| Date post: | 01-Jun-2015 |
| Category: |
Documents |
| Upload: | jose-martin-velasquez-ruiz |
| View: | 2,751 times |
| Download: | 2 times |
UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD DE INGENIERIA DE SISTEMAS E INFORMÁTICA
DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN) PARA LA INTERCONEXIÓN DE LA EMPRESA “EL
CORTIJO” CON SUS SUCURSALES
INTEGRANTES :
CARRUITERO FAJARDO YOVANA MAZA RAMOS MIGUEL ROMERO ZEGARRA BRUNO VELASQUEZ RUIZ JOSE
DOCENTE : ING. KENE REYNA ROJAS
ASIGNATURA : REDES DE COMPUTADORAS
Nuevo Chimbote, 17 de Enero del 2013
INDICE
I. DATOS DE LA EMPRESA
1.1. RESEÑA HISTORICA1.2. UBICACIÓN GEOGRÁFICA1.3. MISION1.4. VISION1.5. ORGANIGRAMA1.6. OBJETIVOS1.7. POLÍTICAS
II. MARCO TEÓRICO
2.1. DEFINICION DE UNA VPN2.2. CARACTERISTICAS FUNCIONALES DE UNA VPN2.3. VENTAJAS E INCONVENIENTES DE UNA VPN
2.3.1. VENTAJAS 2.3.2. INCONVENIENTES
2.4. ELEMENTOS PRINCIPALES DE UNA VPN2.4.1. SERVIDOR VPN 2.4.2. CLIENTE VPN 2.4.3. TÚNEL2.4.4. CONEXIÓN VPN 2.4.5. PROTOCOLOS DEL TÚNEL2.4.6. DATOS DEL TÚNEL (TUNELED DATA)2.4.7. RED DE TRANSITO
2.5. REQUERIMIENTOS BÁSICOS DE LA VPN2.5.1. AUTENTICACIÓN DE USUARIO. 2.5.2. ADMINISTRACIÓN DE DIRECCIÓN. 2.5.3. ENCRIPTACIÓN DE DATOS. 2.5.4. ADMINISTRACIÓN DE LLAVES. 2.5.5. SOPORTE DE PROTOCOLO MÚLTIPLE.
2.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) 2.6.3. EXTRANET VPN
2.7. TOPOLOGÍAS DE VPN2.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall -
cliente)2.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
2.8. ANALISIS DE PROTOCOLOS2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD
2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security)
2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC.2.8.1.3.2. OTRAS SOLUCIONES
2.8.1.3.2.1. Secure shell (SSH)2.8.1.3.2.2. CIPE – Crypto Encapsulation2.8.1.3.2.3. RFC 1234 : Tunneling IPX Traffic through Networks 2.8.1.3.2.4. RFC 2004: Minim al Encapsulation within IP
2.9. TÚNELES2.9.1. MODELOS DE ENTUNELAMIENTO
2.10. PAQUETE DE ENCRIPTACIÓN IP2.10.1. CAPAS Y CIFRADO DE RED
2.10.1.1. EN EL NIVEL DE RED2.10.1.2. EN EL NIVEL DE SOCKET2.10.1.3. EN EL NIVEL DE APLICACIÓN
III. PROBLEMA
IV. SOLUCION
V. JUSTIFICACION
VI. DISEÑO EN PACKET TRACER
VI.1. ESQUEMA DE RED SUCURSAL TRUJILLOVI.2. ESQUEMA DE RED SUCURSAL CORNIJOVI.3. ESQUEMA DE RED SUCURSAL PORVENIRVI.4. ESQUEMA DE LA SOLUCIÓN CON VPN
VII. COSTO DE DISEÑO PROPUESTO
VIII. CONCLUSIONES
I. DATOS DE LA EMPRESA:
I.1. RESEÑA HISTORICA
Empresa de Transportes “EL CORTIJO” S.A fue fundada el 29 de Agosto del año 1997, y que se fundó con la iniciativa de prestar servicio de transporte masivo de pasajero en Trujillo Metropolitano, se inscribió bajo los términos Sociedad Anónima con la participación de 20 accionistas. Si bien es cierto contábamos con una flota vehicular de 20 unidades, Insuficiente para cubrir el servicio, es que nos abocamos a establecer el crecimiento de la flota, para poder brindar un mejor servicio, llegando a conformar hasta el año 1999 una flota de 34 Unidades vehiculares.
A partir del 2000 el Directorio de Turno de la Empresa elaboro un proyecto de desarrollo de Empresa dentro de ese proyecto estaba la Construcción de un terminal, a la vez se consideró gestionar el permiso de un consumidor interno de combustible, un servicio de cambio de aceite, un lavadero de presión, venta de llantas, servicio de frenos y servicios adicionales, afines del rubro de transportes, llegando a desarrollar a la fecha el 80 % de nuestro proyecto.
La Empresa de Transporte “EL CORTIJO” S.A en la actualidad cuenta con una flota operativa de 131 unidades prestando un servicio a satisfacción del Público usuario.
I.2. UBICACIÓN GEOGRAFICA
La empresa de Transporte El cortijo S.A tiene domicilio social en la Av. Jaime Blanco No 2901-2999, AA.HH Kumamoto, El Porvenir. Provincia de Trujillo, Departamento de la Libertad.
1.3. MISION
E.T.E.C.S.A es una Empresa que se dedica al transporte de pasajeros en diferentes rutas locales. Desde su creación brinda el mejor servicio al público en general marcando la diferencia, contribuye con la movilización de las personas a sus lugares de destino, facilitando un servicio de calidad y tarifas justas de pasajes manteniendo un clima donde impera el respeto, justicia, honradez y el cumplimiento de reglas y normas de tránsito y el cuidado del medio ambiente.
