SlideShare una empresa de Scribd logo

Diseño de una VPN para la interconexión de la empresa de transportes El Cortijo

Descargar como DOCX, PDF
ING. JOSE MARTIN VELASQUEZ RUIZ
ING. JOSE MARTIN VELASQUEZ RUIZ
1 de 44
UNIVERSIDAD NACIONAL DEL SANTA FACULTAD DE INGENIERIA DE SISTEMAS E INFORMÁTICA DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN) PARA LA INTERCONEXIÓN DE LA EMPRESA “EL CORTIJO” CON SUS SUCURSALES INTEGRANTES :  CARRUITERO FAJARDO YOVANA  MAZA RAMOS MIGUEL  ROMERO ZEGARRA BRUNO  VELASQUEZ RUIZ JOSE DOCENTE : ING. KENE REYNA ROJAS ASIGNATURA : REDES DE COMPUTADORAS Nuevo Chimbote, 17 de Enero del 2013
INDICE I. DATOS DE LA EMPRESA 1.1. RESEÑA HISTORICA 1.2. UBICACIÓN GEOGRÁFICA 1.3. MISION 1.4. VISION 1.5. ORGANIGRAMA 1.6. OBJETIVOS 1.7. POLÍTICAS II. MARCO TEÓRICO 2.1. DEFINICION DE UNA VPN 2.2. CARACTERISTICAS FUNCIONALES DE UNA VPN 2.3. VENTAJAS E INCONVENIENTES DE UNA VPN 2.3.1. VENTAJAS 2.3.2. INCONVENIENTES 2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. SERVIDOR VPN 2.4.2. CLIENTE VPN 2.4.3. TÚNEL 2.4.4. CONEXIÓN VPN 2.4.5. PROTOCOLOS DEL TÚNEL 2.4.6. DATOS DEL TÚNEL (TUNELED DATA) 2.4.7. RED DE TRANSITO 2.5. REQUERIMIENTOS BÁSICOS DE LA VPN 2.5.1. AUTENTICACIÓN DE USUARIO. 2.5.2. ADMINISTRACIÓN DE DIRECCIÓN. 2.5.3. ENCRIPTACIÓN DE DATOS. 2.5.4. ADMINISTRACIÓN DE LLAVES. 2.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE. 2.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) 2.6.3. EXTRANET VPN 2.7. TOPOLOGÍAS DE VPN 2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente) 2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
2.8. ANALISIS DE PROTOCOLOS 2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD 2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) 2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC. 2.8.1.3.2. OTRAS SOLUCIONES 2.8.1.3.2.1. Secure shell (SSH) 2.8.1.3.2.2. CIPE – Crypto Encapsulation 2.8.1.3.2.3. RFC 1234 : Tunneling IPX Traffic through Networks 2.8.1.3.2.4. RFC 2004: Minim al Encapsulation within IP 2.9. TÚNELES 2.9.1. MODELOS DE ENTUNELAMIENTO 2.10. PAQUETE DE ENCRIPTACIÓN IP 2.10.1. CAPAS Y CIFRADO DE RED 2.10.1.1. EN EL NIVEL DE RED 2.10.1.2. EN EL NIVEL DE SOCKET 2.10.1.3. EN EL NIVEL DE APLICACIÓN III. PROBLEMA IV. SOLUCION V. JUSTIFICACION VI. DISEÑO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIÓN CON VPN VII. COSTO DE DISEÑO PROPUESTO VIII. CONCLUSIONES
I. DATOS DE LA EMPRESA: 1.1. RESEÑA HISTORICA Empresa de Transportes “EL CORTIJO” S.A fue fundada el 29 de Agosto del año 1997, y que se fundó con la iniciativa de prestar servicio de transporte masivo de pasajero en Trujillo Metropolitano, se inscribió bajo los términos Sociedad Anónima con la participación de 20 accionistas. Si bien es cierto contábamos con una flota vehicular de 20 unidades, Insuficiente para cubrir el servicio, es que nos abocamos a establecer el crecimiento de la flota, para poder brindar un mejor servicio, llegando a conformar hasta el año 1999 una flota de 34 Unidades vehiculares. A partir del 2000 el Directorio de Turno de la Empresa elaboro un proyecto de desarrollo de Empresa dentro de ese proyecto estaba la Construcción de un terminal, a la vez se consideró gestionar el permiso de un consumidor interno de combustible, un servicio de cambio de aceite, un lavadero de presión, venta de llantas, servicio de frenos y servicios adicionales, afines del rubro de transportes, llegando a desarrollar a la fecha el 80 % de nuestro proyecto. La Empresa de Transporte “EL CORTIJO” S.A en la actualidad cuenta con una flota operativa de 131 unidades prestando un servicio a satisfacción del Público usuario. 1.2. UBICACIÓN GEOGRAFICA La empresa de Transporte El cortijo S.A tiene domicilio social en la Av. Jaime Blanco No 2901-2999, AA.HH Kumamoto, El Porvenir. Provincia de Trujillo, Departamento de la Libertad.
1.3. MISION E.T.E.C.S.A es una Empresa que se dedica al transporte de pasajeros en diferentes rutas locales. Desde su creación brinda el mejor servicio al público en general marcando la diferencia, contribuye con la movilización de las personas a sus lugares de destino, facilitando un servicio de calidad y tarifas justas de pasajes manteniendo un clima donde impera el respeto, justicia, honradez y el cumplimiento de reglas y normas de tránsito y el cuidado del medio ambiente. 1.4. VISION E.T.E.C.S.A desea en 5 años llegar a ser la mejor empresa de transporte urbano en brindar una calidad única y garantizada, manteniendo un trabajo en equipo y la práctica de valores tanto con el personal de la organización como para el público en general, alcanzando un reconocimiento de calidad de servicio y convertirse en una empresa sólida.
1.5. ORGANIGRAMA PRESIDENTE DEL DIRECTORIO SECRETARIA GERENTE GENERAL DIRECTOR DE ECONOMIA DIRECTOR DISCIPLINA Y DIRECTOR DEL PERSONAL TRANSPORTES CONTABILIDAD INTERNA VIGILANCIA Y LIMPIEZA SUPERVISION DE UNIDADES COBRANZA CONDUCTORES DE UNIDADES DE DESPACHO DE LUBRICANTES TRANSPORTE ABASTECIMIENTO DEL COMBUSTIBLE
1.6. OBJETIVOS DE LA EMPRESA  Lograr eficaz y eficiente servicio de transporte urbano de personas en la Ruta: Trujillo metropolitano- El Provenir y viceversa,en ómnibus y unidades autorizadas por el M.P.T.  Prestación de servicios de transporte turístico, de acuerdo con la autorización operacional que otorgen los Organismos Pertinentes.  La prestación de servicio de prevención, mantenimiento y reparación de los vehículos motorizados que están adjudicados al servicio público de transportes de personas en las rutas autorizadas.  La prestación de servicio público de personas en Trujillo Metropolitano, para lo cual contará con la correspondiente autorización 1.7. POLITICA DE LA EMPRESA  Hacer cumplir las disposiciones legales vigentes en materia de seguridad e higiene, relativos al servicio de transporte público de personas en Trujillo Metropolitano, en las rutas autorizadas por la M.P.T, las mismas que están amparadas en las Resoluciones de Permiso de Operación.  Respetar las normas constitucionales, aplicarlas, así como las leyes, normas y disposiciones legales que en materia laboral sean pertinentes aplicarlas al personal dependiente de la empresa y en el caso de los conductores o cobradores u otro personal eventual que labore para los propietarios de las unidades de transporte público, aplicar las disposiciones emanada de la Municipalidad Provincial de Trujillo, respecto al comportamiento con el usuario, con relación al buen trato que deben tener con los pasajeros, especialmente con los niños, ancianos y minusválidos.  Respetar la dignidad de los pasajeros o usuarios del transporte público; respetar sus sentimientos, creencia e ideología de los socios, de los trabajadores, de los conductores y cobradores.  Establecer la política adecuada para prevenir, investigar y resolver los conflictos laborales de acuerdo con los fines y objetivos de ETECSA.  Disponer que la gerencia y demás niveles jerárquicos de la empresa, guarden el debido respeto y observen buen trato con los accionistas, los conductores y cobradores, respetando las normas de disciplina impuestas por la empresa para la buena marcha de la sociedad en beneficio del público usuario.  Exigir a los socios o terceros que las unidades de servicio público se encuentren en buen estado de conservación.  Disponer la suscripción de los contratos al socio que emplee su unidad y personal operativo para el cumplimiento de una comisión de servicio
II. MARCO TEÓRICO: 2.1.DEFINICION DE UNA VPN Una Red Privada Virtual (VPN) es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes áreas geográficas. Es una red de datos de gran seguridad que utilizando Internet como medio de transmisión permite la transmisión de información confidencial entre la empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus empleados o sus clientes. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos. Figura: Esquema de una Red VPN
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por medio de la conexión de los usuarios de distintas redes a través de un "túnel" que se construye sobre Internet o sobre cualquier otra red pública, negociando un esquema de encriptación y autentificación de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, con routers para lograr esa encriptación y autentificación. Es así como las Redes Privadas Virtuales (VPN) se convierten en un componente importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar una infraestructura de redes publicas para la comunicación en vez de utilizar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir y transmitir información de forma segura y confidencial entre una empresa y sus sucursales, socios, proveedores, etc. 2.2.CARACTERISTICAS FUNCIONALES Para que una VPN proporcione la comunicación que se espera, el sistema que se implante ha de contemplar varios aspectos de funcionamiento para determinar que será una buena solución. Transparente a las aplicaciones Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones. Confidencialidad Los datos que circulan por el canal sólo pueden ser leídos por el emisor y el receptor. La manera de conseguir esto es mediante técnicas de encriptación. Autentificación El emisor y el receptor son capaces de determinar de forma inequívoca sus identidades, de tal manera que no exista duda sobre las mismas. Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafío-respuesta.
Integridad Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal. Para esto se pueden utilizar firmas digitales. No repudio Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emitió él. Control de acceso Capacidad para controlar el acceso de los usuarios a distintos recursos. Viabilidad Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de tiempo real. 2.3.VENTAJAS E INCONVENIENTES 2.3.1. VENTAJAS Una VPN permite disponer de una conexión a red con todas las características de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada a través de un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.
Representa una gran solución en cuanto a seguridad, confidencialidad e integridad de los datos y reduce significativamente el costo de la transferencia de datos de un lugar a otro. Simplifica la integración y crecimiento de una Red ya que la VPN provee una solución propietaria flexible y escalable para su implementación y crecimiento. Permite la integración de diversos ambientes computacionales en una sola red de información cohesiva. Esto se debe fundamentalmente a estar basado en estándares abiertos. Minimiza el costo de administración y soporte de la red. Las VPN ayudan a aumentar la productividad del personal de soporte y administración de la red. Provee un punto central para la distribución de software y updates, manuales, etc. El browser al ser único, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la misma apariencia a través de todas las aplicaciones. 2.3.2. INCONVENIENTES Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos, situación que se agrava cuando además se realiza encriptación de los datos; lo cual origina que las conexiones sean mucho mas lentas. Mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP) . Las VPN primero deben establecer correctamente las políticas de seguridad y de acceso.
2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. Servidor VPN Es un servidor que se pone como gateway en la salida de Internet de la red. Permite conectarse con otros servidores VPN generando túneles de comunicación seguros con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto VPN o una conexión de enrutador a enrutador. 2.4.2. Cliente VPN El cliente VPN permite la comunicación privada virtual iniciada desde el cliente de la red (VPN). Es en si una computadora que inicia una conexión VPN con un servidor VPN. Un cliente VPN o un enrutador tiene una conexión de enrutador a enrutador a través de una red pública, así es como los usuarios finales logran la comunicación dentro de un ambiente de la empresa que requieren una conexión segura del extremo usuario-a- anfitrión. 2.4.3. Túnel Porción de la conexión en la cual sus datos son encapsulados. 2.4.4. Conexión VPN Es la porción de la conexión en la cual sus datos son encriptados. Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma porción de la conexión. 2.4.5. Protocolos del Túnel Se utiliza para administrar los túneles y encapsular los datos privados. Los datos que son enviados por el túnel deben de ser encriptados para que sea una conexión VPN.
2.4.6. Datos del Túnel (Tuneled Data) Datos que son generalmente enviados a través de un enlace VPN. 2.4.7. Red de Transito La red pública o compartida que es cruzada por los datos encapsulados. Generalmente una red IP. La red de tránsito debe ser Internet o una intranet IP privada. Figura: Elementos de una VPN 2.5. REQUERIMIENTOS BASICOS DE LAS VPN Por lo general, al implementar una solución de red remota, una compañía desea facilitar un acceso controlado a los recursos y a la información de la misma. La solución deberá permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de área local (LAN). Así como las oficinas remotas se conecten entre si para compartir recursos e información (conexiones de N).
Por último, la solución debe garantizar la privacidad y la integridad de los datos al viajar a través de Internet público. Lo mismo se aplica en el caso de datos sensibles que viajan a través de una red corporativa. Por lo tanto, una VPN debe presentar los siguientes requerimiento básicos: 2.5.1. Autenticación de usuario. La solución deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y registros contables para mostrar quién accedió a qué información, y cuándo lo hizo. 2.5.2. Administración de dirección. La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así. 2.5.3. Encriptación de datos. Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red. 2.5.4. Administración de llaves. La solución deberá generar y renovar las llaves de encriptación para el cliente y para el servidor.
2.5.5. Soporte de protocolo múltiple. La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen protocolo de Internet. Una solución de VPN de Internet basada en un Protocolo de túnel de punto a punto (PPTP). 2.6. LOS 3 ESCENARIOS MÁS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) La mayoría de las compañías necesitan proveer acceso remoto a los empleados. Generalmente se utiliza una conexión dial-up (DUN) del cliente al servidor de acceso remoto (RAS) vía módems. Para acceso remoto VPN hay que considerar: tecnología en la Workstation cliente, qué sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la relación con el usuario remoto. El usuario remoto puede ser un empleado o individuo de menor confianza (un consultor a partner de negocios). Usualmente, el cliente de la Workstation estará corriendo bajo el SO Windows, pero podrá ser una estación MAC, Linux o Unix. SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download desde Microsoft. Cómo accede el usuario remoto al VPN Server vía Internet no es de importancia. Pero si debe considerarse el ancho de banda apropiado para que la conexión tenga sentido. Normalmente los proveedores de Internet (ISP) no bloquean los protocolos que se utilizan. Sólo puede haber problemas en el caso de que el usuario remoto trate de conectarse al VPN Server (vía Internet) desde dentro de una red (un empleado visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de situaciones, una solución es un http-tunnel, que permite llegar a Internet vía el puerto 80 de http y entonces establecer el túnel VPN.
