicaciones deber´ıa seguir funcionando perfectamente como hasta ahora hab´ıan funcionado. Es decir, la creaci ´on de la VPN deber´ıa ser transparente a las aplicaciones que se est ´en usando o se puedan usar en cualquiera de las redes que forman la VPN. (Brown, 2011)

1.5.3. Requerimientos b ´asicos de las VPN

Por lo general, al implementar una soluci ´on de red remota, una compa ˜n´ıa desea facilitar un acceso controlado a los recursos y a la informaci ´on de la misma. La soluci ´on deber ´a permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de ´area local (LAN) as´ı como las oficinas remotas se conecten entre si para compartir recursos e informaci ´on. Por ´ultimo, la soluci ´on debe garantizar la privacidad y la integridad de los datos al viajar a trav ´es de Internet p ´ublico. Lo mismo se aplica en el caso de datos sensibles que viajan a trav ´es de una red corporativa. Por lo tanto, como m´ınimo, una soluci ´on de VPN debe proporcionar lo siguiente:

1.5.3.1. Autenticaci ´on de usuario

La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no est ´en autorizados. As´ı mismo, debe proporcionar registros estad´ısticos que muestren quien acceso, que informaci ´on y cuando.

1.5.3.2. Administraci ´on de direcci ´on

1.5.3.3. Encriptaci ´on de datos

Los datos que se van a transmitir a trav ´es de la red p ´ublica deben ser previamente encriptados para que no puedan ser le´ıdos por clientes no autorizados de la red.

1.5.3.4. Administraci ´on de llaves

La soluci ´on deber ´a generar y renovar las llaves de encriptaci ´on para el cliente y para el servidor.

1.5.3.5. Soporte de protocolo m ´ultiple

La soluci ´on deber ´a manejar protocolos comunes utilizados en las redes p ´ublicas; ´estos incluyen Protocolo de Internet. Una soluci ´on de VPN de Internet basada en un Protocolo de t ´unel de punto a punto (PPTP) o un Protocolo de t ´unel de nivel 2 (L2TP) cumple con todos estos requerimientos b ´asicos, y aprovecha la amplia disponibilidad de Internet a nivel mundial.

1.5.4. Componentes que conforman una VPN

Las VPN consisten hardware y software, y adem ´as requieren otro conjunto de componentes. Estos componentes son simples requisitos que garantizan que la red sea segura, est ´e disponible y sea f ´acil de mantener. Son necesarios ya sea que un PSI proporcione la VPN o que usted halla decidido instalar una por si mismo.

1.5.4.1. Disponibilidad

1.5.4.2. Control

Suministra capacitaci ´on, experiencia, supervisi ´on meticulosa y funciones de alerta que ofrece algunos proveedores de servicios administrados. Una consideraci ´on significativa es que sin importar que tan grande sea la organizaci ´on, es probable que solo cuente con una VPN puede tener otros puntos de acceso, pero seguir ´a siendo una VPN corporativa.

1.5.4.3. Compatibilidad

Para utilizar tecnolog´ıa VPN e Internet como medio de transporte, la arquitectura interna del protocolo de red de una compa ˜n´ıa debe ser compatible con el IP nativo de Internet.

1.5.4.4. Seguridad

Lo es todo en una VPN, desde el proceso de cifrado que implementa y los servicios de autenticaci ´on que usted elige hasta las firmas digitales y las autoridades emisoras de certificados que utilizan. Abarca el software que implementa los algoritmos de cifrado en el dispositivo de la VPN.

1.5.4.5. Confiabilidad

Cuando una compa ˜n´ıa decide instalar el producto VPN de un PSI, est ´a a merced de este.

1.5.4.6. Autenticaci ´on de Datos y Usuarios

1.5.5. Herramientas de una VPN

Dispositivos con un software y hardware especial para proveer de capacidad a la VPN Software. Esta sobre una plataforma PC o Workstation, el software desempe ˜na todas las funciones de la VPN.