1.4. VISION
E.T.E.C.S.A desea en 5 años llegar a ser la mejor empresa de transporte urbano en brindar una calidad única y garantizada, manteniendo un trabajo en equipo y la práctica de valores tanto con el personal de la organización como para el público en general, alcanzando un reconocimiento de calidad de servicio y convertirse en una empresa sólida.
1.5. ORGANIGRAMA
PRESIDENTE DEL DIRECTORIO
SECRETARIA GERENTE GENERAL
DIRECTOR DEL PERSONALDIRECTOR DISCIPLINA Y TRANSPORTES
DIRECTOR DE ECONOMIA
CONTABILIDAD INTERNA VIGILANCIA Y LIMPIEZASUPERVISION DE UNIDADES
COBRANZACONDUCTORES DE
UNIDADES DE TRANSPORTEDESPACHO DE LUBRICANTES
ABASTECIMIENTO DEL COMBUSTIBLE
1.6. OBJETIVOS DE LA EMPRESA
Lograr eficaz y eficiente servicio de transporte urbano de personas en la Ruta: Trujillo metropolitano- El Provenir y viceversa,en ómnibus y unidades autorizadas por el M.P.T.
Prestación de servicios de transporte turístico, de acuerdo con la autorización operacional que otorgen los Organismos Pertinentes.
La prestación de servicio de prevención, mantenimiento y reparación de los vehículos motorizados que están adjudicados al servicio público de transportes de personas en las rutas autorizadas.
La prestación de servicio público de personas en Trujillo Metropolitano, para lo cual contará con la correspondiente autorización
1.7. POLITICA DE LA EMPRESA
Hacer cumplir las disposiciones legales vigentes en materia de seguridad e higiene, relativos al servicio de transporte público de personas en Trujillo Metropolitano, en las rutas autorizadas por la M.P.T, las mismas que están amparadas en las Resoluciones de Permiso de Operación.
Respetar las normas constitucionales, aplicarlas, así como las leyes, normas y disposiciones legales que en materia laboral sean pertinentes aplicarlas al personal dependiente de la empresa y en el caso de los conductores o cobradores u otro personal eventual que labore para los propietarios de las unidades de transporte público, aplicar las disposiciones emanada de la Municipalidad Provincial de Trujillo, respecto al comportamiento con el usuario, con relación al buen trato que deben tener con los pasajeros, especialmente con los niños, ancianos y minusválidos.
Respetar la dignidad de los pasajeros o usuarios del transporte público; respetar sus sentimientos, creencia e ideología de los socios, de los trabajadores, de los conductores y cobradores.
Establecer la política adecuada para prevenir, investigar y resolver los conflictos laborales de acuerdo con los fines y objetivos de ETECSA.
Disponer que la gerencia y demás niveles jerárquicos de la empresa, guarden el debido respeto y observen buen trato con los accionistas, los conductores y cobradores, respetando las normas de disciplina impuestas por la empresa para la buena marcha de la sociedad en beneficio del público usuario.
Exigir a los socios o terceros que las unidades de servicio público se encuentren en buen estado de conservación.
Disponer la suscripción de los contratos al socio que emplee su unidad y personal operativo para el cumplimiento de una comisión de servicio
II. MARCO TEÓRICO:
II.1. DEFINICION DE UNA VPN
Una Red Privada Virtual (VPN) es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes áreas geográficas. Es una red de datos de gran seguridad que utilizando Internet como medio de transmisión permite la transmisión de información confidencial entre la empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus empleados o sus clientes. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos.
Figura: Esquema de una Red VPN
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por medio de la conexión de los usuarios de distintas redes a través de un "túnel" que se construye sobre Internet o sobre cualquier otra red pública, negociando un esquema de encriptación y autentificación de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, con routers para lograr esa encriptación y autentificación.
Es así como las Redes Privadas Virtuales (VPN) se convierten en un componente importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar una infraestructura de redes publicas para la comunicación en vez de utilizar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir y transmitir información de forma segura y confidencial entre una empresa y sus sucursales, socios, proveedores, etc.
II.2. CARACTERISTICAS FUNCIONALES
Para que una VPN proporcione la comunicación que se espera, el sistema que se implante ha de contemplar varios aspectos de funcionamiento para determinar que será una buena solución.
Transparente a las aplicaciones
Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones.
Confidencialidad
Los datos que circulan por el canal sólo pueden ser leídos por el emisor y el receptor. La manera de conseguir esto es mediante técnicas de encriptación.
Autentificación
El emisor y el receptor son capaces de determinar de forma inequívoca sus identidades, de tal manera que no exista duda sobre las mismas. Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafío-respuesta.
Integridad
Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmitió por el canal. Para esto se pueden utilizar firmas digitales.
No repudio Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emitió él.
Control de acceso
Capacidad para controlar el acceso de los usuarios a distintos recursos.
Viabilidad
Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de tiempo real.
II.3. VENTAJAS E INCONVENIENTES
II.3.1. VENTAJAS
Una VPN permite disponer de una conexión a red con todas las características de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada a través de un acceso público. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.
Representa una gran solución en cuanto a seguridad, confidencialidad e integridad de los datos y reduce significativamente el costo de la transferencia de datos de un lugar a otro.
Simplifica la integración y crecimiento de una Red ya que la VPN provee una solución propietaria flexible y escalable para su implementación y crecimiento.
Permite la integración de diversos ambientes computacionales en una sola red de información cohesiva. Esto se debe fundamentalmente a estar basado en estándares abiertos.