Una vez que el usuario remoto "disca" al número IP del servidor VPN se ingresa a la etapa de autenticación y autorización. Básicamente: ¿quién es usted?: Nombre de usuario y password y luego, ¿de qué modo lo autorizo a entrar en la red? (horario, protocolo). Toda ésta infraestructura deberá ser configurara por el administrador para garantizar seguridad. Según el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirán diferentes modos de autenticar (passwords tradicionales, certificados de usuario, tokens o biométrica). Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo limitará a áreas específicas. Se puede implementar esta "restricción" de diferentes modos: en el Server VPN, en los routers, o en las workstations y servers usando IPSec y políticas asociadas. En servidores VPN con W2K existe la posibilidad de usar Remote Acceses Policies (RAP). En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle entra en Intranet, se restringe el acceso al servidor correspondiente creando un grupo llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una política de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a la política que limite el tráfico del usuario remoto a destino, el servidor Oracle. 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un link VPN a través de Internet, reemplazando así líneas dedicadas que en general son muy caras. Todo lo que se necesita es un servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere autenticación de usuario pero sí deben autenticarse los servidores VPN entre sí.
Cuando se establece la conexión VPN, uno de los servidores VPN asume el rol de cliente e inicia una conexión con otro servidor VPN. Después de establecida la conexión VPN, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local. ¿Cómo saben los servidores VPN que cada uno es auténtico y no un impostor? De acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticación site-to-site en contraseñas asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre-acordadas o en certificados para cada máquina emitidos por una autoridad certificadora (CA, Certificate Authority). 2.6.3. EXTRANET VPN Permite conectar la red de una empresa con uno o más "partners". Este escenario es muy similar a site-to-site aunque existen pequeñas diferencias. Básicamente la confianza entre ambas partes es diferente. Se permitirá a una sucursal acceder a todos los recursos de la red corporativa (site-to-site), pero es posible limitarlos para un partner. Normalmente se los restringirá a sólo unos cuantos servidores de la red. Con el tipo de restricción ya descriptos en Remote Access, podemos solucionar el problema. La segunda diferencia con site-to-site es que muy probablemente nuestro "partner" use una solución VPN diferente. Aparece aquí un problema de interoperabilidad a resolver. Para ello, se deberá atender, por ejemplo, a qué protocolos se usan en ambas soluciones VPNs y a qué tipo de autenticación se usará. 2.7. TOPOLOGIAS DE VPN Existen muchos tipos de topologías de VPN que pueden adecuarse a las necesidades de una organización o se adaptan a una configuración de red ya existente. Estas topologías pueden ser definidas a través de acceso remoto (por ejemplo, una laptop tratando de acceder a un servidor de su organización), conexión entre dos LANs (Local Area Network), a través de Intranet e Extranet, utilizando una tecnología Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network Address Translation).
Examinaremos ahora como funcionan algunas de las topologías de VPN mas usadas. 2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente) Este tipo de VPN es el mas común y mas usado en nuestros tiempos. Nace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organización. Para que esto sea posible, la organización precisará tener un firewall instalado conteniendo los softwares necesarios para implementar a VPN. El cliente tiene que tener también instalado un software de criptografía compatible con los software del firewall. La comunicación ocurre cuando el cliente necesita de una comunicación confidencial con la organización, y sin embargo no se encuentre localizado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organización a partir de una red externa. La figura inferior ilustra como se establece este tipo de comunicación. Figura: VPN de acceso remoto
Los pasos siguientes describen el proceso de comunicación entre el equipo portátil y el firewall de la organización: El usuario con el equipo portátil marca a su PSI local y establece una conexión PPP. El equipo portátil solicita las claves del dispositivo del firewall. El firewall responde con la clave apropiada. El software VPN instalado en el equipo portátil ve la solicitud echa por el usuario del equipo portátil, cifra el paquete y lo envía a la dirección IP publica de el Firewall. El firewall le quita la dirección IP, descifra el paquete y lo envía al servidor al que ha sido direccionado dentro de la LAN local. El servidor interno procesa la información recibida, responde a la solicitud y envía el documento de regreso. El firewall examina el trafico y reconoce que es información de túnel VPN así que toma el paquete, lo cifra y lo envía al equipo portátil. La pila de VPN en el equipo portátil ve el flujo de datos, reconoce que viene del dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles. Figura: Diagrama de acceso remoto
2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN Este tipo de topología es la segunda mas utilizada, se usa cuando es necesario comunicar dos redes locales separadas geográficamente. Las LANs pueden estar operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado y un firewall NT del otro. Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando el mismo algoritmo de criptografía y estar configurados para saber que cuando ocurre algún tráfico para uno u otro firewall, este tiene que ser criptografiado. Podemos observar en la figura inferior como se da el acceso entre dos redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT que será transmitido por FTP (File Transfer Protocol). El usuario de la LAN UNIX intenta conectarse a través de una aplicación FTP con un servidor LAN NT. El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es cifrado y se envía hacia una dirección IP pública de el firewall LAN NT. Este firewall acepta y descifra el paquete y envía para o servidor al que se le ha enviado la información. Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT. Este a su vez cifra el paquete y envía la información hacia el firewall da LAN UNIX que descifra y transmite la información para el usuario que solicito el requerimiento Figura: diagrama de VPN LAN
2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT (Network Address Translation) Traducción de Direcciones de Nombres es el proceso de cambiar una dirección IP de una organización (una dirección privada de la organización) por una dirección IP pública enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organización. Entretanto, el NAT interfiere directamente en la implementación de la VPN, pues cambia la dirección IP a la hora que el paquete de datos sale de la red interna. La utilización de NAT no resulta complicado, pero la ubicación del dispositivo VPN es importante. La figura inferior ilustra el proceso Figura: Diagrama VPN con NAT
Los pasos siguientes describen el proceso de comunicación de entrada y salida con un dispositivo NAT Cuando un paquete precisa salir de la red interna, este es enviado hacia el firewall implementado con NAT. Este por primera vez, cambia la dirección IP enrutable El firewall implementado con NAT reenvía el paquete al dispositivo VPN que realiza el proceso de cifrado del paquete. El paquete es enviado hacia el enrutador externo que sea transmitido a su destino. Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado hacia el firewall implementado con NAT que cambia la dirección IP por el número original, este es enviado hacia el ruteador interno para ser dirigido hacia su destino. 2.8. ANALISIS DE PROTOCOLOS Los conocimientos que fundamentan a una VPN son una criptografía y un tunelamiento. Una criptografía se utilizada para garantizar la autentificación, onfidencialidad e integridad de las conexiones y es la base para la seguridad de las redes; mas el tunelamiento es el responsable por el encapsulamiento y transmisión de los datos sobre una red publica entre dos puntos distintos. Dentro del mercado existen diversos protocolos que nos proporcionan este servicio y que difieren entre si dependiendo del nivel del modelo ISO/OSI donde actúan, de la criptografía utilizada y de como influye directamente el nivel de seguridad en el acceso remoto VPN.
2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD Las características básicas de un análisis de seguridad de los principales protocolos utilizados actualmente para acceso remoto VPN en plataformas ya sea Windows Linux o Unix son las siguientes: 2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer una red privada virtual entre usuarios de acceso remoto y servidores de red. Como protocolo de túnel, PPTP encapsula data gramas de cualquier protocolo de red en data gramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. La idea básica de PPTP es la de dividir las funciones de acceso remoto de tal modo que las personas de las empresas pudiesen utilizar una infraestructura de Internet “VXpara proveer una conectividad segura entre clientes remotos y redes privadas, es por eso que PPTP provee un mecanismo para tunelamineto de trafico PPP (Point to Point Protocol ) sobre redes IP.
Figura: Diagrama del Protocolo PPTP El PPTP es un protocolo de red que permite el tráfico seguro de datos desde un cliente remoto a un servidor corporativo privado, estableciéndose así una Red Privada Virtual (VPN) basada en TCP/IP. PPTP soporta múltiples protocolos de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer dichas redes virtuales a través de otras redes públicas o privadas como líneas telefónicas, redes de área local o extensa (LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP. Una red privada virtual consiste en dos máquinas (una en cada "extremo" de la conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point protocolo (PPP), un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexión previa también remota, LAN o WAN, por un dispositivo PPTP. La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet. La versión PPTP, denominada GREv2, añade extensiones para temas específicos como Call Id y velocidad de conexión.
El paquete PPTP está compuesto por un header de envío, un header IP, un header GREv2 y el paquete de carga. El header de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene información relativa al paquete IP, como es, direcciones de origen y destino, longitud del data grama enviado, etc. El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. El paquete de carga es el paquete encapsulado, que en el caso de PPP, el data grama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP. Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y acepta cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo de autentificación por reto), standard en el que se intercambia un "secreto" y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. Para la encriptación, PPTP utiliza el sistema RC4. 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) Layer Two Tunneling Protocol es una extensión del PPTP (Point-to-Point Protocol), que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F de Cisco. Los dos componentes principales del L2TP son: El LAC (L2TP Access Concentrator), que es el dispositivo que físicamente termina una llamada; y el LNS (L2TP Network Server), que es el dispositivo que autentifica y termina el enlace PPP. L2TP utiliza redes conmutadas de paquetes para hacer posible que los extremos de la conexión estén ubicados en distintas computadoras.
El usuario tiene una conexión L2 al LAC, el cual crea el túnel de paquetes PPP. Así, los paquetes pueden ser procesados en el otro extremo de la conexión, o bien, terminar la conexión desde un extremo. L2TP soporta cualquier protocolo incluyendo IP, IPX y AppleTalk, así como también cualquier tecnología de backbone WAN, incluyendo Frame Relay, modos de transferencia asíncrono ATM, X.25 y SONET. Figura: Diagrama del Protocolo L2TP 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) IPSec es un conjunto de extensiones al protocolo IP. Es un estándar de la IETF (Internet Engineering Task Force) definido en el RFC 2401. Provee servicios de seguridad como autenticación, integridad, control de acceso y confidencialidad. Es implementado en la capa de Red, de tal forma que su funcionamiento es completamente transparente al nivel de aplicaciones, y es mucho más poderoso. IPSec provee un mecanismo estándar, robusto y con posibilidades de expansión, para proveer seguridad al protocolo IP y protocolos de capas superiores.
Figura: Diagrama del Protocolo IPSec La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su política de seguridad. Permite que cierto tráfico sea identificado para recibir el nivel de protección deseado. Figura: Diagrama de funcionamiento de IPSec
IPSec está diseñado para proveer seguridad interoperable de alta calidad basada en criptografía, tanto para IPv4 como para IPv6 [RFC2401, 1998]. Está compuesto por dos protocolos de seguridad de tráfico: el Authentication Header (AH) y el Encapsulating Security Payload (ESP), además de protocolos y procedimientos para el manejo de llaves encriptadas. AH provee la prueba de los datos de origen en los paquetes recibidos, la integridad de los datos, y la protección contra-respuesta. ESP provee lo mismo que AH adicionando confidencialidad de datos y de flujo de tráfico limitado. En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el mecanismo de AH se aplican algoritmos de autenticación, con la aplicación del mecanismo ESP, además de autenticación, también algoritmos de encriptación. El esquema de interoperabilidad se maneja a través de Asociaciones de Seguridad (SA), almacenadas en una base de datos. Los parámetros que se negocian para establecer los canales seguros se denominan Dominio de Interpretación IPSec (Domain of Interpretation, DOI), bajo políticas pre- establecidas dentro de un esquema de funcionamiento estático con valores fijos y previamente establecidos, o bien, en un esquema de funcionamiento dinámico utilizando un protocolo de manejo de llaves, Interchange Key Exchange (IKE).
Figura II.10.9: Diagrama de la Arquitectura IPSec 2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC El diseño de IPSec plantea dos modos de funcionamiento para sus protocolos: el de transporte y el de túnel, la diferencia radica en la unidad que se esté protegiendo, en modo transporte se protege la carga útil IP (capa de transporte), en modo túnel se protegen paquetes IP (capa de red) y se pueden implementar tres combinaciones: AH en modo transporte, ESP en modo transporte, ESP en modo túnel (AH en modo túnel tiene el mismo efecto que en modo transporte).
El modo transporte se aplica a nivel de hosts. AH y ESP en este modo interceptarán los paquetes procedentes de la capa de transporte a la capa de red y aplicarán la seguridad que haya sido configurada. En la figura siguiente se aprecia un esquema de IPSec en modo transporte, si la política de seguridad define que los paquetes deben ser encriptados, se utiliza ESP en modo transporte, en caso que solo haya sido requerida autenticación, se utiliza AH en modo transporte. Figura: Modos de funcionamiento de IPSEC Los paquetes de la capa de transporte como TCP y UDP pasan a la capa de red, que agrega el encabezado IP y pasan a las capas inferiores. Cuando se habilita IPSec en modo transporte, los paquetes de la capa de transporte pasan al componente de IPSec (que es implementado como parte de la capa de red, en el caso de sistemas operativos), el componente de IPSec agrega los encabezados AH y/o ESP, y la capa de red agrega su encabezado IP.