1.5.6. Tecnolog´ıa de t ´unel

Las redes privadas virtuales crean un t ´unel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulaci ´on adem ´as los paquetes van encriptados de forma que los datos son ilegibles para los extra ˜nos. El servidor busca mediante un ruteador la direcci ´on IP del cliente VPN y en la red de transito se env´ıan los datos sin problemas. (Dordoigne, 2015)

Al representar una amenaza potencial, los protocolos de t ´unel deben estar al alcance de los profesionales de red o de IT, que deben garantizar que sus sistemas puedan bloquear t ´uneles no deseados, as´ı como que est ´en configurados para aplicar protocolos de seguridad a los datos enviados mediante un t ´unel conocido, como los datos que se env´ıan a trav ´es de redes VPN.

1.5.7. Funcionamiento de una VPN

Figura 1.15: Funcionamiento de la VPN

hace la funci ´on de una pared para enga ˜nar a los intrusos a la red, despu ´es los datos llegan a nube de Internet donde se genera un t ´unel dedicado ´unicamente para nuestros datos para que estos con una velocidad garantizada, con un ancho de banda tambi ´en garantizado y lleguen a su vez al firewall remoto y terminen en el servidor remoto.(Aubrey Adams, 2009) Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios m ´oviles, con oficinas remotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay, ATM como lo muestra la figura siguiente.

Figura 1.16: VPN Multipunto

Fuente: Aubrey Adams, 2009

Para que se establezca un t ´unel, tanto el cliente de ´este como el servidor deber ´an utilizar el mismo protocolo de t ´unel.

1.5.8. Ventajas e inconvenientes de la VPN

Dentro de las ventajas m ´as significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos.

Reducci ´on de costos. Sencilla de usar.

Sencilla instalaci ´on del cliente en cualquier PC Windows. Control de Acceso basado en pol´ıticas de la organizaci ´on Herramientas de diagn ´ostico remoto.

Los algoritmos de compresi ´on optimizan el tr ´afico del cliente.

Entre los inconvenientes podemos citar: una mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos una vez m ´as, situaci ´on que se agrava cuando adem ´as se realiza encriptaci ´on de los datos que produce una mayor ralentizaci ´on de la mayor´ıa de conexiones. Tambi ´en se produce una mayor complejidad en el tr ´afico de datos que puede producir efectos no deseados al cambiar la numeraci ´on asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o n ´umero IP).

Ahorro en costes de comunicaciones. En el caso de usuarios remotos, cuan-do quieren utilizar los servicios de la compa ˜n´ıa no necesitan conectarse directamente a los servidores de la compa ˜n´ıa, sino que se conectan directa-mente por su conexi ´on a Internet. Por otro lado, la compa ˜n´ıa puede utilizar sus l´ıneas de conexi ´on a Internet para realizar transmisiones de datos, sin necesidad de contratar l´ıneas privadas adicionales.

Ahorro en costes operacionales. Usando VPN para dar acceso a los usua-rios, la compa ˜n´ıa puede deshacerse de los bancos de m ´odems y de los servidores para acceso remoto, de manera que ya no habr ´a que administrar esos dispositivos.

distancia ni utilizando l´ıneas privadas.

Los servicios de la compa ˜n´ıa est ´an disponibles siempre. Una VPN permite a las compa ˜n´ıas ofrecer servicios globales. Los trabajadores remotos pueden conectarse a la red interna sin importar d ´onde est ´en situados f´ısicamente. Esto implica que pueden utilizar los servicios de la LAN de la compa ˜n´ıa, como impresoras o archivos compartidos, sin problemas.Una compa ˜n´ıa puede ofrecer servicios a sus socios mediante una VPN, ya que la tecnolog´ıa VPN permite accesos controlados y proporciona un canal seguro para compartir informaci ´on de negocios.

Este tipo de comunicaciones presentan m ´ultiples ventajas y beneficios para los usuarios:

Flexibilidad. Se puede optar por m ´ultiples tecnolog´ıas o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso m ´as adecuado. Por ejemplo, si se trata de una peque ˜na oficina remota, se puede utilizar acceso discado, ISDN, xDSL o cable m ´odem.

Implementaci ´on r ´apida. El tiempo de implementaci ´on de un ”backbone” de WAN para una empresa es muy alto frente a la implementaci ´on de una red privada virtual sobre un ”backbone” ya existente de un proveedor de servicio. M ´as a ´un, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy r ´apida, que concuerdan con los tiempos del negocio de la empresa.