Minimiza el costo de administración y soporte de la red. Las VPN ayudan a aumentar la productividad del personal de soporte y administración de la red.
Provee un punto central para la distribución de software y updates, manuales, etc. El browser al ser único, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la misma apariencia a través de todas las aplicaciones.
II.3.2. INCONVENIENTES
Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos, situación que se agrava cuando además se realiza encriptación de los datos; lo cual origina que las conexiones sean mucho mas lentas.
Mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP) .
Las VPN primero deben establecer correctamente las políticas de seguridad y de acceso.
II.4. ELEMENTOS PRINCIPALES DE UNA VPN
II.4.1. Servidor VPN
Es un servidor que se pone como gateway en la salida de Internet de la red. Permite conectarse con otros servidores VPN generando túneles de comunicación seguros con otras redes o usuarios remotos, proporcionando una conexión de acceso remoto VPN o una conexión de enrutador a enrutador.
II.4.2. Cliente VPN
El cliente VPN permite la comunicación privada virtual iniciada desde el cliente de la red (VPN). Es en si una computadora que inicia una conexión VPN con un servidor VPN.
Un cliente VPN o un enrutador tiene una conexión de enrutador a enrutador a través de una red pública, así es como los usuarios finales logran la comunicación dentro de un ambiente de la empresa que requieren una conexión segura del extremo usuario-a-anfitrión.
II.4.3. Túnel
Porción de la conexión en la cual sus datos son encapsulados.
II.4.4. Conexión VPN
Es la porción de la conexión en la cual sus datos son encriptados.
Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma porción de la conexión.
II.4.5. Protocolos del Túnel
Se utiliza para administrar los túneles y encapsular los datos privados. Los datos que son enviados por el túnel deben de ser encriptados para que sea una conexión VPN.
II.4.6. Datos del Túnel (Tuneled Data)
Datos que son generalmente enviados a través de un enlace VPN.
II.4.7. Red de Transito
La red pública o compartida que es cruzada por los datos encapsulados. Generalmente una red IP. La red de tránsito debe ser Internet o una intranet IP privada.
Figura: Elementos de una VPN
II.5. REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solución de red remota, una compañía desea facilitar un acceso controlado a los recursos y a la información de la misma. La solución deberá permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de área local (LAN). Así como las oficinas remotas se conecten entre si para compartir recursos e información (conexiones de N).
Por último, la solución debe garantizar la privacidad y la integridad de los datos al viajar a través de Internet público. Lo mismo se aplica en el caso de datos sensibles que viajan a través de una red corporativa.
Por lo tanto, una VPN debe presentar los siguientes requerimiento básicos:
II.5.1. Autenticación de usuario.
La solución deberá verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Además, deberá proporcionar registros de auditoria y registros contables para mostrar quién accedió a qué información, y cuándo lo hizo.
II.5.2. Administración de dirección.
La solución deberá asignar una dirección al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan así.
II.5.3. Encriptación de datos.
Los datos que viajan en una red pública no podrán ser leídos por clientes no autorizados en la red.
II.5.4. Administración de llaves.
La solución deberá generar y renovar las llaves de encriptación para el cliente y para el servidor.
II.5.5. Soporte de protocolo múltiple.
La solución deberá manejar protocolos comunes utilizados en las redes públicas; éstos incluyen protocolo de Internet. Una solución de VPN de Internet basada en un Protocolo de túnel de punto a punto (PPTP).
II.6. LOS 3 ESCENARIOS MÁS COMUNES DE VPNs
II.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN)
La mayoría de las compañías necesitan proveer acceso remoto a los empleados. Generalmente se utiliza una conexión dial-up (DUN) del cliente al servidor de acceso remoto (RAS) vía módems.
Para acceso remoto VPN hay que considerar: tecnología en la Workstation cliente, qué sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la relación con el usuario remoto.
El usuario remoto puede ser un empleado o individuo de menor confianza (un consultor a partner de negocios). Usualmente, el cliente de la Workstation estará corriendo bajo el SO Windows, pero podrá ser una estación MAC, Linux o Unix. SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download desde Microsoft.
Cómo accede el usuario remoto al VPN Server vía Internet no es de importancia. Pero si debe considerarse el ancho de banda apropiado para que la conexión tenga sentido. Normalmente los proveedores de Internet (ISP) no bloquean los protocolos que se utilizan. Sólo puede haber problemas en el caso de que el usuario remoto trate de conectarse al VPN Server (vía Internet) desde dentro de una red (un empleado visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de situaciones, una solución es un http-tunnel, que permite llegar a Internet vía el puerto 80 de http y entonces establecer el túnel VPN.
Una vez que el usuario remoto "disca" al número IP del servidor VPN se ingresa a la etapa de autenticación y autorización. Básicamente: ¿quién es usted?: Nombre de usuario y password y luego, ¿de qué modo lo autorizo a entrar en la red? (horario, protocolo). Toda ésta infraestructura deberá ser configurara por el administrador para garantizar seguridad.
Según el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirán diferentes modos de autenticar (passwords tradicionales, certificados de usuario, tokens o biométrica).
Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo limitará a áreas específicas. Se puede implementar esta "restricción" de diferentes modos: en el Server VPN, en los routers, o en las workstations y servers usando IPSec y políticas asociadas. En servidores VPN con W2K existe la posibilidad de usar Remote Acceses Policies (RAP).
En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle entra en Intranet, se restringe el acceso al servidor correspondiente creando un grupo llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una política de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a la política que limite el tráfico del usuario remoto a destino, el servidor Oracle.