En el caso que se apliquen ambos protocolos, primero debe aplicarse la cabecera de ESP y después de AH, para que la integridad de datos se aplique a la carga útil de ESP que contiene la carga útil de la capa de transporte. Figura: Cabeceras de IPSec El modo túnel se utiliza cuando la seguridad es aplicada por un dispositivo diferente al generador de los paquetes, como el caso de las VPN, o bien, cuando el paquete necesita ser asegurado hacia un punto seguro como destino y es diferente al destino final. Como se ilustra en la figura inferior, el flujo de tráfico es entre A y B, e IPSec puede aplicarse con una asociación de seguridad entre RA y RB, o bien una asociación de seguridad entre A y RB. Figura: Flujo de paquetes
IPSec en modo túnel, tiene dos encabezados IP, interior y exterior. El encabezado interior es creado por el host y el encabezado exterior es agregado por el dispositivo que está proporcionando los servicios de seguridad. IPSec encapsula el paquete IP con los encabezados de IPSec y agrega un encabezado exterior de IP. IPSec también soporta túneles anidados, aunque no son recomend ados por lo complicado de su construcción, mantenimiento y consumo de recursos de red. Figura II.10.8: Encabezados IP en modo tunel 2.8.1.4. OTRAS SOLUCIONES La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están haciendo- a IPSec, otras posibilidades son: 2.8.1.4.1. Secure shell (SSH) Protege conexiones TCP mediante criptografía (a nivel de OSI de presentación, no a nivel de transporte o inferiores). Protege por tanto, conexión a conexión. 2.8.1.4.2. CIPE – Crypto Encapsulation Encapsula datagramas IP dentro de UDP. De momento sólo está disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso, bastante interesante.
2.8.1.4.3. RFC 1234: Tunneling IPX Traffic through Networks Encapsulado de datagramas IPX (Novell Netware) sobre UDP. 2.8.1.4.4. RFC 2004: Minim al Encapsulation within IP En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el datagrama original y le añade información para deshacer los cambios. El protocolo IP asociado es el 55. 2.9. TUNELES PPTP permite a los usuarios y a las ISPs crear varios tipos de túneles, basados en la capacidad del computador del usuario final y en el soporte de la ISP para implementar PPTP. De esta manera, el computador del usuario final determina el lugar de terminación del túnel, bien sea en su computador, si está corriendo un cliente PPTP, o en el servidor de acceso remoto de la ISP, si su computador solo soporta PPP y no PPTP. En este segundo caso el servidor de acceso de la ISP debe soportar PPTP, a diferencia del primer caso, donde la ISP no se involucra en ningún proceso de entunelamiento de datos. Dado lo anterior, los túneles se pueden dividir en dos clases, voluntarios y permanentes. Los túneles voluntarios son creados por requerimiento de un usuario y para un uso específico. Los túneles permanentes son creados automáticamente sin la acción de un usuario y no le permite escoger ningún tipo de privilegio.
En los túneles voluntarios, la configuración del mismo depende del usuario final, cuando se usan túneles de este tipo, el usuario puede simultáneamente acceder a Internet y abrir un túnel seguro hacia el servidor PPTP. En este caso el cliente PPTP reside en el computador del usuario. Los túneles voluntarios proveen más privacidad e integridad de los datos que un túnel permanente. La figura 5.3 muestra un escenario de túneles voluntarios creados desde dos clientes distintos a un mismo servidor PPTP a través de Internet. Los túneles permanentes son creados sin el consentimiento del usuario, por lo tanto, son transparentes para el mismo. El cliente PPTP reside en el servidor de acceso remoto de la ISP al que se conectan los usuarios finales. Todo el tráfico originado desde el computador del usuario final es reenviado por el RAS sobre el túnel PPTP. En este caso la conexión del usuario se limita solo a la utilización del túnel PPTP, no hay acceso a la red pública (Internet) sobre la cual se establece el túnel. Un túnel permanente PPTP permite que múltiples conexiones sean transportadas sobre el mismo túnel. La figura 5.4 muestra un túnel permanente entre un RAS con capacidad para encapsular sesiones PPP usando PPTP y por medio del cual van multiplexadas dos sesiones de clientes A y B.
Dado que los túneles permanentes tienen predeterminados sus puntos finales y que el usuario no puede acceder a Internet, estos túneles ofrecen mejor control de acceso que los túneles voluntarios. Otra ventaja de los túneles permanentes, es que reducen el ancho de banda utilizado, ya que múltiples sesiones pueden ser transportadas sobre un único túnel, a diferencia de los túneles voluntarios donde cada sesión tiene que trabajar con cabeceras independientes que ocupan un ancho de banda. Una desventaja de los túneles permanentes es que la conexión inicial, es decir, entre el usuario final y el servidor de acceso que esta actuando como cliente PPTP, no hace parte del túnel, por lo tanto, puede ser vulnerable a un ataque.
Los túneles permanentes se dividen en estáticos y dinámicos. Los túneles estáticos son aquellos que requieren equipos dedicados y su configuración es manual. En este tipo de túneles el usuario final tiene a su disposición varios RAS, los cuales tienen establecidos diferentes túneles a diferentes servidores PPTP. Por ejemplo, si un usuario necesita hacer una VPN a su oficina regional ubicada en la ciudad A tiene que marcar un número X, pero si ese mismo usuario quiere hacer una VPN con su oficina en una ciudad B, tiene que marcar un número Y. Los túneles permanentes dinámicos usan el nombre del usuario para determinar el túnel asociado con él, es decir que se encargan de aprovechar mejor los recursos y el usuario puede marcar al mismo número para establecer túneles a diferentes sitios. La información asociada con cada usuario puede residir en el servidor Radius en el cual ese servidor de acceso esta autenticando todas las conexiones. Claramente se observa que los túneles permanentes estáticos son más costosos que los dinámicos, ya que involucran un servidor de acceso por cada destino que un cliente VPN quiera alcanzar. 2.10.1. MODELOS DE ENTUNELAMIENTO En las VPN los sitios de terminación (terminadores) de los túneles son aquellos donde se toman las decisiones de autenticación y las políticas de control de acceso y donde los servicios de seguridad son negociados y otorgados. En la práctica hay tres tipos posibles de servicios de seguridad que dependen de la ubicación de los terminadores. El primer caso es aquel donde el terminador está en el host mismo, donde los datos se originan y terminan. En el segundo caso el terminador está en el gateway de la LAN corporativa donde todo el tráfico converge en un solo enlace. El tercer caso es aquel donde el terminador está localizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) de la ISP.
Dado que un túnel VPN se compone de dos terminadores, se pueden obtener seis tipos de modelos de seguridad derivados de la posible combinación de las diferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to-LAN, LAN-to-POP y POP-to-POP, en la figura 3.11 se notan cada uno de ellos. En el modelo End-to-End el túnel va desde un extremo hasta el otro del sistema. Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y en el destino de la comunicación. Este escenario presenta el más alto nivel de seguridad dado que los datos siempre están seguros en todos los segmentos de la red, bien sea pública o privada. Sin embargo, el total de túneles que pueden haber en una empresa grande, dificulta el manejo de los servicios de seguridad requeridos por dichos host. Este modelo de seguridad es comúnmente visto en implementaciones de capas superiores, como es el caso de SSL (Secure Sockets Layer). Tales implementaciones no son consideradas como modelos de entunelamiento.
En el caso de LAN-to-POP el túnel comienza en un dispositivo VPN localizado en la frontera de la red corporativa y termina en un dispositivo VPN el cual se encuentra en un POP de la ISP. En la actualidad prácticamente este modelo de entunelamiento no es aplicado. Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizados en la propia red de la ISP. Por lo tanto los servicios de seguridad son completamente transparentes para los usuarios finales del túnel. Este modelo permite a los proveedores de servicio implementar valores agregados a los clientes sin que éstos alteren la infraestructura de sus redes. De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los más extensamente usados en las soluciones VPN. Sin embargo, el POP-to-POP o modelo de seguridad basado en red, ha cobrado vigencia últimamente dado que permite a las ISPs implementar servicios de valores agregados para sus clientes. En el modelo End-to-LAN, el túnel comienza en un host y termina en el perímetro de una LAN en la cual reside el host destino. Un dispositivo VPN localizado en el perímetro de la red es el responsable de la negociación y obtención de los servicios de seguridad de los host remotos. De esta manera, la seguridad de un gran número de dispositivos en una red corporativa puede ser manejada en un único punto, facilitando así la escalabilidad del mismo. Dado que la red corporativa es considerada un sitio seguro, comúnmente no hay necesidad de encriptar la información que transita dentro de ella. La mayoría de implementaciones de acceso remoto VPN trabajan con este modelo. El modelo de entunelamiento End-to-POP es aquel en el cual un host remoto termina el túnel en un POP de la ISP. Un dispositivo VPN o un equipo con funciones de terminador VPN y que se encuentra en la red de la ISP es el responsable por la negociación y concesión de los servicios de seguridad. La entrega de los datos desde el POP hasta el host destino es por lo general asegurada con infraestructura física, la cual separa el tráfico del resto de la red pública.
Por lo general en este caso el ISP administra los permisos y controla el acceso según las directivas de los administradores de red de las empresas clientes. La arquitectura de acceso remoto VPN también usa este modelo. En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situados en la frontera de la red corporativa para negociar y conceder servicios de seguridad. De esta manera, las funciones de seguridad no necesitan ser implementadas en los hosts finales donde los datos son generados y recibidos. La implementación de los servicios de seguridad es completamente transparente para los hosts. Esta implementación reduce drásticamente la complejidad en el manejo de las políticas de seguridad. La arquitectura Intranet VPN encaja en este modelo. 2.11. PAQUETE DE ENCRIPTACIÓN IP 2.11.1. CAPAS Y CIFRADO DE RED Existen diversos lugares en donde el encriptación se puede construir dentro de una infraestructura de red existente, correspondientemente a los protocolos de las diferentes capas. 2.11.1.1. En el nivel de Red: Los paquetes que viajan entre los hosts en la red son encriptados. El motor de encriptación se coloca cerca del driver que envía y recibe los paquetes. Una implementación se encuentra en CIPE. 2.10.1.2. En el nivel de Socket: Una conexión lógica entre los programas que funcionan en diversos hosts (conexión TCP; capa de transporte o de sesión en OSI) es encriptada. El motor de encriptación intercepta o procura conexiones. SSH y el SSL trabajan esta manera. 2.10.1.3. En el nivel de Aplicación: Las aplicaciones contienen su propio motor del cifrado y cifran los datos ellos mismos. El mejor ejemplo sabido es PGP para cifrar correo.
El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que puede ser hecho para trabajar de manera transparente, sin ningún cambio a la aplicación software. En el caso de los paquetes de encriptación IP, este puede ser construido dentro de los routers IP que actúan generalmente como "cajas negras" entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los routers. Un router de encriptación se ve de manera tan exacta como un host que no cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada así en lugares donde no sean factibles los cambios de software a niveles más altos. El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en un nivel más alto, por ejemplo. usos de Troyanos, bug exploit dentro del software del sistema o administradores pillos "sniffers" en los dispositivos terminales. III. PROBLEMA La Empresa de Transporte “El Cortijo” se encuentra ubicado en la ciudad de Trujillo, cuenta con dos sucursales, una en la ciudad de Chiclayo y otra en la ciudad de Cajamarca. Dichas dependencias manejan la información de manera individual y aislada de la empresa matriz, y para el proceso de sus datos no consideran las aplicaciones cliente servidor - usadas actualmente por la empresa central- sino que más bien, emplean una aplicación antiguamente desarrollada por la sede principal. De esta manera, el Sistema Integrado de la empresa demanda mensualmente gastos necesarios para centralizar toda la información en Trujillo, debido a que existen áreas y procesos que requieren la data completa de la empresa central y sus dependencias-, por citar las áreas de contabilidad, secretaria y finanzas, etc.
IV. SOLUCION Debido a esto y a la necesidad de tener un control de las actividades de sus sucursales surge la necesidad de establecer una conexión (un medio de transmisión seguro) entre la sede central y sus sucursales, para que se pueda utilizar las aplicaciones cliente - servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos que generen el mantener la información de la empresa de forma separada y descentralizada. V. JUSTIFICACION Con la implementación de la conexión se podrá utilizar las aplicaciones cliente-servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos, y así no cometer gastos innecesarios en la demora de la información.
VI. DISEÑO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIÓN CON VPN VII. COSTO DE DISEÑO PROPUESTO
VIII. CONCLUSIONES  Actualmente las VPN ofrecen un servicio ventajoso para las empresas que quieran tener una comunicación segura con sus proveedores, clientes u otros, de forma segura, sin necesidad de implantar una red de comunicación costosa que permita lo mismo.  Además esta solución VPN nos permitirá no solo crear la interconexión con dos sucursales sino que es escalable, es decir nos permitirá crear conexiones virtuales con otros puntos cuando la empresa lo requiera, generando solo un gasto de mínimo con el PSI de la localidad en la que esta destinados la interconexión y un CPU con mínimas características  Por último las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no está bien definido pueden existir consecuencias serias. IX RECOMENDACIONES  Cabe desatacar que algunas aplicaciones que necesitan de procesos bastantes complejos se tienen que correr en maquinas solamente dedicadas a esas operaciones ya que como son procesos bastantes pesados como calculo de planillas, requieren ser procesadas por maquinas potentes y dedicadas a esta labor para que no se sienta algún retardo o problema en la interconexión.  Otro punto a tener en cuenta es el proveedor de servicio de Internet a utilizar, si bien es cierto existen varios proveedores que nos pueden proporcionar este servicio, algunos que nos proporcionan un buen servicio son realmente muy caros para mantener en una empresa relativamente pequeña, y los que ofrecen una interconexión a Internet con precios módicos, su servicio es muy inestable y en algunos casos con interrupciones en el servicio de manera constante haciendo imposible una conexión VPN cuando se corren procesos largos, es por eso necesario la constante evaluación de los proveedores de servicio de Internet.
Diseño de una VPN para la interconexión de la empresa de transportes El Cortijo