Escalabilidad. El desarrollo masivo de redes como Internet permite que la em-presa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnolog´ıa de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario. Adem ´as, la escalabilidad de la red no incide en la operatoria y gesti ´on de

1.5.9. Seguridad en la implemention de una VPN

Solo a las partes autorizadas se les permite el acceso a las aplicaciones y servidores corporativos, ya que se permite que las personas entren y salgan de Internet o de otras redes p ´ublicas y tambi ´en se les ofrece acceso a los servidores.

Cualquiera que pase a trav ´es de flujo de datos cifrados de la VPN no debe estar capacitado para descifrar el mensaje.

Los datos deben permanecer intocables al 100

Se debe tener facilidad de administraci ´on, la configuraci ´on debe ser directa y el mantenimiento y actualizaci ´on deben estar asegurados. (Aubrey Adams, 2009)

1.6. Computacion en la Nube

El t ´ermino “Cloud” o “Nube” comenz ´o a ser utilizado por los profesionales de redes para referirse a un ´area donde se desconoce la topolog´ıa o modo de operaci ´on de una red, pero a trav ´es de la cual se tiene acceso a otros equipos con los que se necesita establecer comunicaci ´on. (Aguilera, 2011)

Figura 1.17: Cloud Computing

Seg ´un el Instituto Nacional de Est ´andares y Tecnolog´ıa (NIST) de Estados Uni-dos, Cloud Computing se define como; “Un modelo que permite acceder a un conjunto compartido de recursos inform ´aticos configurables (ej. Redes, servido-res, almacenamiento, aplicaciones y servicios) de manera conveniente, ubicua y bajo demanda, que pueden ser proporcionados r ´apidamente y liberados, con un m´ınimo esfuerzo administrativo e interacci ´on del proveedor de servicios desde el punto de vista de los usuarios, los servicios son “el ´asticos”, es decir, que pueden crecer o recuperar su tama ˜no original de manera r ´apida y sencilla.

Esto posibilita que las organizaciones se despreocupen de la gesti ´on f´ısica de los recursos y distribuyan adecuadamente su capital sin tener que entrar en costosas inversiones para atender requerimientos temporales, concentrando todos sus esfuerzos en los objetivos particulares de su negocio.

Esta orientaci ´on permite que los usuarios que acceden a los servicios, perciban que todo funciona de manera simple y r ´apida, dando como resultado una expe-riencia m ´as gratificante.” (National Institute of Standards and Technology, 2010)” Cloud Computing no es una tecnolog´ıa nueva.

El auge en la utilizaci ´on de este concepto se vio impulsado por compa ˜n´ıas como Amazon.com que desempe ˜naron un papel clave en el desarrollo de Cloud Computing al modernizar sus data center despu ´es de la llamada “explosi ´on de la burbuja.com” entre 1997 y 2001 . Amazon solo utilizaba el 10 % de su capacidad por lo que comenz ´o a proveer acceso a sus sistemas a trav ´es de su plataforma Amazon Web Services mediante sus servicios Simple Storage Service (S3) y Elastic Compute Cloud (EC2) en el a ˜no 2006.

1.6.1. Fondo com ´un de Recursos

Hay una sentido de independencia de la ubicaci ´on f´ısica en la que los cliente generalmente no tiene control o conocimiento sobre la ubicaci ´on exacta de los recursos asignados, pero se puede especificar una ubicaci ´on a un nivel m ´as alto de abstracci ´on (por ejemplo, pa´ıs, estado, o de centros de datos). Algunos ejemplos de recursos son: almacenamiento, procesamiento, memoria, ancho de banda y maquinas virtuales.

1.6.2. Modelos de Despliegue de Cloud

Los Modelos de Despliegue se refieren como se monta y pone en funcionamiento un sistema. Para Cloud Computing, el NIST define cuatro Modelos de Despliegue, tambi ´en conocidos como “Tipos de Cloud”, que ofrecen la infraestructura necesa-ria para soportar los Modelos de Servicio (SaaS, PaaS, IaaS). (Aubrey Adams, 2009)

Figura 1.18: Tipos de nube

Fuente: Aubrey Adams, 2009

Estos cuatro Modelos de Despliegue de Cloud, son Cloud Publica, Cloud Privada, Cloud Hibrida y Cloud Comunitaria como se aprecia en la Figura 1.18

zaci ´on, que entrega los recursos y luego cobra por su uso. La infraestructura es propiedad de la organizaci ´on que ofrece los servicios en la nube.

