DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS ...

DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS TRANSMITIDOS ENTRE LA SEDE PRINCIPAL EN BOGOTÁ D.C. Y LA

PLANTA DE PRODUCCIÓN UBICADA EN LA CALERA CUNDINAMARCA DE LA EMPRESA MANANTIALES DE LOS ANDES S.A.S

PRESENTADO POR:

CESAR CAMILO FAJARDO ALFONSO

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMAS

BOGOTÁ

2021

DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS TRANSMITIDOS ENTRE LA SEDE PRINCIPAL EN BOGOTÁ D.C. Y LA

PLANTA DE PRODUCCIÓN UBICADA EN LA CALERA CUNDINAMARCA DE LA EMPRESA MANANTIALES DE LOS ANDES S.A.S

PRESENTADO POR:

CESAR CAMILO FAJARDO ALFONSO

SEMINARIO DE PROFUNDIZACIÓN PARA OPTAR AL TÍTULO

DE INGENIERO DE SISTEMAS

VoBo. Enero 22 de 2021, 4:50 pm.

ASESOR: IVÁN MÉNDEZ ALVARADO

INGENIERO DE SISTEMAS

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMAS

BOGOTÁ

2021

Dedicatoria.

Este trabajo está dedicado a mis padres por su gran amor, apoyo incondicional y paciencia desmedida. A mi esposa e hijo por su compañía, sacrificios, amor y constante motivación, para no desfallecer en el alcance de este objetivo a nivel profesional. Por último, a Dios que, con su amor infinito, me dio la vida, la oportunidad de estudiar y la sabiduría para alcanzar este propósito personal.

TABLA DE CONTENIDO.

CAPITULO I. PLANTEAMIENTO DEL PROBLEMA. ........................................... 10

1. PLANTEAMIENTO GENERAL. ........................................................................... 10 1.1. Antecedentes. .................................................................................... 10 1.1.1. Descripción del problema. .................................................................. 14

2. JUSTIFICACIÓN. ........................................................................................... 16 3. OBJETIVOS. ................................................................................................. 18

3.1. Objetivo General. ............................................................................... 18 3.2. Objetivos Específicos. ........................................................................ 18

4. MARCO TEÓRICO ......................................................................................... 19 4.1. Tecnología VPN. ................................................................................ 19

4.1.1. Redes privadas virtuales. ................................................................ 19 4.1.2. Beneficios de VPN. ......................................................................... 20 4.1.3. VPN de sitio a sitio y acceso remoto. .............................................. 21 4.1.4. VPN de empresas y proveedores de servicios. ............................... 22

4.2. Tipos de VPN. .................................................................................... 23 4.2.1. VPN de acceso remoto. .................................................................. 23 4.2.2. SSL VPNs. ...................................................................................... 25 4.2.3. VPN IPsec de sitio a sitio. ............................................................... 26 4.2.4. GRE sobre Ipsec. ........................................................................... 27 4.2.5. VPN dinámicas multipunto. ............................................................. 29 4.2.6. Interfaz virtual del túnel IPsec. ........................................................ 31 4.2.7. Proveedor de servicios VPN MPLS. ................................................ 32

CAPITULO II. METODOLOGÍA. ..................................................................... 34

CAPITULO III. RESULTADOS Y DISCUSIÓN. ............................................... 36

5. DISEÑO INGENIERIL. ............................................................................... 36 5.1. Identificar si la topología física y lógica de la red LAN, de la sede principal y planta de envasado cumplen los estándares y requerimientos para el diseño de la VPN sitio a sitio. .................................................................... 36 5.2. Seleccionar de forma correcta (relación costo -beneficio) de los dispositivos requeridos en la red de área local (LAN) que satisfaga la VPN sitio a sitio a diseñar...................................................................................... 39 5.3. Establecer los parámetros de seguridad que se aplicaran en la red LAN y en la VPN de acuerdo con las políticas de seguridad de la empresa. ........ 39 5.4. Entregar propuesta del diseño de la VPN sitio a sitio. ........................ 62

CONCLUSIONES. ............................................................................................ 63 REFERENCIAS BIBLIOGRÁFICAS. ................................................................. 64 GLOSARIO. ...................................................................................................... 65

LISTA DE FIGURAS.