Recomendados

Mapa conceptual unidad 1 benita
Mapa conceptual unidad 1 benitaMapa conceptual unidad 1 benita
Mapa conceptual unidad 1 benitaTAtiizz Villalobos
 
Interrupciones bios y irq
Interrupciones bios y irqInterrupciones bios y irq
Interrupciones bios y irqadolfoahumada94
 
Organización de los archivos en bases de datos
Organización de los archivos en bases de datosOrganización de los archivos en bases de datos
Organización de los archivos en bases de datosMiguel Orquera
 
3 curso php
3 curso php3 curso php
3 curso phpJesus Luque Medina
 
2.2 configuración del entorno de trabajo de la base de datos en web
2.2 configuración del entorno de trabajo de la base de datos en web2.2 configuración del entorno de trabajo de la base de datos en web
2.2 configuración del entorno de trabajo de la base de datos en webXoch Flores
 
Programaci un+concurrente+en+java
Programaci un+concurrente+en+javaProgramaci un+concurrente+en+java
Programaci un+concurrente+en+javaIsaias Teran Merino
 
Trabajo sobre archivos en java.. programacion no numerica ii
Trabajo sobre archivos en java.. programacion no numerica iiTrabajo sobre archivos en java.. programacion no numerica ii
Trabajo sobre archivos en java.. programacion no numerica iirafaelrojas91
 
Enfoque estructurado y Enfoque OO - Ingenieria de software
Enfoque estructurado y Enfoque OO - Ingenieria de softwareEnfoque estructurado y Enfoque OO - Ingenieria de software
Enfoque estructurado y Enfoque OO - Ingenieria de softwareKola Real
 

Recomendados

Mapa conceptual unidad 1 benita
Mapa conceptual unidad 1 benitaMapa conceptual unidad 1 benita
Mapa conceptual unidad 1 benitaTAtiizz Villalobos
 
Interrupciones bios y irq
Interrupciones bios y irqInterrupciones bios y irq
Interrupciones bios y irqadolfoahumada94
 
Organización de los archivos en bases de datos
Organización de los archivos en bases de datosOrganización de los archivos en bases de datos
Organización de los archivos en bases de datosMiguel Orquera
 
3 curso php
3 curso php3 curso php
3 curso phpJesus Luque Medina
 
2.2 configuración del entorno de trabajo de la base de datos en web
2.2 configuración del entorno de trabajo de la base de datos en web2.2 configuración del entorno de trabajo de la base de datos en web
2.2 configuración del entorno de trabajo de la base de datos en webXoch Flores
 
Programaci un+concurrente+en+java
Programaci un+concurrente+en+javaProgramaci un+concurrente+en+java
Programaci un+concurrente+en+javaIsaias Teran Merino
 
Trabajo sobre archivos en java.. programacion no numerica ii
Trabajo sobre archivos en java.. programacion no numerica iiTrabajo sobre archivos en java.. programacion no numerica ii
Trabajo sobre archivos en java.. programacion no numerica iirafaelrojas91
 
Enfoque estructurado y Enfoque OO - Ingenieria de software
Enfoque estructurado y Enfoque OO - Ingenieria de softwareEnfoque estructurado y Enfoque OO - Ingenieria de software
Enfoque estructurado y Enfoque OO - Ingenieria de softwareKola Real
 
Entrada/Salida de Sistemas Operativos
Entrada/Salida de Sistemas OperativosEntrada/Salida de Sistemas Operativos
Entrada/Salida de Sistemas OperativosKarina Rivra
 
UNIDAD 2 PROGRAMACIÓN BASICA
UNIDAD 2 PROGRAMACIÓN BASICAUNIDAD 2 PROGRAMACIÓN BASICA
UNIDAD 2 PROGRAMACIÓN BASICAInstituto Tecnológico de Tuxtla Gutiérrez
 
Núcleo 3 - Normalización de Bases de datos
Núcleo 3 - Normalización de Bases de datosNúcleo 3 - Normalización de Bases de datos
Núcleo 3 - Normalización de Bases de datoscarsanta
 
Organización y estructura interna del cpu
Organización y estructura interna del cpuOrganización y estructura interna del cpu
Organización y estructura interna del cpuIsaí Beto Matz Mijes
 
El procesador y sus registros internos
El procesador y sus registros internosEl procesador y sus registros internos
El procesador y sus registros internosromo91
 
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...ESCOM
 
Blogs y Educación
Blogs y EducaciónBlogs y Educación
Blogs y EducaciónNéstor Alonso
 
Funciones en php
Funciones en phpFunciones en php
Funciones en phpROD Software
 
APP INVENTOR 2
APP INVENTOR 2APP INVENTOR 2
APP INVENTOR 2estefania loredo cortes
 
04 -bases_de_datos_-_arquitectura_de_tres_niveles
04 -bases_de_datos_-_arquitectura_de_tres_niveles04 -bases_de_datos_-_arquitectura_de_tres_niveles
04 -bases_de_datos_-_arquitectura_de_tres_nivelesElkin Alfredo Albarracin Navas
 
Utp sirn_sl8 conjuntos difusos
Utp sirn_sl8 conjuntos difusos Utp sirn_sl8 conjuntos difusos
Utp sirn_sl8 conjuntos difusosc09271
 
Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaUniversidad de Panamá
 
INTEROPERABILIDAD
INTEROPERABILIDADINTEROPERABILIDAD
INTEROPERABILIDADMarietaaaa
 
Ejercicios uml
Ejercicios umlEjercicios uml
Ejercicios umlMaricande Martínez Alcudia
 
Lenguajes de interfaz
Lenguajes de interfazLenguajes de interfaz
Lenguajes de interfazXavi Flores
 
Taller de Base de Datos - Unidad 7 Conectividad
Taller de Base de Datos - Unidad 7 ConectividadTaller de Base de Datos - Unidad 7 Conectividad
Taller de Base de Datos - Unidad 7 ConectividadJosé Antonio Sandoval Acosta
 
Transformar modelo entidad relacion a modelo logico
Transformar modelo entidad relacion a modelo logicoTransformar modelo entidad relacion a modelo logico
Transformar modelo entidad relacion a modelo logicojosecuartas
 
Que es ddl
Que es ddlQue es ddl
Que es ddlMarthaSar
 
Niveles De Aislamiento
Niveles De AislamientoNiveles De Aislamiento
Niveles De Aislamientoguest1db220
 
Ensamblador y lenguaje c
Ensamblador y lenguaje cEnsamblador y lenguaje c
Ensamblador y lenguaje cAnthonys Ordoñez
 
PROYECTO DE REDES - CONFIGURACION VPN
PROYECTO DE REDES - CONFIGURACION VPNPROYECTO DE REDES - CONFIGURACION VPN
PROYECTO DE REDES - CONFIGURACION VPNVictor Ramos Mercedes
 
PROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPNPROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPNVictor Ramos Mercedes
 

Más contenido relacionado

La actualidad más candente

Entrada/Salida de Sistemas Operativos
Entrada/Salida de Sistemas OperativosEntrada/Salida de Sistemas Operativos
Entrada/Salida de Sistemas OperativosKarina Rivra
 
Núcleo 3 - Normalización de Bases de datos
Núcleo 3 - Normalización de Bases de datosNúcleo 3 - Normalización de Bases de datos
Núcleo 3 - Normalización de Bases de datoscarsanta
 
Organización y estructura interna del cpu
Organización y estructura interna del cpuOrganización y estructura interna del cpu
Organización y estructura interna del cpuIsaí Beto Matz Mijes
 
El procesador y sus registros internos
El procesador y sus registros internosEl procesador y sus registros internos
El procesador y sus registros internosromo91
 
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...ESCOM
 
Utp sirn_sl8 conjuntos difusos
Utp sirn_sl8 conjuntos difusos Utp sirn_sl8 conjuntos difusos
Utp sirn_sl8 conjuntos difusosc09271
 
Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaUniversidad de Panamá
 
INTEROPERABILIDAD
INTEROPERABILIDADINTEROPERABILIDAD
INTEROPERABILIDADMarietaaaa
 
Lenguajes de interfaz
Lenguajes de interfazLenguajes de interfaz
Lenguajes de interfazXavi Flores
 
Transformar modelo entidad relacion a modelo logico
Transformar modelo entidad relacion a modelo logicoTransformar modelo entidad relacion a modelo logico
Transformar modelo entidad relacion a modelo logicojosecuartas
 
Niveles De Aislamiento
Niveles De AislamientoNiveles De Aislamiento
Niveles De Aislamientoguest1db220
 

La actualidad más candente (20)

Entrada/Salida de Sistemas Operativos
Entrada/Salida de Sistemas OperativosEntrada/Salida de Sistemas Operativos
Entrada/Salida de Sistemas Operativos
 
UNIDAD 2 PROGRAMACIÓN BASICA
UNIDAD 2 PROGRAMACIÓN BASICAUNIDAD 2 PROGRAMACIÓN BASICA
UNIDAD 2 PROGRAMACIÓN BASICA
 
Núcleo 3 - Normalización de Bases de datos
Núcleo 3 - Normalización de Bases de datosNúcleo 3 - Normalización de Bases de datos
Núcleo 3 - Normalización de Bases de datos
 
Organización y estructura interna del cpu
Organización y estructura interna del cpuOrganización y estructura interna del cpu
Organización y estructura interna del cpu
 
El procesador y sus registros internos
El procesador y sus registros internosEl procesador y sus registros internos
El procesador y sus registros internos
 
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
Tema 3 Variables LingüíSticas, Variables Difusas Y Reglas Difusas. Razonamien...
 