El t ´ermino “p ´ublico” no siempre significa gratis ni tampoco que los datos de los clientes son visibles para cualquiera. Generalmente los proveedores de Cloud P ´ublicos ofrecen mecanismos de control de acceso para sus usuarios. Las Cloud P ´ublicas permiten implementar soluciones de manera flexible y efectiva a nivel de costos. (Aubrey Adams, 2009)

1.6.2.2. Cloud Privada

En el modelo de Cloud Privada, la infraestructura est ´a orientada a servir a una sola organizaci ´on la cual controla qu ´e aplicaciones deben correr y d ´onde. Puede existir en las dependencias propias de la organizaci ´on o fuera de ellas.

La diferencia principal entre Cloud P ´ublica y Privada es que en las Cloud Privadas los datos y procesos son administrados dentro de la organizaci ´on sin restricciones de ancho de banda, vulnerabilidades de seguridad y complicaciones legales que podr´ıan acarrearse al usar Cloud P ´ublicas. Adem ´as, las Cloud Privadas ofrecen al proveedor y usuario mayor control de la infraestructura Cloud, mejorando la seguridad debido a que la utilizaci ´on de la red y el acceso de los usuarios est ´an restringidos y designados. (Aubrey Adams, 2009)

1.6.2.3. Cloud H´ıbrida

1.6.2.4. Cloud Comunitaria

En un modelo de Cloud Comunitaria la infraestructura es compartida y utilizada por un grupo de organizaciones que tienen intereses compartidos, tales como requerimientos espec´ıficos de seguridad, pol´ıticas o una misi ´on com ´un. Los miembros de la comunidad comparten el acceso a los datos y aplicaciones en la Cloud. (Aubrey Adams, 2009)

1.6.3. Arquitectura General de Cloud Computing

En la figura 1.19 Representa de forma general los modelos y caracter´ısticas esenciales revisadas sobre Cloud Computing.

Figura 1.19: Arquitectura de la nube

Fuente: Aubrey Adams, 2009

IaaS es la base de todos los servicios de la nube, de modo que PaaS se basar ´a en IaaS. SaaS, por su parte, se basar ´a en PaaS, De este modo, a medida que se heredan capacidades, tambi ´en se heredas cuestiones y riesgos relacionados con la seguridad de la informaci ´on.

Figura 1.20: Arquitectura general de la nube

Fuente: Aubrey Adams, 2009

1.7. Seguridad Inform ´atica

1.7.1. Seguridad y algoritmos

La seguridad inform ´atica es la disciplina que se ocupa de dise ˜nar las normas, procedimientos, m ´etodos y t ´ecnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas inform ´aticos. (Gasc ´o, 2013) Consiste en asegurar que los recursos del sistema de informaci ´on (material inform ´atico o programas) de una organizaci ´on sean utilizados de la manera que se decidi ´o y que el acceso a la informaci ´on all´ı contenida, as´ı como su modificaci ´on, s ´olo sea posible a las personas que se encuentren acreditadas y dentro de los l´ımites de su autorizaci ´on. (Gasc ´o, 2013)

1.7.2. Principios

Para lograr sus objetivos la seguridad inform ´atica se fundamenta en tres principios, que debe cumplir todo sistema inform ´atico:

1.7.2.1. Confidencialidad

de seguridad inform ´atica deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particu-larmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero est ´an f´ısica y l ´ogicamente interconectados.

1.7.2.2. Integridad

Se refiere a la validez y consistencia de los elementos de informaci ´on almace-nados y procesados en un sistema inform ´atico. Bas ´andose en este principio, las herramientas de seguridad inform ´atica deben asegurar que los procesos de actualizaci ´on est ´en bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma informaci ´on.