II.6.2. SITE-TO-SITE VPN (VPN entre sitios)
Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones geográficas, para ello emplea un link VPN a través de Internet, reemplazando así líneas dedicadas que en general son muy caras. Todo lo que se necesita es un servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere autenticación de usuario pero sí deben autenticarse los servidores VPN entre sí.
Cuando se establece la conexión VPN, uno de los servidores VPN asume el rol de cliente e inicia una conexión con otro servidor VPN. Después de establecida la conexión VPN, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local.
¿Cómo saben los servidores VPN que cada uno es auténtico y no un impostor? De acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticación site-to-site en contraseñas asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre-acordadas o en certificados para cada máquina emitidos por una autoridad certificadora (CA, Certificate Authority).
II.6.3. EXTRANET VPN
Permite conectar la red de una empresa con uno o más "partners". Este escenario es muy similar a site-to-site aunque existen pequeñas diferencias. Básicamente la confianza entre ambas partes es diferente. Se permitirá a una sucursal acceder a todos los recursos de la red corporativa (site-to-site), pero es posible limitarlos para un partner. Normalmente se los restringirá a sólo unos cuantos servidores de la red. Con el tipo de restricción ya descriptos en Remote Access, podemos solucionar el problema.
La segunda diferencia con site-to-site es que muy probablemente nuestro "partner" use una solución VPN diferente. Aparece aquí un problema de interoperabilidad a resolver. Para ello, se deberá atender, por ejemplo, a qué protocolos se usan en ambas soluciones VPNs y a qué tipo de autenticación se usará.
II.7. TOPOLOGIAS DE VPN
Existen muchos tipos de topologías de VPN que pueden adecuarse a las necesidades de una organización o se adaptan a una configuración de red ya existente.
Estas topologías pueden ser definidas a través de acceso remoto (por ejemplo, una laptop tratando de acceder a un servidor de su organización), conexión entre dos LANs (Local Area Network), a través de Intranet e Extranet, utilizando una tecnología Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network Address Translation).
Examinaremos ahora como funcionan algunas de las topologías de VPN mas usadas.
II.7.1. TOPOLOGÍA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente)
Este tipo de VPN es el mas común y mas usado en nuestros tiempos. Nace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organización. Para que esto sea posible, la organización precisará tener un firewall instalado conteniendo los softwares necesarios para implementar a VPN. El cliente tiene que tener también instalado un software de criptografía compatible con los software del firewall.
La comunicación ocurre cuando el cliente necesita de una comunicación confidencial con la organización, y sin embargo no se encuentre localizado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organización a partir de una red externa.
La figura inferior ilustra como se establece este tipo de comunicación.
Figura: VPN de acceso remoto
Los pasos siguientes describen el proceso de comunicación entre el equipo portátil y
el firewall de la organización:
· El usuario con el equipo portátil marca a su PSI local y establece una conexión PPP.
· El equipo portátil solicita las claves del dispositivo del firewall.· El firewall responde con la clave apropiada.· El software VPN instalado en el equipo portátil ve la solicitud echa por el usuario
del equipo portátil, cifra el paquete y lo envía a la dirección IP publica de el Firewall.
· El firewall le quita la dirección IP, descifra el paquete y lo envía al servidor al que ha sido direccionado dentro de la LAN local.
· El servidor interno procesa la información recibida, responde a la solicitud y envía el documento de regreso.
· El firewall examina el trafico y reconoce que es información de túnel VPN así que toma el paquete, lo cifra y lo envía al equipo portátil.
· La pila de VPN en el equipo portátil ve el flujo de datos, reconoce que viene del dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles.
Figura: Diagrama de acceso remoto
II.7.2. TOPOLOGÍA DE VPN LAN-TO-LAN
Este tipo de topología es la segunda mas utilizada, se usa cuando es necesario comunicar dos redes locales separadas geográficamente. Las LANs pueden estar operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado y un firewall NT del otro.
Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando el mismo algoritmo de criptografía y estar configurados para saber que cuando ocurre algún tráfico para uno u otro firewall, este tiene que ser criptografiado.
Podemos observar en la figura inferior como se da el acceso entre dos redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT que será transmitido por FTP (File Transfer Protocol).
El usuario de la LAN UNIX intenta conectarse a través de una aplicación FTP con un servidor LAN NT.
El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es cifrado y se envía hacia una dirección IP pública de el firewall LAN NT.
Este firewall acepta y descifra el paquete y envía para o servidor al que se le ha enviado la información.
Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT.
Este a su vez cifra el paquete y envía la información hacia el firewall da LAN UNIX que descifra y transmite la información para el usuario que solicito el requerimiento
Figura: diagrama de VPN LAN
II.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
(Network Address Translation) Traducción de Direcciones de Nombres es el proceso de cambiar una dirección IP de una organización (una dirección privada de la organización) por una dirección IP pública enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organización.
Entretanto, el NAT interfiere directamente en la implementación de la VPN, pues cambia la dirección IP a la hora que el paquete de datos sale de la red interna. La utilización de NAT no resulta complicado, pero la ubicación del dispositivo VPN es importante.
La figura inferior ilustra el proceso
Figura: Diagrama VPN con NAT
Los pasos siguientes describen el proceso de comunicación de entrada y salida con un dispositivo NAT
· Cuando un paquete precisa salir de la red interna, este es enviado hacia el firewall implementado con NAT. Este por primera vez, cambia la dirección IP enrutable
· El firewall implementado con NAT reenvía el paquete al dispositivo VPN que realiza el proceso de cifrado del paquete.