Blogs y Educación
Blogs y EducaciónBlogs y Educación
Blogs y Educación
 
Funciones en php
Funciones en phpFunciones en php
Funciones en php
 
APP INVENTOR 2
APP INVENTOR 2APP INVENTOR 2
APP INVENTOR 2
 
04 -bases_de_datos_-_arquitectura_de_tres_niveles
04 -bases_de_datos_-_arquitectura_de_tres_niveles04 -bases_de_datos_-_arquitectura_de_tres_niveles
04 -bases_de_datos_-_arquitectura_de_tres_niveles
 
Utp sirn_sl8 conjuntos difusos
Utp sirn_sl8 conjuntos difusos Utp sirn_sl8 conjuntos difusos
Utp sirn_sl8 conjuntos difusos
 
Proyecto administracion de una biblioteca
Proyecto administracion de una bibliotecaProyecto administracion de una biblioteca
Proyecto administracion de una biblioteca
 
INTEROPERABILIDAD
INTEROPERABILIDADINTEROPERABILIDAD
INTEROPERABILIDAD
 
Ejercicios uml
Ejercicios umlEjercicios uml
Ejercicios uml
 
Lenguajes de interfaz
Lenguajes de interfazLenguajes de interfaz
Lenguajes de interfaz
 
Taller de Base de Datos - Unidad 7 Conectividad
Taller de Base de Datos - Unidad 7 ConectividadTaller de Base de Datos - Unidad 7 Conectividad
Taller de Base de Datos - Unidad 7 Conectividad
 
Transformar modelo entidad relacion a modelo logico
Transformar modelo entidad relacion a modelo logicoTransformar modelo entidad relacion a modelo logico
Transformar modelo entidad relacion a modelo logico
 
Que es ddl
Que es ddlQue es ddl
Que es ddl
 
Niveles De Aislamiento
Niveles De AislamientoNiveles De Aislamiento
Niveles De Aislamiento
 
Ensamblador y lenguaje c
Ensamblador y lenguaje cEnsamblador y lenguaje c
Ensamblador y lenguaje c
 

Destacado

PROYECTO DE REDES - CONFIGURACION VPN
PROYECTO DE REDES - CONFIGURACION VPNPROYECTO DE REDES - CONFIGURACION VPN
PROYECTO DE REDES - CONFIGURACION VPNVictor Ramos Mercedes
 
VPN, tipos, implementacion
VPN, tipos, implementacionVPN, tipos, implementacion
VPN, tipos, implementacioncodox87
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall Catha Guzman
 
Los 20 conceptos basico de redes e internet
Los 20 conceptos basico de redes e internetLos 20 conceptos basico de redes e internet
Los 20 conceptos basico de redes e internetjenniferbarrero
 

Destacado (16)

PROYECTO DE REDES - CONFIGURACION VPN
PROYECTO DE REDES - CONFIGURACION VPNPROYECTO DE REDES - CONFIGURACION VPN
PROYECTO DE REDES - CONFIGURACION VPN
 
PROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPNPROYECTO DE REDES - TEC. VPN
PROYECTO DE REDES - TEC. VPN
 
Firewall
FirewallFirewall
Firewall
 
Què es un firewall
Què es un firewallQuè es un firewall
Què es un firewall
 
VPN, tipos, implementacion
VPN, tipos, implementacionVPN, tipos, implementacion
VPN, tipos, implementacion
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewall
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su función
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall
 
45546195 frame-relay-con-packet-tracer-5
45546195 frame-relay-con-packet-tracer-545546195 frame-relay-con-packet-tracer-5
45546195 frame-relay-con-packet-tracer-5
 
Cisco site to-site vpn
Cisco site to-site vpnCisco site to-site vpn
Cisco site to-site vpn
 
Packet Tracer en la nube
Packet Tracer en la nubePacket Tracer en la nube
Packet Tracer en la nube
 
Firewall y VPN
Firewall y VPNFirewall y VPN
Firewall y VPN
 
Proyecto de redes lan vpn
Proyecto de redes lan vpnProyecto de redes lan vpn
Proyecto de redes lan vpn
 
VPN (virtual private network)
VPN (virtual private network) VPN (virtual private network)
VPN (virtual private network)
 
Presupuesto de capital
Presupuesto de capitalPresupuesto de capital
Presupuesto de capital
 
Los 20 conceptos basico de redes e internet
Los 20 conceptos basico de redes e internetLos 20 conceptos basico de redes e internet
Los 20 conceptos basico de redes e internet
 

Similar a Diseño de una VPN para la interconexión de la empresa de transportes El Cortijo

Tabajo final leidy giraldo legislación telecomunicaciones
Tabajo final leidy giraldo legislación telecomunicacionesTabajo final leidy giraldo legislación telecomunicaciones
Tabajo final leidy giraldo legislación telecomunicacionesLeidy Giraldo
 
Portafolio Télécommunications France
Portafolio Télécommunications FrancePortafolio Télécommunications France
Portafolio Télécommunications FranceCristian Bermeo
 
PORTAFOLIO COMUNICA S.A
PORTAFOLIO COMUNICA S.A PORTAFOLIO COMUNICA S.A
PORTAFOLIO COMUNICA S.A jusam881208
 
memoria_ATT_bolivia_2020.pdf
memoria_ATT_bolivia_2020.pdfmemoria_ATT_bolivia_2020.pdf
memoria_ATT_bolivia_2020.pdfJorge Gonzales
 
Unidad 1 y 2 paso 7 final
Unidad 1 y 2 paso 7 finalUnidad 1 y 2 paso 7 final
Unidad 1 y 2 paso 7 finalemangones
 
Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13Juan Basualdo
 
Trabajo final empresa francesa
Trabajo final empresa francesaTrabajo final empresa francesa
Trabajo final empresa francesaMoiseskl
 
Dosier informativo Ponferrada
Dosier informativo PonferradaDosier informativo Ponferrada
Dosier informativo Ponferradaredpuntoes
 
Contrato electronico colombia
Contrato electronico colombiaContrato electronico colombia
Contrato electronico colombialireh
 
Contrato electronico colombia
Contrato electronico colombiaContrato electronico colombia
Contrato electronico colombialireh
 
Portafolio TELECOLOMBIA CONSULTING S.A.S
Portafolio TELECOLOMBIA CONSULTING S.A.SPortafolio TELECOLOMBIA CONSULTING S.A.S
Portafolio TELECOLOMBIA CONSULTING S.A.SRafael Nuñez
 
Portafolio empresa Télécommunications France
Portafolio empresa Télécommunications FrancePortafolio empresa Télécommunications France
Portafolio empresa Télécommunications Franceleandro castro
 
Lanzamiento de la Red Compartida: Promtel
Lanzamiento de la Red Compartida: PromtelLanzamiento de la Red Compartida: Promtel
Lanzamiento de la Red Compartida: Promtelferborjon
 

Similar a Diseño de una VPN para la interconexión de la empresa de transportes El Cortijo (20)

Tabajo final leidy giraldo legislación telecomunicaciones
Tabajo final leidy giraldo legislación telecomunicacionesTabajo final leidy giraldo legislación telecomunicaciones
Tabajo final leidy giraldo legislación telecomunicaciones
 
Portafolio Télécommunications France
Portafolio Télécommunications FrancePortafolio Télécommunications France
Portafolio Télécommunications France
 
PORTAFOLIO COMUNICA S.A
PORTAFOLIO COMUNICA S.A PORTAFOLIO COMUNICA S.A
PORTAFOLIO COMUNICA S.A
 
memoria_ATT_bolivia_2020.pdf
memoria_ATT_bolivia_2020.pdfmemoria_ATT_bolivia_2020.pdf
memoria_ATT_bolivia_2020.pdf
 
Unidad 1 y 2 paso 7 final
Unidad 1 y 2 paso 7 finalUnidad 1 y 2 paso 7 final
Unidad 1 y 2 paso 7 final
 
Portafolio grupo 6
Portafolio grupo 6Portafolio grupo 6
Portafolio grupo 6
 
Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13Desarrollo evaluacion final_208020_13
Desarrollo evaluacion final_208020_13
 
Ejerciciode secciones
Ejerciciode seccionesEjerciciode secciones
Ejerciciode secciones
 
Trabajo final empresa francesa
Trabajo final empresa francesaTrabajo final empresa francesa
Trabajo final empresa francesa
 
Dosier informativo Ponferrada
Dosier informativo PonferradaDosier informativo Ponferrada
Dosier informativo Ponferrada
 
Contrato electronico colombia
Contrato electronico colombiaContrato electronico colombia
Contrato electronico colombia
 
Contrato electronico colombia
Contrato electronico colombiaContrato electronico colombia
Contrato electronico colombia
 
Portafolio TELECOLOMBIA CONSULTING S.A.S
Portafolio TELECOLOMBIA CONSULTING S.A.SPortafolio TELECOLOMBIA CONSULTING S.A.S
Portafolio TELECOLOMBIA CONSULTING S.A.S
 
Redes Privadas Virtuales
Redes Privadas VirtualesRedes Privadas Virtuales
Redes Privadas Virtuales
 
Rednace fitel
Rednace fitelRednace fitel
Rednace fitel
 
Rednace fitel
Rednace fitelRednace fitel
Rednace fitel
 
Portafolio empresa Télécommunications France
Portafolio empresa Télécommunications FrancePortafolio empresa Télécommunications France
Portafolio empresa Télécommunications France
 
Fase 7. trabajo final
Fase 7. trabajo finalFase 7. trabajo final
Fase 7. trabajo final
 
Lanzamiento de la Red Compartida: Promtel
Lanzamiento de la Red Compartida: PromtelLanzamiento de la Red Compartida: Promtel
Lanzamiento de la Red Compartida: Promtel
 