1.7.2.3. Disponibilidad

Se refiere a la continuidad de acceso a los elementos de informaci ´on almacena-dos y procesaalmacena-dos en un sistema inform ´atico. Bas ´analmacena-dose en este principio, las herramientas de seguridad inform ´atica deber reforzar la permanencia del siste-ma inform ´atico, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicaci ´on que requieran, este principio es importante en sistemas inform ´aticos cuyos compromisos con el usuario, es prestar servicio permanente.(Jes ´us Costas Santos, 2010)

1.7.3. SSL

Este protocolo ha sido sucedido por TLS, que son las siglas en ingl ´es de Transport Layer Security. Versiones de TLS tienen un equivalente en SSL, por ejemplo, TLS 1.2 corresponde a SSL 3.3; de ah´ı que a ´un sea com ´un que se refiera a este protocolo como SSL.(Jes ´us Costas Santos, 2010)

1.7.3.1. Funcionamiento conexi ´on SSL

De forma b ´asica, una conexi ´on usando el protocolo SSL funciona de la siguiente forma:

El cliente y el servidor entran en un proceso de negociaci ´on, conocido como handshake. Este proceso sirve para que se establezca varios par ´ametros para realizar la conexi ´on de forma segura.

Una vez terminada la negociaci ´on, la conexi ´on segura es establecida. Usando llaves preestablecidas, se codifica y descodifica todo lo que sea enviado hasta que la conexi ´on se cierre.

1.7.3.2. Certificado SSL

Un certificado SSL es un certificado digital de seguridad que se utiliza por el protocolo SSL. Este certificado es otorgado por una agencia independiente debi-damente autorizada y es enviado por el servidor de la p ´agina web segura.

El navegador de internet recibe e interpreta el contenido de dicho certificado y, al verificar su autenticidad, indica que se est ´a realizando una conexi ´on segura; cada navegador de internet tiene diferentes formas de indicarlo, por ejemplo un candado cerrado.(Jes ´us Costas Santos, 2010)

1.7.3.3. Openssl

utilizaci ´on de sniffer. El conjunto de herramientas OpenSSL es una caracter´ıstica de FreeBSD que ofrece una capa cifrada de transporte sobre la capa normal de comunicaci ´on, permitiendo la combinaci ´on con muchas aplicaciones y servicios de red. (Brown, 2011)

El OpenSSL se emplea en la validaci ´on cifrada de clientes de correo, transaccio-nes basadas en web para pagos con tarjetas de cr ´edito y en muchos casos en sistemas que requieran seguridad para la informaci ´on que se expondr ´a en la red “datos confidenciales”.

Uno de los usos m ´as comunes de OpenSSL es ofrecer certificados para usar con aplicaciones de software. Estos certificados aseguran que las credenciales de la compa ˜n´ıa o individuo son v ´alidas y no son fraudulentos. Si el certificado en cuesti ´on no ha sido verificado por uno de las diversas “autoridades certificadoras” o CA, suele generarse una advertencia al respecto.

Una autoridad de certificados es una compa ˜n´ıa, que firma certificados para validar credenciales de individuos o compa ˜n´ıas. Este proceso tiene un costo asociado y no es un requisito imprescindible para usar certificados, aunque puede darle un poco de tranquilidad a los usuarios. (Maria Angeles Gonzalez Perez, 2011)

1.7.4. Cifrados de seguridad

1.7.4.1. SHA1

1.7.4.2. Hash

La funci ´on hash es un algoritmo matem ´atico que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola direcci ´on, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la funci ´on es un n ´umero que identifica indiscutible al texto. Si se adjunta este n ´umero al texto, el destinatario puede aplicar de nuevo la funci ´on y comprobar su resultado con el que ha recibido. Este tipo de operaciones no est ´an pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la funci ´on de calcular el valor hash como su verificaci ´on posterior. (Maria Angeles Gonzalez Perez, 2011)

1.7.4.3. Firewall

Un firewall o cortafuegos es un dispositivo de hardware o un software que nos permite gestionar y filtrar la totalidad de tr ´afico entrante y saliente que hay entre 2 redes u ordenadores de una misma red.