· El paquete es enviado hacia el enrutador externo que sea transmitido a su destino.
· Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado hacia el firewall implementado con NAT que cambia la dirección IP por el número original, este es enviado hacia el ruteador interno para ser dirigido hacia su destino.
II.8. ANALISIS DE PROTOCOLOS
Los conocimientos que fundamentan a una VPN son una criptografía y un tunelamiento. Una criptografía se utilizada para garantizar la autentificación, onfidencialidad e integridad de las conexiones y es la base para la seguridad de las redes; mas el tunelamiento es el responsable por el encapsulamiento y transmisión de los datos sobre una red publica entre dos puntos distintos.
Dentro del mercado existen diversos protocolos que nos proporcionan este servicio y que difieren entre si dependiendo del nivel del modelo ISO/OSI donde actúan, de la criptografía utilizada y de como influye directamente el nivel de seguridad en el acceso remoto VPN.
2.8.1. CARACTERÍSTICAS BASICAS DE UN ANÁLISIS DE SEGURIDAD
Las características básicas de un análisis de seguridad de los principales protocolos utilizados actualmente para acceso remoto VPN en plataformas ya sea Windows Linux o Unix son las siguientes:
II.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer una red privada virtual entre usuarios de acceso remoto y servidores de red.
Como protocolo de túnel, PPTP encapsula data gramas de cualquier protocolo de red en data gramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet.
La idea básica de PPTP es la de dividir las funciones de acceso remoto de tal modo que las personas de las empresas pudiesen utilizar una infraestructura de Internet
“VXpara proveer una conectividad segura entre clientes remotos y redes privadas, es por eso que PPTP provee un mecanismo para tunelamineto de trafico PPP (Point to Point Protocol ) sobre redes IP.
Figura: Diagrama del Protocolo PPTP
El PPTP es un protocolo de red que permite el tráfico seguro de datos desde un cliente remoto a un servidor corporativo privado, estableciéndose así una Red Privada Virtual (VPN) basada en TCP/IP. PPTP soporta múltiples protocolos de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer dichas redes virtuales a través de otras redes públicas o privadas como líneas telefónicas, redes de área local o extensa (LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP.
Una red privada virtual consiste en dos máquinas (una en cada "extremo" de la conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point protocolo (PPP), un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexión previa también remota, LAN o WAN, por un dispositivo PPTP.
La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet. La versión PPTP, denominada GREv2, añade extensiones para temas específicos como Call Id y velocidad de conexión.
El paquete PPTP está compuesto por un header de envío, un header IP, un header GREv2 y el paquete de carga. El header de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene información relativa al paquete IP, como es, direcciones de origen y destino, longitud del data grama enviado, etc.
El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. El paquete de carga es el paquete encapsulado, que en el caso de PPP, el data grama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP.
Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y acepta cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo de autentificación por reto), standard en el que se intercambia un "secreto" y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. Para la encriptación, PPTP utiliza el sistema RC4.
II.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP)
Layer Two Tunneling Protocol es una extensión del PPTP (Point-to-Point Protocol), que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F de Cisco. Los dos componentes principales del L2TP son: El LAC (L2TP Access Concentrator), que es el dispositivo que físicamente termina una llamada; y el LNS (L2TP Network Server), que es el dispositivo que autentifica y termina el enlace PPP. L2TP utiliza redes conmutadas de paquetes para hacer posible que los extremos de la conexión estén ubicados en distintas computadoras.
El usuario tiene una conexión L2 al LAC, el cual crea el túnel de paquetes PPP. Así, los paquetes pueden ser procesados en el otro extremo de la conexión, o bien, terminar la conexión desde un extremo. L2TP soporta cualquier protocolo incluyendo IP, IPX y AppleTalk, así como también cualquier tecnología de backbone WAN, incluyendo Frame Relay, modos de transferencia asíncrono ATM, X.25 y SONET.
Figura: Diagrama del Protocolo L2TP
II.8.1.3. IP SECURITY IPSec (Internet Protocol Security)
IPSec es un conjunto de extensiones al protocolo IP. Es un estándar de la IETF (Internet Engineering Task Force) definido en el RFC 2401. Provee servicios de seguridad como autenticación, integridad, control de acceso y confidencialidad. Es implementado en la capa de Red, de tal forma que su funcionamiento es completamente transparente al nivel de aplicaciones, y es mucho más poderoso. IPSec provee un mecanismo estándar, robusto y con posibilidades de expansión, para proveer seguridad al protocolo IP y protocolos de capas superiores.
Figura: Diagrama del Protocolo IPSec
La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su política de seguridad. Permite que cierto tráfico sea identificado para recibir el nivel de protección deseado.
Figura: Diagrama de funcionamiento de IPSec
IPSec está diseñado para proveer seguridad interoperable de alta calidad basada en criptografía, tanto para IPv4 como para IPv6 [RFC2401, 1998]. Está compuesto por dos protocolos de seguridad de tráfico: el Authentication Header (AH) y el Encapsulating Security Payload (ESP), además de protocolos y procedimientos para el manejo de llaves encriptadas. AH provee la prueba de los datos de origen en los paquetes recibidos, la integridad de los datos, y la protección contra-respuesta. ESP provee lo mismo que AH adicionando confidencialidad de datos y de flujo de tráfico limitado.
En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el mecanismo de AH se aplican algoritmos de autenticación, con la aplicación del mecanismo ESP, además de autenticación, también algoritmos de encriptación. El esquema de interoperabilidad se maneja a través de Asociaciones de Seguridad (SA), almacenadas en una base de datos.