FIGURA 1. TIPOS DE VPN .................................................................................. 20

FIGURA 2. VPN SITIO A SITIO. .......................................................................... 21

FIGURA 3.VPN DE ACCESO REMOTO. ............................................................. 22

FIGURA 4. VPN EMPRESARIAL VS VPN PROVEEDOR DE SERVICIOS. ........ 23

FIGURA 5. CONEXIÓN VPN CON CLIENTE Y SIN CLIENTE. ........................... 24

FIGURA 6.PUERTA DE ENLACE VPN. ............................................................... 26

FIGURA 7. PROTOCOLO GRE. .......................................................................... 27

FIGURA 8. TOPOLOGÍA TÚNEL GRE. ............................................................... 28

FIGURA 9.CAPTURA DE PANTALLA DE WIRESHARK DE UN PAQUETE OSPF

HELLO ENVIADO UTILIZANDO GRE SOBRE IPSEC. ................................. 29

FIGURA 10. TÚNELES DE CONCENTRADOR A DISPOSITIVO RADIAL DE

DMVPN. ........................................................................................................ 30

FIGURA 11.TÚNELES DE HUB A SPOKE Y ENTRE SPOKE DE DMVPN. ........ 31

FIGURA 12. INTERFAZ VIRTUAL DEL TÚNEL IPSEC. ...................................... 32

FIGURA 13. PROVEEDOR DE SERVICIOS QUE OFRECE VPN MPLS DE CAPA

2 Y CAPA 3. .................................................................................................. 33

FIGURA 14. ROUTER CISCO WRVS4400N WIRELESS-N ................................ 37

FIGURA 15. SWITCH HP 1405. ........................................................................... 37

FIGURA 16. TOPOLOGÍA SEDE PRINCIPAL MANANTIALES DE LOS ANDES

S.A.S. ........................................................................................................... 38

FIGURA 17.TOPOLOGÍA DE LA EMPRESA ....................................................... 44

FIGURA 18.ESTADO DE LA INTERFAZ DE TÚNEL EN EL ROUTER PRINCIPAL.

..................................................................................................................... 47

FIGURA 19. CONFIGURACIÓN ORIGEN Y DESTINO DEL TÚNEL EN EL

ROUTER PRINCIPAL ................................................................................... 48

FIGURA 20.CONFIGURACIÓN DEL ROUTING OSPF ........................................ 49

FIGURA 21.CONFIGURACIÓN DEL MÓDULO SECURITYK9 EN EL ROUTER

PRINCIPAL ................................................................................................... 51

FIGURA 22. PARÁMETROS IPSEC CONFIGURADOS EN EL ROUTER

PRINCIPAL ................................................................................................... 53

FIGURA 23.PARÁMETROS IPSEC CONFIGURADOS EN EL ROUTER PLANTA

..................................................................................................................... 54

FIGURA 24.MITIGACIÓN DE ATAQUES POR SATURACIÓN DE TABLA DE

DIRECCIONES MAC. ................................................................................... 55

FIGURA 25. CONFIGURACIÓN DE SEGURIDAD DEL PUERTO FAST

ETHERNET 0/1 DEL SWPRINCIPAL. .......................................................... 56

FIGURA 26.CONFIGURACIÓN DE SEGURIDAD DEL PUERTO FAST

ETHERNET 0/2 DEL SWPRINCIPAL. .......................................................... 57

FIGURA 27. DIRECCIÓN MAC DEL PC SERVIDOR. .......................................... 58

FIGURA 28. CONFIGURACIÓN DE LAS DIRECCIONES MAC EN EL SWITCH

SWPRINCIPAL. ............................................................................................ 59

FIGURA 29.DISEÑO VPN SITIO A SITIO DE LA EMPRESA MANANTIALES DE

LOS ANDES S.A.S ....................................................................................... 62

LISTA DE TABLAS.