Si el tr ´afico entrante o saliente cumple con una serie de Reglas que nosotros podemos especificar, entonces el tr ´afico podr ´a acceder o salir de nuestra red u ordenador sin restricci ´on alguna. En caso de no cumplir las reglas el tr ´afico entrante o saliente ser ´a bloqueado.

B ´asicamente la funci ´on de un firewall es proteger los equipos individuales, ser-vidores o equipos conectados en red contra accesos no deseados de intrusos que nos pueden robar datos confidenciales, hacer perder informaci ´on valiosa o incluso denegar servicios en nuestra red. (Brown, 2011)

As´ı por lo tanto queda claro que es altamente recomendable que todo el mundo utilice un firewall por los siguientes motivos:

Preservar nuestra seguridad y privacidad.

Para proteger nuestra red dom ´estica o empresarial.

Para evitar intrusiones de usuarios no deseados en nuestra red y ordena-dor. Los usuarios no deseados tanto pueden ser hackers como usuarios pertenecientes a nuestra misma red.

Para evitar posibles ataques de denegaci ´on de servicio.

Un firewall debidamente configurado nos podr ´a proteger por ejemplo contra ataques IP address Spoofing, Ataques Source Routing.

1.7.4.4. Certificado digital

Consiste en un m ´etodo criptogr ´afico que asocia la identidad de una persona o de un equipo inform ´atico al mensaje o documento. En funci ´on del tipo de firma, puede, adem ´as, asegurar la integridad del documento o mensaje. (Maria Angeles Gonzalez Perez, 2011)

La firma digital de un documento es el resultado de aplicar cierto algoritmo matem ´atico, denominado funci ´on hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operaci ´on anterior, generando la firma electr ´onica o digital. El software de firma digital debe adem ´as efectuar varias validaciones, entre las cuales podemos mencionar:

Vigencia del certificado digital del firmante. Revocaci ´on del certificado digital del firmante. Inclusi ´on de sello de tiempo.

1.7.5. Criptograf´ıa

tar la informaci ´on por medio de la aplicaci ´on de grandes funciones matem ´aticas, las mismas que son aplicadas mediante determinado software dise ˜nado para tal efecto.

Los or´ıgenes hist ´oricos de la criptograf´ıa se remontan a las necesidades del ser humano para proteger eficientemente sus comunicaciones, los secretos militares y la informaci ´on estatal en general. Actualmente, la realidad inform ´atica en que se vive ha permitido que todas las instituciones y personas transmitan y archiven grandes cantidades de datos e informaci ´on, las mismas que deben ser cauteladas con mucho cuidado. En los tiempos modernos la t ´ecnica de cifrar tanto datos como informaci ´on se ha convertido en una imperiosa necesidad. (Maria Angeles Gonzalez Perez, 2011)

1.7.6. Control de Acceso

Es el proceso de conceder permisos a usuarios o grupos de acceder a objetos tales como ficheros o impresoras en la red. El control de acceso est ´a basado en tres conceptos fundamentales: identificaci ´on, autenticaci ´on y autorizaci ´on. (Maria Angeles Gonzalez Perez, 2011)

1.7.6.1. Identificaci ´on y autenticaci ´on

Autenticaci ´on es la verificaci ´on de que el usuario que trate de identificarse es v ´alido, usualmente se implementa con una contrase ˜na en el momento de iniciar una secci ´on. Existen 4 tipos de t ´ecnicas que permiten realizar la autenticaci ´on de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas (Autenticaci ´on de varios factores): (Gasc ´o, 2013)

Algo que solamente el individuo conoce: ejemplo una contrase ˜na. Algo que una persona posee: ejemplo una tarjeta magn ´etica.

Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de escritura.

1.7.7. Dnsmasq

El paquete dnsmasq permite poner en marcha un servidor DNS de una forma muy sencilla. Simplemente instalando y arrancando el servicio dnsmasq, sin realizar ning ´un tipo de configuraci ´on adicional, nuestro PC se convertir ´a en un servidor cach ´e DNS y adem ´as, resolver ´a los nombres que tengamos configurados en el archivo /etc/hosts de nuestro servidor.