Servicios Web
Servicios WebServicios Web
Servicios Web
 

Diseño de una VPN para la interconexión de la empresa de transportes El Cortijo

  • 1. UNIVERSIDAD NACIONAL DEL SANTA FACULTAD DE INGENIERIA DE SISTEMAS E INFORMÁTICA DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN) PARA LA INTERCONEXIÓN DE LA EMPRESA “EL CORTIJO” CON SUS SUCURSALES INTEGRANTES :  CARRUITERO FAJARDO YOVANA  MAZA RAMOS MIGUEL  ROMERO ZEGARRA BRUNO  VELASQUEZ RUIZ JOSE DOCENTE : ING. KENE REYNA ROJAS ASIGNATURA : REDES DE COMPUTADORAS Nuevo Chimbote, 17 de Enero del 2013
  • 2. INDICE I. DATOS DE LA EMPRESA 1.1. RESEÑA HISTORICA 1.2. UBICACIÓN GEOGRÁFICA 1.3. MISION 1.4. VISION 1.5. ORGANIGRAMA 1.6. OBJETIVOS 1.7. POLÍTICAS II. MARCO TEÓRICO 2.1. DEFINICION DE UNA VPN 2.2. CARACTERISTICAS FUNCIONALES DE UNA VPN 2.3. VENTAJAS E INCONVENIENTES DE UNA VPN 2.3.1. VENTAJAS 2.3.2. INCONVENIENTES 2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. SERVIDOR VPN 2.4.2. CLIENTE VPN 2.4.3. TÚNEL 2.4.4. CONEXIÓN VPN 2.4.5. PROTOCOLOS DEL TÚNEL 2.4.6. DATOS DEL TÚNEL (TUNELED DATA) 2.4.7. RED DE TRANSITO 2.5. REQUERIMIENTOS BÁSICOS DE LA VPN 2.5.1. AUTENTICACIÓN DE USUARIO. 2.5.2. ADMINISTRACIÓN DE DIRECCIÓN. 2.5.3. ENCRIPTACIÓN DE DATOS. 2.5.4. ADMINISTRACIÓN DE LLAVES. 2.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE. 2.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) 2.6.3. EXTRANET VPN 2.7. TOPOLOGÍAS DE VPN 2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente) 2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
  • 3. 2.8. ANALISIS DE PROTOCOLOS 2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD 2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) 2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC. 2.8.1.3.2. OTRAS SOLUCIONES 2.8.1.3.2.1. Secure shell (SSH) 2.8.1.3.2.2. CIPE – Crypto Encapsulation 2.8.1.3.2.3. RFC 1234 : Tunneling IPX Traffic through Networks 2.8.1.3.2.4. RFC 2004: Minim al Encapsulation within IP 2.9. TÚNELES 2.9.1. MODELOS DE ENTUNELAMIENTO 2.10. PAQUETE DE ENCRIPTACIÓN IP 2.10.1. CAPAS Y CIFRADO DE RED 2.10.1.1. EN EL NIVEL DE RED 2.10.1.2. EN EL NIVEL DE SOCKET 2.10.1.3. EN EL NIVEL DE APLICACIÓN III. PROBLEMA IV. SOLUCION V. JUSTIFICACION VI. DISEÑO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIÓN CON VPN VII. COSTO DE DISEÑO PROPUESTO VIII. CONCLUSIONES
  • 4. I. DATOS DE LA EMPRESA: 1.1. RESEÑA HISTORICA Empresa de Transportes “EL CORTIJO” S.A fue fundada el 29 de Agosto del año 1997, y que se fundó con la iniciativa de prestar servicio de transporte masivo de pasajero en Trujillo Metropolitano, se inscribió bajo los términos Sociedad Anónima con la participación de 20 accionistas. Si bien es cierto contábamos con una flota vehicular de 20 unidades, Insuficiente para cubrir el servicio, es que nos abocamos a establecer el crecimiento de la flota, para poder brindar un mejor servicio, llegando a conformar hasta el año 1999 una flota de 34 Unidades vehiculares. A partir del 2000 el Directorio de Turno de la Empresa elaboro un proyecto de desarrollo de Empresa dentro de ese proyecto estaba la Construcción de un terminal, a la vez se consideró gestionar el permiso de un consumidor interno de combustible, un servicio de cambio de aceite, un lavadero de presión, venta de llantas, servicio de frenos y servicios adicionales, afines del rubro de transportes, llegando a desarrollar a la fecha el 80 % de nuestro proyecto. La Empresa de Transporte “EL CORTIJO” S.A en la actualidad cuenta con una flota operativa de 131 unidades prestando un servicio a satisfacción del Público usuario. 1.2. UBICACIÓN GEOGRAFICA La empresa de Transporte El cortijo S.A tiene domicilio social en la Av. Jaime Blanco No 2901-2999, AA.HH Kumamoto, El Porvenir. Provincia de Trujillo, Departamento de la Libertad.
  • 5. 1.3. MISION E.T.E.C.S.A es una Empresa que se dedica al transporte de pasajeros en diferentes rutas locales. Desde su creación brinda el mejor servicio al público en general marcando la diferencia, contribuye con la movilización de las personas a sus lugares de destino, facilitando un servicio de calidad y tarifas justas de pasajes manteniendo un clima donde impera el respeto, justicia, honradez y el cumplimiento de reglas y normas de tránsito y el cuidado del medio ambiente. 1.4. VISION E.T.E.C.S.A desea en 5 años llegar a ser la mejor empresa de transporte urbano en brindar una calidad única y garantizada, manteniendo un trabajo en equipo y la práctica de valores tanto con el personal de la organización como para el público en general, alcanzando un reconocimiento de calidad de servicio y convertirse en una empresa sólida.
  • 6. 1.5. ORGANIGRAMA PRESIDENTE DEL DIRECTORIO SECRETARIA GERENTE GENERAL DIRECTOR DE ECONOMIA DIRECTOR DISCIPLINA Y DIRECTOR DEL PERSONAL TRANSPORTES CONTABILIDAD INTERNA VIGILANCIA Y LIMPIEZA SUPERVISION DE UNIDADES COBRANZA CONDUCTORES DE UNIDADES DE DESPACHO DE LUBRICANTES TRANSPORTE ABASTECIMIENTO DEL COMBUSTIBLE
  • 7. 1.6. OBJETIVOS DE LA EMPRESA  Lograr eficaz y eficiente servicio de transporte urbano de personas en la Ruta: Trujillo metropolitano- El Provenir y viceversa,en ómnibus y unidades autorizadas por el M.P.T.  Prestación de servicios de transporte turístico, de acuerdo con la autorización operacional que otorgen los Organismos Pertinentes.  La prestación de servicio de prevención, mantenimiento y reparación de los vehículos motorizados que están adjudicados al servicio público de transportes de personas en las rutas autorizadas.  La prestación de servicio público de personas en Trujillo Metropolitano, para lo cual contará con la correspondiente autorización 1.7. POLITICA DE LA EMPRESA  Hacer cumplir las disposiciones legales vigentes en materia de seguridad e higiene, relativos al servicio de transporte público de personas en Trujillo Metropolitano, en las rutas autorizadas por la M.P.T, las mismas que están amparadas en las Resoluciones de Permiso de Operación.  Respetar las normas constitucionales, aplicarlas, así como las leyes, normas y disposiciones legales que en materia laboral sean pertinentes aplicarlas al personal dependiente de la empresa y en el caso de los conductores o cobradores u otro personal eventual que labore para los propietarios de las unidades de transporte público, aplicar las disposiciones emanada de la Municipalidad Provincial de Trujillo, respecto al comportamiento con el usuario, con relación al buen trato que deben tener con los pasajeros, especialmente con los niños, ancianos y minusválidos.  Respetar la dignidad de los pasajeros o usuarios del transporte público; respetar sus sentimientos, creencia e ideología de los socios, de los trabajadores, de los conductores y cobradores.  Establecer la política adecuada para prevenir, investigar y resolver los conflictos laborales de acuerdo con los fines y objetivos de ETECSA.  Disponer que la gerencia y demás niveles jerárquicos de la empresa, guarden el debido respeto y observen buen trato con los accionistas, los conductores y cobradores, respetando las normas de disciplina impuestas por la empresa para la buena marcha de la sociedad en beneficio del público usuario.  Exigir a los socios o terceros que las unidades de servicio público se encuentren en buen estado de conservación.  Disponer la suscripción de los contratos al socio que emplee su unidad y personal operativo para el cumplimiento de una comisión de servicio
  • 8. II. MARCO TEÓRICO: 2.1.DEFINICION DE UNA VPN Una Red Privada Virtual (VPN) es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes áreas geográficas. Es una red de datos de gran seguridad que utilizando Internet como medio de transmisión permite la transmisión de información confidencial entre la empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus empleados o sus clientes. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos. Figura: Esquema de una Red VPN
  • 9. Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por medio de la conexión de los usuarios de distintas redes a través de un "túnel" que se construye sobre Internet o sobre cualquier otra red pública, negociando un esquema de encriptación y autentificación de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, con routers para lograr esa encriptación y autentificación. Es así como las Redes Privadas Virtuales (VPN) se convierten en un componente importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar una infraestructura de redes publicas para la comunicación en vez de utilizar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir y transmitir información de forma segura y confidencial entre una empresa y sus sucursales, socios, proveedores, etc. 2.2.CARACTERISTICAS FUNCIONALES Para que una VPN proporcione la comunicación que se espera, el sistema que se implante ha de contemplar varios aspectos de funcionamiento para determinar que será una buena solución. Transparente a las aplicaciones Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones. Confidencialidad Los datos que circulan por el canal sólo pueden ser leídos por el emisor y el receptor. La manera de conseguir esto es mediante técnicas de encriptación. Autentificación El emisor y el receptor son capaces de determinar de forma inequívoca sus identidades, de tal manera que no exista duda sobre las mismas. Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafío-respuesta.
  • 10. Integridad Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal. Para esto se pueden utilizar firmas digitales. No repudio Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emitió él. Control de acceso Capacidad para controlar el acceso de los usuarios a distintos recursos. Viabilidad Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de tiempo real. 2.3.VENTAJAS E INCONVENIENTES 2.3.1. VENTAJAS Una VPN permite disponer de una conexión a red con todas las características de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada a través de un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.
  • 11. Representa una gran solución en cuanto a seguridad, confidencialidad e integridad de los datos y reduce significativamente el costo de la transferencia de datos de un lugar a otro. Simplifica la integración y crecimiento de una Red ya que la VPN provee una solución propietaria flexible y escalable para su implementación y crecimiento. Permite la integración de diversos ambientes computacionales en una sola red de información cohesiva. Esto se debe fundamentalmente a estar basado en estándares abiertos. Minimiza el costo de administración y soporte de la red. Las VPN ayudan a aumentar la productividad del personal de soporte y administración de la red. Provee un punto central para la distribución de software y updates, manuales, etc. El browser al ser único, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la misma apariencia a través de todas las aplicaciones. 2.3.2. INCONVENIENTES Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos, situación que se agrava cuando además se realiza encriptación de los datos; lo cual origina que las conexiones sean mucho mas lentas. Mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP) . Las VPN primero deben establecer correctamente las políticas de seguridad y de acceso.
  • 12. 2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. Servidor VPN Es un servidor que se pone como gateway en la salida de Internet de la red. Permite conectarse con otros servidores VPN generando túneles de comunicación seguros con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto VPN o una conexión de enrutador a enrutador. 2.4.2. Cliente VPN El cliente VPN permite la comunicación privada virtual iniciada desde el cliente de la red (VPN). Es en si una computadora que inicia una conexión VPN con un servidor VPN. Un cliente VPN o un enrutador tiene una conexión de enrutador a enrutador a través de una red pública, así es como los usuarios finales logran la comunicación dentro de un ambiente de la empresa que requieren una conexión segura del extremo usuario-a- anfitrión. 2.4.3. Túnel Porción de la conexión en la cual sus datos son encapsulados. 2.4.4. Conexión VPN Es la porción de la conexión en la cual sus datos son encriptados. Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma porción de la conexión. 2.4.5. Protocolos del Túnel Se utiliza para administrar los túneles y encapsular los datos privados. Los datos que son enviados por el túnel deben de ser encriptados para que sea una conexión VPN.
  • 13. 2.4.6. Datos del Túnel (Tuneled Data) Datos que son generalmente enviados a través de un enlace VPN. 2.4.7. Red de Transito La red pública o compartida que es cruzada por los datos encapsulados. Generalmente una red IP. La red de tránsito debe ser Internet o una intranet IP privada. Figura: Elementos de una VPN 2.5. REQUERIMIENTOS BASICOS DE LAS VPN Por lo general, al implementar una solución de red remota, una compañía desea facilitar un acceso controlado a los recursos y a la información de la misma. La solución deberá permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de área local (LAN). Así como las oficinas remotas se conecten entre si para compartir recursos e información (conexiones de N).
  • 14. Por último, la solución debe garantizar la privacidad y la integridad de los datos al viajar a través de Internet público. Lo mismo se aplica en el caso de datos sensibles que viajan a través de una red corporativa. Por lo tanto, una VPN debe presentar los siguientes requerimiento básicos: 2.5.1. Autenticación de usuario. La solución deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y registros contables para mostrar quién accedió a qué información, y cuándo lo hizo. 2.5.2. Administración de dirección. La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así. 2.5.3. Encriptación de datos. Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red. 2.5.4. Administración de llaves. La solución deberá generar y renovar las llaves de encriptación para el cliente y para el servidor.
  • 15. 2.5.5. Soporte de protocolo múltiple. La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen protocolo de Internet. Una solución de VPN de Internet basada en un Protocolo de túnel de punto a punto (PPTP). 2.6. LOS 3 ESCENARIOS MÁS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) La mayoría de las compañías necesitan proveer acceso remoto a los empleados. Generalmente se utiliza una conexión dial-up (DUN) del cliente al servidor de acceso remoto (RAS) vía módems. Para acceso remoto VPN hay que considerar: tecnología en la Workstation cliente, qué sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la relación con el usuario remoto. El usuario remoto puede ser un empleado o individuo de menor confianza (un consultor a partner de negocios). Usualmente, el cliente de la Workstation estará corriendo bajo el SO Windows, pero podrá ser una estación MAC, Linux o Unix. SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download desde Microsoft. Cómo accede el usuario remoto al VPN Server vía Internet no es de importancia. Pero si debe considerarse el ancho de banda apropiado para que la conexión tenga sentido. Normalmente los proveedores de Internet (ISP) no bloquean los protocolos que se utilizan. Sólo puede haber problemas en el caso de que el usuario remoto trate de conectarse al VPN Server (vía Internet) desde dentro de una red (un empleado visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de situaciones, una solución es un http-tunnel, que permite llegar a Internet vía el puerto 80 de http y entonces establecer el túnel VPN.