Los parámetros que se negocian para establecer los canales seguros se denominan Dominio de Interpretación IPSec (Domain of Interpretation, DOI), bajo políticas pre-establecidas dentro de un esquema de funcionamiento estático con valores fijos y previamente establecidos, o bien, en un esquema de funcionamiento dinámico utilizando un protocolo de manejo de llaves, Interchange Key Exchange (IKE).
Figura II.10.9: Diagrama de la Arquitectura IPSec
II.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC
El diseño de IPSec plantea dos modos de funcionamiento para sus protocolos: el de transporte y el de túnel, la diferencia radica en la unidad que se esté protegiendo, en modo transporte se protege la carga útil IP (capa de transporte), en modo túnel se protegen paquetes IP (capa de red) y se pueden implementar tres combinaciones: AH en modo transporte, ESP en modo transporte, ESP en modo túnel (AH en modo túnel tiene el mismo efecto que en modo transporte).
El modo transporte se aplica a nivel de hosts. AH y ESP en este modo interceptarán los paquetes procedentes de la capa de transporte a la capa de red y aplicarán la seguridad que haya sido configurada. En la figura siguiente se aprecia un esquema de IPSec en modo transporte, si la política de seguridad define que los paquetes deben ser encriptados, se utiliza ESP en modo transporte, en caso que solo haya sido requerida autenticación, se utiliza AH en modo transporte.
Figura: Modos de funcionamiento de IPSEC
Los paquetes de la capa de transporte como TCP y UDP pasan a la capa de red, que agrega el encabezado IP y pasan a las capas inferiores. Cuando se habilita IPSec en modo transporte, los paquetes de la capa de transporte pasan al componente de IPSec (que es implementado como parte de la capa de red, en el caso de sistemas operativos), el componente de IPSec agrega los encabezados AH y/o ESP, y la capa de red agrega su encabezado IP.
En el caso que se apliquen ambos protocolos, primero debe aplicarse la cabecera de ESP y después de AH, para que la integridad de datos se aplique a la carga útil de ESP que contiene la carga útil de la capa de transporte.
Figura: Cabeceras de IPSec
El modo túnel se utiliza cuando la seguridad es aplicada por un dispositivo diferente al generador de los paquetes, como el caso de las VPN, o bien, cuando el paquete necesita ser asegurado hacia un punto seguro como destino y es diferente al destino final. Como se ilustra en la figura inferior, el flujo de tráfico es entre A y B, e IPSec puede aplicarse con una asociación de seguridad entre RA y RB, o bien una asociación de seguridad entre A y RB.
Figura: Flujo de paquetes
IPSec en modo túnel, tiene dos encabezados IP, interior y exterior. El encabezado interior es creado por el host y el encabezado exterior es agregado por el dispositivo que está proporcionando los servicios de seguridad. IPSec encapsula el paquete IP con los encabezados de IPSec y agrega un encabezado exterior de IP. IPSec también soporta túneles anidados, aunque no son recomend ados por lo complicado de su construcción, mantenimiento y consumo de recursos de red.
Figura II.10.8: Encabezados IP en modo tunel
2.8.1.4. OTRAS SOLUCIONES
La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están haciendo- a IPSec, otras posibilidades son:
2.8.1.4.1. Secure shell (SSH)
Protege conexiones TCP mediante criptografía (a nivel de OSI de presentación, no a nivel de transporte o inferiores). Protege por tanto, conexión a conexión.
2.8.1.4.2. CIPE – Crypto Encapsulation
Encapsula datagramas IP dentro de UDP. De momento sólo está disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso, bastante interesante.
2.8.1.4.3. RFC 1234: Tunneling IPX Traffic through Networks
Encapsulado de datagramas IPX (Novell Netware) sobre UDP.
2.8.1.4.4. RFC 2004: Minim al Encapsulation within IP
En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el datagrama original y le añade información para deshacer los cambios. El protocolo IP asociado es el 55.
2.9. TUNELES
PPTP permite a los usuarios y a las ISPs crear varios tipos de túneles,
basados en la capacidad del computador del usuario final y en el soporte de la
ISP para implementar PPTP. De esta manera, el computador del usuario final
determina el lugar de terminación del túnel, bien sea en su computador, si está
corriendo un cliente PPTP, o en el servidor de acceso remoto de la ISP, si su
computador solo soporta PPP y no PPTP. En este segundo caso el servidor de
acceso de la ISP debe soportar PPTP, a diferencia del primer caso, donde la
ISP no se involucra en ningún proceso de entunelamiento de datos.
Dado lo anterior, los túneles se pueden dividir en dos clases, voluntarios y
permanentes.
Los túneles voluntarios son creados por requerimiento de un usuario y para
un uso específico. Los túneles permanentes son creados automáticamente
sin la acción de un usuario y no le permite escoger ningún tipo de privilegio.
En los túneles voluntarios, la configuración del mismo depende del usuario final,
cuando se usan túneles de este tipo, el usuario puede simultáneamente acceder a
Internet y abrir un túnel seguro hacia el servidor PPTP. En este caso el cliente
PPTP reside en el computador del usuario. Los túneles voluntarios proveen más
privacidad e integridad de los datos que un túnel permanente. La figura 5.3
muestra un escenario de túneles voluntarios creados desde dos clientes
distintos a un mismo servidor PPTP a través de Internet.