La resoluci ´on funcionar ´a tanto en sentido directo como en sentido inverso, es decir, resolver ´a la IP dado un nombre de PC y el nombre del PC dada la IP. Adi-cionalmente, dnsmasq dispone de servidor DHCP y permite resolver los nombres de los PCs a los que les ha asignado direcci ´on IP din ´amica. (Salom ´on, 2012)

1.7.8. Iptables

El kernel Linux incluye el subsistema Netfilter, que es usado para manipular o decidir el destino del tr ´afico de red entre o a trav ´es de su red. Todas las soluciones firewall Linux modernas utilizan este sistema para el filtrado de paquetes.

El sistema de filtrado de paquetes del n ´ucleo resulta de poca ayuda a los ad-ministradores si no se tiene una interfaz de usuario para gestionarlo. ´Este es el prop ´osito de Iptables. Cuando un paquete llega a su servidor, ´este es gestionado por el subsistema Netfilter para aceptarlo, manipularlo o rechazarlo bas ´andose en las reglas suministradas a ´este v´ıa iptables.

As´ı, iptables es todo lo que necesita para manejar sus cortafuegos si est ´a fa-miliarizado con ´el, pero existen muchas interfaces de usuario disponibles para simplificar esta tarea por ejemplo Firestarter.

y finalmente una ACCION, que es la encargada de decir qu ´e destino tiene el paquete.

FILTER (filtrado)Permite generar las reglas de filtrado, o sea, qu ´e paquetes acep-tar, cuales rechazar o cuales omitir. Es la tabla por defecto. Las cadenas ser ´an: INPUT OUTPUT y FORWARD.

NAT (Network Address Translation) Desde esta tabla es posible el enmascara-miento de IP, se usa para redireccionar puertos o cambiar las :IPs de origen y destino a trav ´es de interface de red. Las cadenas ser ´an: PREROUTING y POSTROUTING

MANGLE (Modificado de paquetes) Permite la modificaci ´on de paquetes como ToS (Type of Service), TTL (Time to live) o mark, marcar el paquete.

RAW Esta tabla se usa para configurar principalmente excepciones en el se-guimiento de paquetes en combinaci ´on con la acci ´on o target NOTRACK. Trabaja sobre la cadena PREROUTING Y OUTPUT y su ´unica acci ´on es Notrack. Puede evitar que iptables haga un seguimiento de los paquetes. (Salom ´on, 2012)

1.8. Conclusiones parciales del capitulo

Entre los medios de comunicaci ´on de datos de capa 1, el mas confiable y el que brinda mayor velocidad de transmisi ´on es la fibra ´optica.

Cuando no es posible el medio de fibra ´optica, los enlaces inal ´ambricos en bandas abiertas o sin licencia, se convierten en una opci ´on de bajo costo y buen rendimiento.

Las VPN permiten crear un t ´unel seguro a trav ´es de un medio inseguro como la internet, para proteger informaci ´on.

La seguridad de informaci ´on consiste en un conjunto de protocolos que ayudan a precautelar la integridad de los datos almacenados.

Cap´ıtulo II

Marco Metodol ´

ogico

2.1. Caracterizaci ´on del sector

El Gobierno Aut ´onomo Descentralizado de Ba ˜nos de Agua Santa, es un ente admi-nistrativo cantonal, que se encarga del manejo de los bienes, as´ı como maquinaria destinada al mantenimiento caminos, creaci ´on de ordenanzas municipales para el ordenamiento urbano, tambi ´en se encarga de brindar ayuda a las parroquias rurales.

El edificio de la municipalidad se encuentra en el centro de la ciudad de Ba ˜nos, frente al parque Palomino Flores, diagonal a las oficinas de la Corporaci ´on Nacio-nal de Telecomunicaciones, el cant ´on Ba ˜nos de Agua Santa se caracteriza por tener una masiva afluencia tur´ıstica. Por lo tanto, la municipalidad se enfoca en promover el turismo creando ordenanzas que benefician al turismo.

2.1.1. Misi ´on

Consolidar al cant ´on como un referente de turismo con un manejo t ´ecnico, para alcanzar un modelo de desarrollo sustentable que complemente y articule el turismo y la gesti ´on ambiental mediante:

Consolidando un modelo Eco Tur´ıstico.