TABLA 1.RELACIÓN PHVA Y SGSI .................................................................... 11

TABLA 2. BENEFICIOS DE LAS VPN. ................................................................ 20

TABLA 3. COMPARACIÓN DE LAS IMPLEMENTACIONES DE ACCESO

REMOTO IPSEC Y SSL. .............................................................................. 25

TABLA 4. ASIGNACIÓN DE DIRECCIONES. ...................................................... 44

TABLA 5.PARÁMETROS DE POLÍTICA DE FASE 1 DE ISAKMP....................... 49

TABLA 6.PARÁMETROS DE POLÍTICA DE FASE 2 DE IPSEC. ........................ 50

TABLA 7. ASIGNACIÓN DE DIRECCIONES MAC EN LA CONFIGURACIÓN DE

SEGURIDAD DE PUERTOS DE LOS SWITCH. ........................................... 58

TABLA 7. MODOS DE VIOLACIÓN DE SEGURIDAD. ........................................ 59

RESUMEN.

El presente trabajo de investigación surgió a partir de la necesidad de proteger los datos sensibles de la empresa Manantiales de los Andes S.A.S, entre la sede principal en Bogotá y la planta de producción en La Calera Cundinamarca, por tal motivo, se propuso diseñar una VPN sitio a sitio, basado en las infraestructuras de comunicaciones de red IP. La metodología utilizada es de carácter empírico analítico porque la recopilación, análisis e interpretación de la información es de carácter tecnológico, dado que, busca realizar mejoras en la infraestructura de TI. Por tal razón, se realizó una VPN empleando el protocolo IPsec, apoyados en el software de la empresa Cisco Packet Tracer, el cual permitió realizar una simulación de la topología de la empresa, configurando los dispositivos según las políticas de seguridad.

Por consiguiente, partiendo del trabajo realizado, se detectó la necesidad de cambiar el switch HP por el switch Cisco, al igual que cambiar el router de la sede principal para poder configurar la VPN propuesta en el diseño. Así mismo, al hacer el cambio de los anteriores dispositivos, la empresa podrá configurar VPN de acceso remoto para que los empleados puedan acceder a la información de manera segura, desde un lugar distinto del lugar de trabajo.

Palabras clave. IPSec, Seguridad informática, GRE, red LAN, Cisco

ABSTRACT.

The present research work arose from the need to protect the sensitive data of the company Manantiales de los Andes SAS, between the main headquarters in Bogotá and the production plant in La Calera Cundinamarca, for this reason, it was proposed to design a VPN site-to-site, based on IP network communication infrastructures. The methodology used is of an empirical analytical nature because the collection, analysis and interpretation of the information is of a technological nature since it seeks to make improvements in the IT infrastructure. For this reason, a VPN was carried out using the IPsec protocol, supported by the Cisco Packet Tracer company software, which is performing a simulation of the company's topology, configuring the devices according to security policies. Consequently, based on the work carried out, the need to change the HP switch for the Cisco switch was detected, as well as changing the router at the headquarters in order to configure the VPN proposed in the design. Likewise, by making the change from the previous devices, the company will be able to configure remote access VPN so that employees can access the information in a secure way, from a place other than the workplace.

Keywords

IPSec, IT Security, GRE, LAN, Cisco.

Capitulo I. PLANTEAMIENTO DEL PROBLEMA. 1. Planteamiento general. 1.1. Antecedentes. La seguridad de la información como la seguridad informática, en las dos últimas décadas se viene constituyendo como un factor muy importante en las organizaciones; estas hacen uso de infraestructuras de tecnologías de la información, al igual que, las redes para el tránsito de los datos su procesamiento y almacenamiento. Adicional a lo anterior, muchas organizaciones requieren que los datos a transmitir se hagan a través de interconexiones, que en muchas ocasiones no permiten proteger la información frente a los ciber ataques, vulnerabilidades y amenazas que cada día son más tecnificados. Por ende, a pesar de que muchas empresas no invierten en la seguridad de su información, se ha evidenciado con más ahínco, la importancia de invertir en seguridad informática; convirtiéndose en una necesidad que posibilita ser proactivos; garantizando la continuidad del negocio ante un incidente, un ataque o una catástrofe. Lo anterior, ha conllevado a que empresas fabricantes de dispositivos de red y organismos normalizadores como ISO, IEEE, ANSI, entre otros, generen estándares y metodologías que permiten implementar estrategias y mecanismos de seguridad, para mitigar los riesgos que se producen producto de las vulnerabilidades que existen en las redes que hacen parte de las organizaciones. Actualmente, los expertos en ciberseguridad para contrarrestar las vulnerabilidades y las amenazas que producen riesgos en los activos de información por ataques de los ciberdelincuentes aplican normas y estándares internacionales como: ISO 27001 y 27002. Para llevar a cabo la propuesta en la empresa Manantiales de los Andes, es fundamental tener en cuenta los planteamientos de la norma ISO 27001, es un modelo que especifica los requisitos para la implementación, operación y mejora de un sistema de gestión de la seguridad de la información (SGSI). La adopción de un SGSI debería ser una decisión estratégica para todas las empresas, esta norma se basa en procesos para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una empresa haciendo énfasis en: a) Comprender los requisitos de seguridad de la información del negocio, la necesidad de establecer la política y objetivos en relación con la seguridad de la información.

b) Implementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización. c) El seguimiento y revisión del desempeño y eficacia del SGSI. d) Mejora continua del SGSI basada en la medición de objetivos. La norma en cuestión adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA). En la tabla que se relaciona a continuación, se describe la relación entre la metodología PHVA y SGSI.

Tabla 1.Relación PHVA y SGSI

Planificar (establecer el SGSI)

Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización.

Hacer (implementar y operar el SGSI)

Implementar y operar la política, los controles, procesos y procedimientos del SGSI.

Verificar (hacer seguimiento y revisar el SGSI)

Evaluar donde sea aplicable, medir el desempeño del proceso contra la política, los objetivos de seguridad, la experiencia práctica, y reportar los resultados a la dirección, para su revisión.

Actuar (mantener y mejorar el SGSI)

Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI. Fuente: Norma ISO 27001: 2013

Fases de un SGSI basado en la norma ISO 27001

Análisis y evaluación de riesgos. Se identifican y analizan las principales amenazas, que son cualquier evento que pueda afectar los activos de información, para establecer una evaluación y planificación de dichos riesgos. La implementación de controles. Con el objetivo de que cada riesgo identificado previamente quede cubierto y pueda ser auditable, la norma establece hasta 114 puntos de control que están divididos en Políticas de seguridad de la información y Controles operacionales. Definición de un plan de tratamiento de los riesgos o esquema de mejora, se tienen en cuenta las distintas consecuencias potenciales de esos riesgos, afrontando el riesgo de tres formas: eliminarlo, mitigarlo o trasladarlo.

El alcance de la gestión, dependiendo del tamaño de la organización se determina como se debe implantar el SGSI, si por las líneas de negocio o por macroprocesos. Contexto de organización, se determinan los problemas internos y externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar. Partes interesadas, se define un contexto de la organización y se comprenden las necesidades y expectativas de todas las partes interesadas, como: proveedores de servicios de información y fuerzas de seguridad del estado.

Fijación y medición de objetivos, los cuales deben ser medibles, y los empleados deben conocerlos para lograr el objetivo común. El proceso documental: la organización debe tener un proceso de documentación para gestionar toda la información interna (políticas diversas, procedimientos) y externa (correspondencia, documentación de equipos). Auditorías internas y revisión por la Dirección. Se deben llevar cada cierto tiempo existen dos tipos la de gestión, Donde se supervisa el liderazgo, el contexto, etc. y la de Controles. En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos. En el plan de la auditoría interna se define las áreas a auditar, se debe tener en cuenta las auditorias anteriores, los métodos y alcance de la auditoria. Controles. En este caso se auditan los 113 controles, normalmente se realiza por personal más experto y puede realizarse en años distintos.

Debo señalar ahora, que para continuar con el desarrollo de esta propuesta, también se documentó la norma ISO/IEC 27002 tecnología de la información técnicas de seguridad código de practica para la gestión de la seguridad de la información, esta es un código de buenas prácticas para la gestión, plantea las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información, describe los aspectos a analizar para garantizar la seguridad de la información y especifica los controles recomendados a implantar en las organizaciones. Se describen once dominios principales: Políticas de seguridad: Hace referencia a las directrices y conjunto de políticas para la seguridad de la información. Organización de la seguridad de la información: Aborda la organización interna, asignación de responsabilidades relacionadas a la seguridad de la información, segregación de funciones y contacto con las autoridades.