  • 16. Una vez que el usuario remoto "disca" al número IP del servidor VPN se ingresa a la etapa de autenticación y autorización. Básicamente: ¿quién es usted?: Nombre de usuario y password y luego, ¿de qué modo lo autorizo a entrar en la red? (horario, protocolo). Toda ésta infraestructura deberá ser configurara por el administrador para garantizar seguridad. Según el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirán diferentes modos de autenticar (passwords tradicionales, certificados de usuario, tokens o biométrica). Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo limitará a áreas específicas. Se puede implementar esta "restricción" de diferentes modos: en el Server VPN, en los routers, o en las workstations y servers usando IPSec y políticas asociadas. En servidores VPN con W2K existe la posibilidad de usar Remote Acceses Policies (RAP). En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle entra en Intranet, se restringe el acceso al servidor correspondiente creando un grupo llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una política de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a la política que limite el tráfico del usuario remoto a destino, el servidor Oracle. 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un link VPN a través de Internet, reemplazando así líneas dedicadas que en general son muy caras. Todo lo que se necesita es un servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere autenticación de usuario pero sí deben autenticarse los servidores VPN entre sí.
  • 17. Cuando se establece la conexión VPN, uno de los servidores VPN asume el rol de cliente e inicia una conexión con otro servidor VPN. Después de establecida la conexión VPN, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local. ¿Cómo saben los servidores VPN que cada uno es auténtico y no un impostor? De acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticación site-to-site en contraseñas asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre-acordadas o en certificados para cada máquina emitidos por una autoridad certificadora (CA, Certificate Authority). 2.6.3. EXTRANET VPN Permite conectar la red de una empresa con uno o más "partners". Este escenario es muy similar a site-to-site aunque existen pequeñas diferencias. Básicamente la confianza entre ambas partes es diferente. Se permitirá a una sucursal acceder a todos los recursos de la red corporativa (site-to-site), pero es posible limitarlos para un partner. Normalmente se los restringirá a sólo unos cuantos servidores de la red. Con el tipo de restricción ya descriptos en Remote Access, podemos solucionar el problema. La segunda diferencia con site-to-site es que muy probablemente nuestro "partner" use una solución VPN diferente. Aparece aquí un problema de interoperabilidad a resolver. Para ello, se deberá atender, por ejemplo, a qué protocolos se usan en ambas soluciones VPNs y a qué tipo de autenticación se usará. 2.7. TOPOLOGIAS DE VPN Existen muchos tipos de topologías de VPN que pueden adecuarse a las necesidades de una organización o se adaptan a una configuración de red ya existente. Estas topologías pueden ser definidas a través de acceso remoto (por ejemplo, una laptop tratando de acceder a un servidor de su organización), conexión entre dos LANs (Local Area Network), a través de Intranet e Extranet, utilizando una tecnología Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network Address Translation).
  • 18. Examinaremos ahora como funcionan algunas de las topologías de VPN mas usadas. 2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente) Este tipo de VPN es el mas común y mas usado en nuestros tiempos. Nace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organización. Para que esto sea posible, la organización precisará tener un firewall instalado conteniendo los softwares necesarios para implementar a VPN. El cliente tiene que tener también instalado un software de criptografía compatible con los software del firewall. La comunicación ocurre cuando el cliente necesita de una comunicación confidencial con la organización, y sin embargo no se encuentre localizado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organización a partir de una red externa. La figura inferior ilustra como se establece este tipo de comunicación. Figura: VPN de acceso remoto
  • 19. Los pasos siguientes describen el proceso de comunicación entre el equipo portátil y el firewall de la organización: El usuario con el equipo portátil marca a su PSI local y establece una conexión PPP. El equipo portátil solicita las claves del dispositivo del firewall. El firewall responde con la clave apropiada. El software VPN instalado en el equipo portátil ve la solicitud echa por el usuario del equipo portátil, cifra el paquete y lo envía a la dirección IP publica de el Firewall. El firewall le quita la dirección IP, descifra el paquete y lo envía al servidor al que ha sido direccionado dentro de la LAN local. El servidor interno procesa la información recibida, responde a la solicitud y envía el documento de regreso. El firewall examina el trafico y reconoce que es información de túnel VPN así que toma el paquete, lo cifra y lo envía al equipo portátil. La pila de VPN en el equipo portátil ve el flujo de datos, reconoce que viene del dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles. Figura: Diagrama de acceso remoto
  • 20. 2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN Este tipo de topología es la segunda mas utilizada, se usa cuando es necesario comunicar dos redes locales separadas geográficamente. Las LANs pueden estar operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado y un firewall NT del otro. Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando el mismo algoritmo de criptografía y estar configurados para saber que cuando ocurre algún tráfico para uno u otro firewall, este tiene que ser criptografiado. Podemos observar en la figura inferior como se da el acceso entre dos redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT que será transmitido por FTP (File Transfer Protocol). El usuario de la LAN UNIX intenta conectarse a través de una aplicación FTP con un servidor LAN NT. El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es cifrado y se envía hacia una dirección IP pública de el firewall LAN NT. Este firewall acepta y descifra el paquete y envía para o servidor al que se le ha enviado la información. Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT. Este a su vez cifra el paquete y envía la información hacia el firewall da LAN UNIX que descifra y transmite la información para el usuario que solicito el requerimiento Figura: diagrama de VPN LAN
  • 21. 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT (Network Address Translation) Traducción de Direcciones de Nombres es el proceso de cambiar una dirección IP de una organización (una dirección privada de la organización) por una dirección IP pública enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organización. Entretanto, el NAT interfiere directamente en la implementación de la VPN, pues cambia la dirección IP a la hora que el paquete de datos sale de la red interna. La utilización de NAT no resulta complicado, pero la ubicación del dispositivo VPN es importante. La figura inferior ilustra el proceso Figura: Diagrama VPN con NAT
  • 22. Los pasos siguientes describen el proceso de comunicación de entrada y salida con un dispositivo NAT Cuando un paquete precisa salir de la red interna, este es enviado hacia el firewall implementado con NAT. Este por primera vez, cambia la dirección IP enrutable El firewall implementado con NAT reenvía el paquete al dispositivo VPN que realiza el proceso de cifrado del paquete. El paquete es enviado hacia el enrutador externo que sea transmitido a su destino. Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado hacia el firewall implementado con NAT que cambia la dirección IP por el número original, este es enviado hacia el ruteador interno para ser dirigido hacia su destino. 2.8. ANALISIS DE PROTOCOLOS Los conocimientos que fundamentan a una VPN son una criptografía y un tunelamiento. Una criptografía se utilizada para garantizar la autentificación, onfidencialidad e integridad de las conexiones y es la base para la seguridad de las redes; mas el tunelamiento es el responsable por el encapsulamiento y transmisión de los datos sobre una red publica entre dos puntos distintos. Dentro del mercado existen diversos protocolos que nos proporcionan este servicio y que difieren entre si dependiendo del nivel del modelo ISO/OSI donde actúan, de la criptografía utilizada y de como influye directamente el nivel de seguridad en el acceso remoto VPN.
  • 23. 2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD Las características básicas de un análisis de seguridad de los principales protocolos utilizados actualmente para acceso remoto VPN en plataformas ya sea Windows Linux o Unix son las siguientes: 2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer una red privada virtual entre usuarios de acceso remoto y servidores de red. Como protocolo de túnel, PPTP encapsula data gramas de cualquier protocolo de red en data gramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. La idea básica de PPTP es la de dividir las funciones de acceso remoto de tal modo que las personas de las empresas pudiesen utilizar una infraestructura de Internet “VXpara proveer una conectividad segura entre clientes remotos y redes privadas, es por eso que PPTP provee un mecanismo para tunelamineto de trafico PPP (Point to Point Protocol ) sobre redes IP.
  • 24. Figura: Diagrama del Protocolo PPTP El PPTP es un protocolo de red que permite el tráfico seguro de datos desde un cliente remoto a un servidor corporativo privado, estableciéndose así una Red Privada Virtual (VPN) basada en TCP/IP. PPTP soporta múltiples protocolos de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer dichas redes virtuales a través de otras redes públicas o privadas como líneas telefónicas, redes de área local o extensa (LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP. Una red privada virtual consiste en dos máquinas (una en cada "extremo" de la conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point protocolo (PPP), un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexión previa también remota, LAN o WAN, por un dispositivo PPTP. La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet. La versión PPTP, denominada GREv2, añade extensiones para temas específicos como Call Id y velocidad de conexión.
  • 25. El paquete PPTP está compuesto por un header de envío, un header IP, un header GREv2 y el paquete de carga. El header de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene información relativa al paquete IP, como es, direcciones de origen y destino, longitud del data grama enviado, etc. El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. El paquete de carga es el paquete encapsulado, que en el caso de PPP, el data grama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP. Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y acepta cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo de autentificación por reto), standard en el que se intercambia un "secreto" y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. Para la encriptación, PPTP utiliza el sistema RC4. 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) Layer Two Tunneling Protocol es una extensión del PPTP (Point-to-Point Protocol), que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F de Cisco. Los dos componentes principales del L2TP son: El LAC (L2TP Access Concentrator), que es el dispositivo que físicamente termina una llamada; y el LNS (L2TP Network Server), que es el dispositivo que autentifica y termina el enlace PPP. L2TP utiliza redes conmutadas de paquetes para hacer posible que los extremos de la conexión estén ubicados en distintas computadoras.
  • 26. El usuario tiene una conexión L2 al LAC, el cual crea el túnel de paquetes PPP. Así, los paquetes pueden ser procesados en el otro extremo de la conexión, o bien, terminar la conexión desde un extremo. L2TP soporta cualquier protocolo incluyendo IP, IPX y AppleTalk, así como también cualquier tecnología de backbone WAN, incluyendo Frame Relay, modos de transferencia asíncrono ATM, X.25 y SONET. Figura: Diagrama del Protocolo L2TP 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) IPSec es un conjunto de extensiones al protocolo IP. Es un estándar de la IETF (Internet Engineering Task Force) definido en el RFC 2401. Provee servicios de seguridad como autenticación, integridad, control de acceso y confidencialidad. Es implementado en la capa de Red, de tal forma que su funcionamiento es completamente transparente al nivel de aplicaciones, y es mucho más poderoso. IPSec provee un mecanismo estándar, robusto y con posibilidades de expansión, para proveer seguridad al protocolo IP y protocolos de capas superiores.
  • 27. Figura: Diagrama del Protocolo IPSec La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su política de seguridad. Permite que cierto tráfico sea identificado para recibir el nivel de protección deseado. Figura: Diagrama de funcionamiento de IPSec
  • 28. IPSec está diseñado para proveer seguridad interoperable de alta calidad basada en criptografía, tanto para IPv4 como para IPv6 [RFC2401, 1998]. Está compuesto por dos protocolos de seguridad de tráfico: el Authentication Header (AH) y el Encapsulating Security Payload (ESP), además de protocolos y procedimientos para el manejo de llaves encriptadas. AH provee la prueba de los datos de origen en los paquetes recibidos, la integridad de los datos, y la protección contra-respuesta. ESP provee lo mismo que AH adicionando confidencialidad de datos y de flujo de tráfico limitado. En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el mecanismo de AH se aplican algoritmos de autenticación, con la aplicación del mecanismo ESP, además de autenticación, también algoritmos de encriptación. El esquema de interoperabilidad se maneja a través de Asociaciones de Seguridad (SA), almacenadas en una base de datos. Los parámetros que se negocian para establecer los canales seguros se denominan Dominio de Interpretación IPSec (Domain of Interpretation, DOI), bajo políticas pre- establecidas dentro de un esquema de funcionamiento estático con valores fijos y previamente establecidos, o bien, en un esquema de funcionamiento dinámico utilizando un protocolo de manejo de llaves, Interchange Key Exchange (IKE).
  • 29. Figura II.10.9: Diagrama de la Arquitectura IPSec 2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC El diseño de IPSec plantea dos modos de funcionamiento para sus protocolos: el de transporte y el de túnel, la diferencia radica en la unidad que se esté protegiendo, en modo transporte se protege la carga útil IP (capa de transporte), en modo túnel se protegen paquetes IP (capa de red) y se pueden implementar tres combinaciones: AH en modo transporte, ESP en modo transporte, ESP en modo túnel (AH en modo túnel tiene el mismo efecto que en modo transporte).
  • 30. El modo transporte se aplica a nivel de hosts. AH y ESP en este modo interceptarán los paquetes procedentes de la capa de transporte a la capa de red y aplicarán la seguridad que haya sido configurada. En la figura siguiente se aprecia un esquema de IPSec en modo transporte, si la política de seguridad define que los paquetes deben ser encriptados, se utiliza ESP en modo transporte, en caso que solo haya sido requerida autenticación, se utiliza AH en modo transporte. Figura: Modos de funcionamiento de IPSEC Los paquetes de la capa de transporte como TCP y UDP pasan a la capa de red, que agrega el encabezado IP y pasan a las capas inferiores. Cuando se habilita IPSec en modo transporte, los paquetes de la capa de transporte pasan al componente de IPSec (que es implementado como parte de la capa de red, en el caso de sistemas operativos), el componente de IPSec agrega los encabezados AH y/o ESP, y la capa de red agrega su encabezado IP.