Los túneles permanentes son creados sin el consentimiento del usuario, por lo
tanto, son transparentes para el mismo. El cliente PPTP reside en el servidor de
acceso remoto de la ISP al que se conectan los usuarios finales. Todo el
tráfico originado desde el computador del usuario final es reenviado por el RAS
sobre el túnel PPTP. En este caso la conexión del usuario se limita solo a la
utilización del túnel PPTP, no hay acceso a la red pública (Internet) sobre la cual se
establece el túnel. Un túnel permanente PPTP permite que múltiples conexiones
sean transportadas sobre el mismo túnel. La figura 5.4 muestra un túnel
permanente entre un RAS con capacidad para encapsular sesiones PPP usando
PPTP y por medio del cual van multiplexadas dos sesiones de clientes A y B.
Dado que los túneles permanentes tienen predeterminados sus puntos finales y
que el usuario no puede acceder a Internet, estos túneles ofrecen mejor
control de acceso que los túneles voluntarios. Otra ventaja de los túneles
permanentes, es que reducen el ancho de banda utilizado, ya que múltiples
sesiones pueden ser transportadas sobre un único túnel, a diferencia de los
túneles voluntarios donde cada sesión tiene que trabajar con cabeceras
independientes que ocupan un ancho de banda.
Una desventaja de los túneles permanentes es que la conexión inicial, es decir,
entre el usuario final y el servidor de acceso que esta actuando como cliente
PPTP, no hace parte del túnel, por lo tanto, puede ser vulnerable a un ataque.
Los túneles permanentes se dividen en estáticos y dinámicos. Los túneles estáticos
son aquellos que requieren equipos dedicados y su configuración es manual. En
este tipo de túneles el usuario final tiene a su disposición varios RAS, los cuales
tienen establecidos diferentes túneles a diferentes servidores PPTP. Por ejemplo,
si un usuario necesita hacer una VPN a su oficina regional ubicada en la ciudad
A tiene que marcar un número X, pero si ese mismo usuario quiere hacer una
VPN con su oficina en una ciudad B, tiene que marcar un número Y.
Los túneles permanentes dinámicos usan el nombre del usuario para determinar el
túnel asociado con él, es decir que se encargan de aprovechar mejor los recursos
y el usuario puede marcar al mismo número para establecer túneles a
diferentes sitios. La información asociada con cada usuario puede residir en el
servidor Radius en el cual ese servidor de acceso esta autenticando todas las
conexiones.
Claramente se observa que los túneles permanentes estáticos son más costosos que
los dinámicos, ya que involucran un servidor de acceso por cada destino que un
cliente VPN quiera alcanzar.
2.10.1. MODELOS DE ENTUNELAMIENTO
En las VPN los sitios de terminación (terminadores) de los túneles son
aquellos donde se toman las decisiones de autenticación y las políticas de
control de acceso y donde los servicios de seguridad son negociados y otorgados.
En la práctica hay tres tipos posibles de servicios de seguridad que dependen de la
ubicación de los terminadores. El primer caso es aquel donde el terminador está en
el host mismo, donde los datos se originan y terminan. En el segundo caso el
terminador está en el gateway de la LAN corporativa donde todo el tráfico
converge en un solo enlace. El tercer caso es aquel donde el terminador está
localizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) de
la ISP.
Dado que un túnel VPN se compone de dos terminadores, se pueden obtener seis
tipos de modelos de seguridad derivados de la posible combinación de las
diferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to-LAN,
LAN-to-POP y POP-to-POP, en la figura 3.11 se notan cada uno de ellos.
En el modelo End-to-End el túnel va desde un extremo hasta el otro del sistema.
Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y
en el destino de la comunicación. Este escenario presenta el más alto nivel de
seguridad dado que los datos siempre están seguros en todos los segmentos de la
red, bien sea pública o privada. Sin embargo, el total de túneles que pueden
haber en una empresa grande, dificulta el manejo de los servicios de seguridad
requeridos por dichos host. Este modelo de seguridad es comúnmente visto en
implementaciones de capas superiores, como es el caso de SSL (Secure Sockets
Layer). Tales implementaciones no son consideradas como modelos de
entunelamiento.
En el caso de LAN-to-POP el túnel comienza en un dispositivo VPN localizado en la
frontera de la red corporativa y termina en un dispositivo VPN el cual se encuentra en
un POP de la ISP. En la actualidad prácticamente este modelo de entunelamiento no
es aplicado.
Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizados en la
propia red de la ISP. Por lo tanto los servicios de seguridad son completamente
transparentes para los usuarios finales del túnel. Este modelo permite a los
proveedores de servicio implementar valores agregados a los clientes sin que éstos
alteren la infraestructura de sus redes.
De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los más
extensamente usados en las soluciones VPN. Sin embargo, el POP-to-POP o modelo
de seguridad basado en red, ha cobrado vigencia últimamente dado que permite a las
ISPs implementar servicios de valores agregados para sus clientes.
En el modelo End-to-LAN, el túnel comienza en un host y termina en el
perímetro de una LAN en la cual reside el host destino. Un dispositivo VPN
localizado en el perímetro de la red es el responsable de la negociación y
obtención de los servicios de seguridad de los host remotos. De esta manera, la
seguridad de un gran número de dispositivos en una red corporativa puede ser
manejada en un único punto, facilitando así la escalabilidad del mismo. Dado que la
red corporativa es considerada un sitio seguro, comúnmente no hay necesidad de
encriptar la información que transita dentro de ella. La mayoría de implementaciones
de acceso remoto VPN trabajan con este modelo.
El modelo de entunelamiento End-to-POP es aquel en el cual un host remoto termina
el túnel en un POP de la ISP. Un dispositivo VPN o un equipo con funciones de
terminador VPN y que se encuentra en la red de la ISP es el responsable por la
negociación y concesión de los servicios de seguridad. La entrega de los datos desde
el POP hasta el host destino es por lo general asegurada con infraestructura física,
la cual separa el tráfico del resto de la red pública.