Gestión de activos: Se define el responsable de los activos de la información, quién debe hacer un inventario de estos y garantizar la seguridad de estos. Además, se debe plantear las reglas de cómo utilizar los activos correctamente; al igual que clasificar la información para establecer el grado esperado de protección, haciendo un etiquetado de estos activos. Seguridad de los recursos humanos: Especifica que antes de la contratación laboral, es conveniente hacer la selección del personal, verificando antecedentes, haciendo énfasis en la responsabilidad con la seguridad de la información. Asimismo, se debe tener presente que el personal elegido debe ser apto para las funciones a contratar, definiendo y documentando las respectivas responsabilidades de los empleados, contratistas y usuarios por la seguridad. También los empleados y contratistas deben firmar los términos y condiciones de su contrato laboral, donde se establecen las responsabilidades con relación a la seguridad de la información, la dirección debe exigir que los empleados cumplan con los procedimientos de seguridad establecidos y realizar las respectivas capacitaciones regulares sobre las políticas y los procedimientos de la organización. Seguridad física del entorno: Se establecen áreas seguras, en las cuales se evita el acceso físico no autorizado, el daño a las instalaciones o a la información de la organización. Utilizando un perímetro de seguridad física como: paredes y puertas con acceso controlado. Y esto no es todo: se debe tener una protección contra amenazas externas y ambientales, para evitar incendios, inundaciones, manifestaciones sociales. Igualmente, se debe controlar o aislar instalaciones que estén cerca de áreas de carga, despacho y acceso público para evitar el acceso no autorizado. Se debe tener seguridad en los equipos los cuales deben estar protegidos contra amenazas físicas y naturales, y se les debe hacer un adecuado mantenimiento. Gestión de comunicaciones y operaciones: El objetivo es asegurar la operación correcta y segura de los servicios de procesamiento de información, realizando una documentación de los procedimientos de operación, teniendo una gestión del cambio del sistema operativo y el software de aplicación. A esto se suma, que se debe contar con una distribución de funciones para reducir las oportunidades de modificación no autorizada o no intencional haciendo una separación de las instalaciones de desarrollo, ensayo y operación. Control de acceso: Como su nombre lo indica su objetivo es controlar el acceso a la información, creando y documentando la política de control de acceso, estableciendo una gestión de acceso y registro de usuarios, gestionando los privilegios de cada uno de estos, con el propósito de restringir y controlar la asignación de estos gestionando las respectivas contraseñas. Es conveniente restringir el acceso a las redes compartidas de la organización.

Adquisición, desarrollo y mantenimiento de sistemas de información: se hace un análisis y especificación de los requisitos de seguridad al momento de adquirir o hacerle una mejora a un sistema de información, se debe hacer una validación de los datos de entrada para que sean correctos y apropiados, garantizando y protegiendo la seguridad de los archivos. Gestión de los incidentes de la seguridad de la información: se deben comunicar los eventos y debilidades de seguridad de la información para tomar acciones correctivas oportunamente, estableciendo los responsables y procedimientos para llevar a cabo una respuesta rápida. Es fundamental establecer un procedimiento para recoger la evidencia de la situación presenta. Gestión de la continuidad del negocio: el objetivo es contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación adecuada. Cumplimiento. Busca asegurar el cumplimiento de los derechos de propiedad intelectual y evitar el incumplimiento de los requisitos legales y de cualquier requisito de seguridad de los sistemas de información. Actualmente las organizaciones y el sistema empresarial en general, hacen uso de los estándares ISO 27001 para aplicar los requerimientos y lineamientos que esta norma exige con el objeto de establecer, implementar, operar, verificar y mejorar un SGSI que permita gestionar los riesgos que se pueden producir en los activos de información de las organizaciones; y el estándar ISO 27002 como un referente de buenas prácticas que conlleven a través de análisis de GAP y las auditorías internas a responder en las empresas 3 grandes preguntas como son ¿dónde estamos?, ¿dónde queremos estar? y ¿qué diferencia hay entre el sistema actual y la situación deseada?. Estas preguntas al ser respondidas conducen a alinear la planeación estratégica de la organización y la prospectiva con respecto a la seguridad de la información y la seguridad informática. Siendo consecuente con lo anterior la empresa Manantiales de los Andes S.A.S, en su afán de ser proactivo frente al tema de la seguridad informática y proteger la información sensible al transmitirla entre la sede principal y la planta de producción de La Calera; propone diseñar una VPN para comunicar la información de forma segura entre las dos sedes mencionadas anteriormente.