  • 31. En el caso que se apliquen ambos protocolos, primero debe aplicarse la cabecera de ESP y después de AH, para que la integridad de datos se aplique a la carga útil de ESP que contiene la carga útil de la capa de transporte. Figura: Cabeceras de IPSec El modo túnel se utiliza cuando la seguridad es aplicada por un dispositivo diferente al generador de los paquetes, como el caso de las VPN, o bien, cuando el paquete necesita ser asegurado hacia un punto seguro como destino y es diferente al destino final. Como se ilustra en la figura inferior, el flujo de tráfico es entre A y B, e IPSec puede aplicarse con una asociación de seguridad entre RA y RB, o bien una asociación de seguridad entre A y RB. Figura: Flujo de paquetes
  • 32. IPSec en modo túnel, tiene dos encabezados IP, interior y exterior. El encabezado interior es creado por el host y el encabezado exterior es agregado por el dispositivo que está proporcionando los servicios de seguridad. IPSec encapsula el paquete IP con los encabezados de IPSec y agrega un encabezado exterior de IP. IPSec también soporta túneles anidados, aunque no son recomend ados por lo complicado de su construcción, mantenimiento y consumo de recursos de red. Figura II.10.8: Encabezados IP en modo tunel 2.8.1.4. OTRAS SOLUCIONES La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están haciendo- a IPSec, otras posibilidades son: 2.8.1.4.1. Secure shell (SSH) Protege conexiones TCP mediante criptografía (a nivel de OSI de presentación, no a nivel de transporte o inferiores). Protege por tanto, conexión a conexión. 2.8.1.4.2. CIPE – Crypto Encapsulation Encapsula datagramas IP dentro de UDP. De momento sólo está disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso, bastante interesante.
  • 33. 2.8.1.4.3. RFC 1234: Tunneling IPX Traffic through Networks Encapsulado de datagramas IPX (Novell Netware) sobre UDP. 2.8.1.4.4. RFC 2004: Minim al Encapsulation within IP En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el datagrama original y le añade información para deshacer los cambios. El protocolo IP asociado es el 55. 2.9. TUNELES PPTP permite a los usuarios y a las ISPs crear varios tipos de túneles, basados en la capacidad del computador del usuario final y en el soporte de la ISP para implementar PPTP. De esta manera, el computador del usuario final determina el lugar de terminación del túnel, bien sea en su computador, si está corriendo un cliente PPTP, o en el servidor de acceso remoto de la ISP, si su computador solo soporta PPP y no PPTP. En este segundo caso el servidor de acceso de la ISP debe soportar PPTP, a diferencia del primer caso, donde la ISP no se involucra en ningún proceso de entunelamiento de datos. Dado lo anterior, los túneles se pueden dividir en dos clases, voluntarios y permanentes. Los túneles voluntarios son creados por requerimiento de un usuario y para un uso específico. Los túneles permanentes son creados automáticamente sin la acción de un usuario y no le permite escoger ningún tipo de privilegio.
  • 34. En los túneles voluntarios, la configuración del mismo depende del usuario final, cuando se usan túneles de este tipo, el usuario puede simultáneamente acceder a Internet y abrir un túnel seguro hacia el servidor PPTP. En este caso el cliente PPTP reside en el computador del usuario. Los túneles voluntarios proveen más privacidad e integridad de los datos que un túnel permanente. La figura 5.3 muestra un escenario de túneles voluntarios creados desde dos clientes distintos a un mismo servidor PPTP a través de Internet. Los túneles permanentes son creados sin el consentimiento del usuario, por lo tanto, son transparentes para el mismo. El cliente PPTP reside en el servidor de acceso remoto de la ISP al que se conectan los usuarios finales. Todo el tráfico originado desde el computador del usuario final es reenviado por el RAS sobre el túnel PPTP. En este caso la conexión del usuario se limita solo a la utilización del túnel PPTP, no hay acceso a la red pública (Internet) sobre la cual se establece el túnel. Un túnel permanente PPTP permite que múltiples conexiones sean transportadas sobre el mismo túnel. La figura 5.4 muestra un túnel permanente entre un RAS con capacidad para encapsular sesiones PPP usando PPTP y por medio del cual van multiplexadas dos sesiones de clientes A y B.
  • 35. Dado que los túneles permanentes tienen predeterminados sus puntos finales y que el usuario no puede acceder a Internet, estos túneles ofrecen mejor control de acceso que los túneles voluntarios. Otra ventaja de los túneles permanentes, es que reducen el ancho de banda utilizado, ya que múltiples sesiones pueden ser transportadas sobre un único túnel, a diferencia de los túneles voluntarios donde cada sesión tiene que trabajar con cabeceras independientes que ocupan un ancho de banda. Una desventaja de los túneles permanentes es que la conexión inicial, es decir, entre el usuario final y el servidor de acceso que esta actuando como cliente PPTP, no hace parte del túnel, por lo tanto, puede ser vulnerable a un ataque.
  • 36. Los túneles permanentes se dividen en estáticos y dinámicos. Los túneles estáticos son aquellos que requieren equipos dedicados y su configuración es manual. En este tipo de túneles el usuario final tiene a su disposición varios RAS, los cuales tienen establecidos diferentes túneles a diferentes servidores PPTP. Por ejemplo, si un usuario necesita hacer una VPN a su oficina regional ubicada en la ciudad A tiene que marcar un número X, pero si ese mismo usuario quiere hacer una VPN con su oficina en una ciudad B, tiene que marcar un número Y. Los túneles permanentes dinámicos usan el nombre del usuario para determinar el túnel asociado con él, es decir que se encargan de aprovechar mejor los recursos y el usuario puede marcar al mismo número para establecer túneles a diferentes sitios. La información asociada con cada usuario puede residir en el servidor Radius en el cual ese servidor de acceso esta autenticando todas las conexiones. Claramente se observa que los túneles permanentes estáticos son más costosos que los dinámicos, ya que involucran un servidor de acceso por cada destino que un cliente VPN quiera alcanzar. 2.10.1. MODELOS DE ENTUNELAMIENTO En las VPN los sitios de terminación (terminadores) de los túneles son aquellos donde se toman las decisiones de autenticación y las políticas de control de acceso y donde los servicios de seguridad son negociados y otorgados. En la práctica hay tres tipos posibles de servicios de seguridad que dependen de la ubicación de los terminadores. El primer caso es aquel donde el terminador está en el host mismo, donde los datos se originan y terminan. En el segundo caso el terminador está en el gateway de la LAN corporativa donde todo el tráfico converge en un solo enlace. El tercer caso es aquel donde el terminador está localizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) de la ISP.
  • 37. Dado que un túnel VPN se compone de dos terminadores, se pueden obtener seis tipos de modelos de seguridad derivados de la posible combinación de las diferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to-LAN, LAN-to-POP y POP-to-POP, en la figura 3.11 se notan cada uno de ellos. En el modelo End-to-End el túnel va desde un extremo hasta el otro del sistema. Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y en el destino de la comunicación. Este escenario presenta el más alto nivel de seguridad dado que los datos siempre están seguros en todos los segmentos de la red, bien sea pública o privada. Sin embargo, el total de túneles que pueden haber en una empresa grande, dificulta el manejo de los servicios de seguridad requeridos por dichos host. Este modelo de seguridad es comúnmente visto en implementaciones de capas superiores, como es el caso de SSL (Secure Sockets Layer). Tales implementaciones no son consideradas como modelos de entunelamiento.
  • 38. En el caso de LAN-to-POP el túnel comienza en un dispositivo VPN localizado en la frontera de la red corporativa y termina en un dispositivo VPN el cual se encuentra en un POP de la ISP. En la actualidad prácticamente este modelo de entunelamiento no es aplicado. Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizados en la propia red de la ISP. Por lo tanto los servicios de seguridad son completamente transparentes para los usuarios finales del túnel. Este modelo permite a los proveedores de servicio implementar valores agregados a los clientes sin que éstos alteren la infraestructura de sus redes. De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los más extensamente usados en las soluciones VPN. Sin embargo, el POP-to-POP o modelo de seguridad basado en red, ha cobrado vigencia últimamente dado que permite a las ISPs implementar servicios de valores agregados para sus clientes. En el modelo End-to-LAN, el túnel comienza en un host y termina en el perímetro de una LAN en la cual reside el host destino. Un dispositivo VPN localizado en el perímetro de la red es el responsable de la negociación y obtención de los servicios de seguridad de los host remotos. De esta manera, la seguridad de un gran número de dispositivos en una red corporativa puede ser manejada en un único punto, facilitando así la escalabilidad del mismo. Dado que la red corporativa es considerada un sitio seguro, comúnmente no hay necesidad de encriptar la información que transita dentro de ella. La mayoría de implementaciones de acceso remoto VPN trabajan con este modelo. El modelo de entunelamiento End-to-POP es aquel en el cual un host remoto termina el túnel en un POP de la ISP. Un dispositivo VPN o un equipo con funciones de terminador VPN y que se encuentra en la red de la ISP es el responsable por la negociación y concesión de los servicios de seguridad. La entrega de los datos desde el POP hasta el host destino es por lo general asegurada con infraestructura física, la cual separa el tráfico del resto de la red pública.
  • 39. Por lo general en este caso el ISP administra los permisos y controla el acceso según las directivas de los administradores de red de las empresas clientes. La arquitectura de acceso remoto VPN también usa este modelo. En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situados en la frontera de la red corporativa para negociar y conceder servicios de seguridad. De esta manera, las funciones de seguridad no necesitan ser implementadas en los hosts finales donde los datos son generados y recibidos. La implementación de los servicios de seguridad es completamente transparente para los hosts. Esta implementación reduce drásticamente la complejidad en el manejo de las políticas de seguridad. La arquitectura Intranet VPN encaja en este modelo. 2.11. PAQUETE DE ENCRIPTACIÓN IP 2.11.1. CAPAS Y CIFRADO DE RED Existen diversos lugares en donde el encriptación se puede construir dentro de una infraestructura de red existente, correspondientemente a los protocolos de las diferentes capas. 2.11.1.1. En el nivel de Red: Los paquetes que viajan entre los hosts en la red son encriptados. El motor de encriptación se coloca cerca del driver que envía y recibe los paquetes. Una implementación se encuentra en CIPE. 2.10.1.2. En el nivel de Socket: Una conexión lógica entre los programas que funcionan en diversos hosts (conexión TCP; capa de transporte o de sesión en OSI) es encriptada. El motor de encriptación intercepta o procura conexiones. SSH y el SSL trabajan esta manera. 2.10.1.3. En el nivel de Aplicación: Las aplicaciones contienen su propio motor del cifrado y cifran los datos ellos mismos. El mejor ejemplo sabido es PGP para cifrar correo.
  • 40. El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que puede ser hecho para trabajar de manera transparente, sin ningún cambio a la aplicación software. En el caso de los paquetes de encriptación IP, este puede ser construido dentro de los routers IP que actúan generalmente como "cajas negras" entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los routers. Un router de encriptación se ve de manera tan exacta como un host que no cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada así en lugares donde no sean factibles los cambios de software a niveles más altos. El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en un nivel más alto, por ejemplo. usos de Troyanos, bug exploit dentro del software del sistema o administradores pillos "sniffers" en los dispositivos terminales. III. PROBLEMA La Empresa de Transporte “El Cortijo” se encuentra ubicado en la ciudad de Trujillo, cuenta con dos sucursales, una en la ciudad de Chiclayo y otra en la ciudad de Cajamarca. Dichas dependencias manejan la información de manera individual y aislada de la empresa matriz, y para el proceso de sus datos no consideran las aplicaciones cliente servidor - usadas actualmente por la empresa central- sino que más bien, emplean una aplicación antiguamente desarrollada por la sede principal. De esta manera, el Sistema Integrado de la empresa demanda mensualmente gastos necesarios para centralizar toda la información en Trujillo, debido a que existen áreas y procesos que requieren la data completa de la empresa central y sus dependencias-, por citar las áreas de contabilidad, secretaria y finanzas, etc.
  • 41. IV. SOLUCION Debido a esto y a la necesidad de tener un control de las actividades de sus sucursales surge la necesidad de establecer una conexión (un medio de transmisión seguro) entre la sede central y sus sucursales, para que se pueda utilizar las aplicaciones cliente - servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos que generen el mantener la información de la empresa de forma separada y descentralizada. V. JUSTIFICACION Con la implementación de la conexión se podrá utilizar las aplicaciones cliente-servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos, y así no cometer gastos innecesarios en la demora de la información.
  • 42. VI. DISEÑO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIÓN CON VPN VII. COSTO DE DISEÑO PROPUESTO
  • 43. VIII. CONCLUSIONES  Actualmente las VPN ofrecen un servicio ventajoso para las empresas que quieran tener una comunicación segura con sus proveedores, clientes u otros, de forma segura, sin necesidad de implantar una red de comunicación costosa que permita lo mismo.  Además esta solución VPN nos permitirá no solo crear la interconexión con dos sucursales sino que es escalable, es decir nos permitirá crear conexiones virtuales con otros puntos cuando la empresa lo requiera, generando solo un gasto de mínimo con el PSI de la localidad en la que esta destinados la interconexión y un CPU con mínimas características  Por último las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no está bien definido pueden existir consecuencias serias. IX RECOMENDACIONES  Cabe desatacar que algunas aplicaciones que necesitan de procesos bastantes complejos se tienen que correr en maquinas solamente dedicadas a esas operaciones ya que como son procesos bastantes pesados como calculo de planillas, requieren ser procesadas por maquinas potentes y dedicadas a esta labor para que no se sienta algún retardo o problema en la interconexión.  Otro punto a tener en cuenta es el proveedor de servicio de Internet a utilizar, si bien es cierto existen varios proveedores que nos pueden proporcionar este servicio, algunos que nos proporcionan un buen servicio son realmente muy caros para mantener en una empresa relativamente pequeña, y los que ofrecen una interconexión a Internet con precios módicos, su servicio es muy inestable y en algunos casos con interrupciones en el servicio de manera constante haciendo imposible una conexión VPN cuando se corren procesos largos, es por eso necesario la constante evaluación de los proveedores de servicio de Internet.