Por lo general en este caso el ISP administra los permisos y controla el acceso según
las directivas de los administradores de red de las empresas clientes. La arquitectura
de acceso remoto VPN también usa este modelo.
En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situados en la
frontera de la red corporativa para negociar y conceder servicios de
seguridad. De esta manera, las funciones de seguridad no necesitan ser implementadas
en los hosts finales donde los datos son generados y recibidos. La
implementación de los servicios de seguridad es completamente transparente para los
hosts. Esta implementación reduce drásticamente la complejidad en el manejo de las
políticas de seguridad. La arquitectura Intranet VPN encaja en este modelo.
2.11. PAQUETE DE ENCRIPTACIÓN IP
2.11.1. CAPAS Y CIFRADO DE RED
Existen diversos lugares en donde el encriptación se puede construir dentro de una infraestructura de red existente, correspondientemente a los protocolos de las diferentes capas.
2.11.1.1. En el nivel de Red: Los paquetes que viajan entre los hosts en la red son encriptados. El motor de encriptación se coloca cerca del driver que envía y recibe los paquetes. Una implementación se encuentra en CIPE.
2.10.1.2. En el nivel de Socket: Una conexión lógica entre los programas que funcionan en diversos hosts (conexión TCP; capa de transporte o de sesión en OSI) es encriptada. El motor de encriptación intercepta o procura conexiones. SSH y el SSL trabajan esta manera.
2.10.1.3. En el nivel de Aplicación: Las aplicaciones contienen su propio motor del cifrado y cifran los datos ellos mismos. El mejor ejemplo sabido es PGP para cifrar correo.
El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que puede ser hecho para trabajar de manera transparente, sin ningún cambio a la aplicación software. En el caso de los paquetes de encriptación IP, este puede ser construido dentro de los routers IP que actúan generalmente como "cajas negras" entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los routers. Un router de encriptación se ve de manera tan exacta como un host que no cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada así en lugares donde no sean factibles los cambios de software a niveles más altos.
El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en un nivel más alto, por ejemplo. usos de Troyanos, bug exploit dentro del software del sistema o administradores pillos "sniffers" en los dispositivos terminales.
III. PROBLEMA
La Empresa de Transporte “El Cortijo” se encuentra ubicado en la ciudad de Trujillo, cuenta con dos sucursales, una en la ciudad de Chiclayo y otra en la ciudad de Cajamarca. Dichas dependencias manejan la información de manera individual y aislada de la empresa matriz, y para el proceso de sus datos no consideran las aplicaciones cliente servidor - usadas actualmente por la empresa central- sino que más bien, emplean una aplicación antiguamente desarrollada por la sede principal.
De esta manera, el Sistema Integrado de la empresa demanda mensualmente gastos necesarios para centralizar toda la información en Trujillo, debido a que existen áreas y procesos que requieren la data completa de la empresa central y sus dependencias-, por citar las áreas de contabilidad, secretaria y finanzas, etc.
IV. SOLUCION
Debido a esto y a la necesidad de tener un control de las actividades de sus sucursales surge la necesidad de establecer una conexión (un medio de transmisión seguro) entre la sede central y sus sucursales, para que se pueda utilizar las aplicaciones cliente - servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos que generen el mantener la información de la empresa de forma separada y descentralizada.
V. JUSTIFICACION
Con la implementación de la conexión se podrá utilizar las aplicaciones cliente-servidor entre dichas dependencias evitando con ello un doble trabajo y el incurrir en sobrecostos, y así no cometer gastos innecesarios en la demora de la información.
VI. DISEÑO EN PACKET TRACER
VI.1. ESQUEMA DE RED SUCURSAL TRUJILLOVI.2. ESQUEMA DE RED SUCURSAL CORNIJOVI.3. ESQUEMA DE RED SUCURSAL PORVENIR
VI.4. ESQUEMA DE LA SOLUCIÓN CON VPN
VII. COSTO DE DISEÑO PROPUESTO
VIII. CONCLUSIONES
Actualmente las VPN ofrecen un servicio ventajoso para las empresas que quieran tener una comunicación segura con sus proveedores, clientes u otros, de forma segura, sin necesidad de implantar una red de comunicación costosa que permita lo mismo.
Además esta solución VPN nos permitirá no solo crear la interconexión con dos sucursales sino que es escalable, es decir nos permitirá crear conexiones virtuales con otros puntos cuando la empresa lo requiera, generando solo un gasto de mínimo con el PSI de la localidad en la que esta destinados la interconexión y un CPU con mínimas características
Por último las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no está bien definido pueden existir consecuencias serias.
IX RECOMENDACIONES
Cabe desatacar que algunas aplicaciones que necesitan de procesos bastantes complejos se tienen que correr en maquinas solamente dedicadas a esas operaciones ya que como son procesos bastantes pesados como calculo de planillas, requieren ser procesadas por maquinas potentes y dedicadas a esta labor para que no se sienta algún retardo o problema en la interconexión.
Otro punto a tener en cuenta es el proveedor de servicio de Internet a utilizar, si bien es cierto existen varios proveedores que nos pueden proporcionar este servicio, algunos que nos proporcionan un buen servicio son realmente muy caros para mantener en una empresa relativamente pequeña, y los que ofrecen una interconexión a Internet con precios módicos, su servicio es muy inestable y en algunos casos con interrupciones en el servicio de manera constante haciendo imposible una conexión VPN cuando se corren procesos largos, es por eso necesario la constante evaluación de los proveedores de servicio de Internet.