1.1.1. Descripción del problema. La empresa Manantiales de los Andes S.A.S, se dedica a la venta de agua de manantial embotellada, su planta de producción está ubicada en la vereda Mundo Nuevo en La Calera Cundinamarca, donde tienen 2 computadoras, una de estas computadoras es utilizada para intercambiar información con la sede principal ubicada en Bogotá, donde hay 6 computadoras en 3 oficinas.

El intercambio de información es muy importante para la empresa, se hace utilizando escritorio remoto, por consiguiente, esta información confidencial puede ser objeto de delitos informáticos como: acceso abusivo a un sistema informático, interceptación de datos informáticos y otros más, por lo cual, se requiere una adecuada protección de los datos, que cumpla con los 4 principios de la seguridad informática: confiabilidad, integridad, disponibilidad y autenticación. Para esto, se diseñará una red privada virtual (VPN) sitio a sitio, cuyo objetivo es proteger esta información, mediante el uso de equipos exclusivos y cifrado de la información, lo que hace necesario identificar cual tecnología se adapta mejor a los requerimientos de la empresa. Situación actual del manejo de información de la sede principal y la planta de producción. Actualmente, la empresa no dispone de una red que certifique todos los principios de la seguridad informática: confiabilidad, integridad, disponibilidad y autenticación; para la comunicación de los datos entre la sede principal y la planta de producción de la empresa Manantiales de los Andes S.A.S. Esta comunicación se hace utilizando una computadora con el servicio de internet de la planta de producción y mediante la aplicación conexión a equipo remoto (Remote Desktop Protocol) (RDP), integrado por defecto en el sistema operativo Windows 10 Pro de este equipo, al cual se le habilito el servicio de escritorio remoto y se le configuro la IP y datos de autenticación de la computadora de la sede principal a la cual se va a conectar, este programa permite controlar una computadora que tiene instalado el sistema operativo Windows 10 Pro, como si estuviéramos físicamente delante de esta.

Entre las ventajas de utilizar el escritorio remoto, encontramos: es una opción fácil de configurar y se tiene acceso a toda la información y aplicaciones de la computadora remota sin necesidad de trasladarnos, no se necesitan equipos específicos y costosos. Por otra parte, las desventajas son de seguridad, no se sabe cuándo un usuario no autorizado está controlando la computadora configurada para escritorio remoto y la computadora que se controla mediante RDP sólo puede ser empleada por el usuario remoto, por tanto, la computadora de la oficina no se puede utilizar mientras la estén controlando, de modo que, se deben utilizar dos equipos, desaprovechando los recursos con los que cuenta la empresa. Además, las dos computadoras deben tener siempre el servicio de internet; contar con un usuario y contraseña robusta para evitar que cualquier usuario ingrese al equipo sin autorización. Otra dificultad de seguridad es que la configuración inicio de sesión de escritorio remoto, los datos de autenticación usuario y contraseña, están guardados de manera predeterminadas lo que permite establecer la conexión a cualquier persona que utilice la computadora, lo que genera riesgos de que otra persona sin autorización ingrese o copie esta información para que ingrese desde

otros equipos. Añádase a esto, existe un aumento de Malware que vulnera este tipo de servicio poniendo en riesgo la información. La mejor manera para tener acceso a los datos de la empresa desde la planta de producción de una manera segura es utilizando las Redes Virtuales Privadas (VPN). Este tipo de acceso a la información es protegido al viajar por un canal seguro y cifrado, por lo tanto, evita o minimiza el riesgo de conocer o hurtar la información, incluso de accesos no autorizados a los equipos al utilizar equipos específicos. ¿Cómo diseñar una VPN sitio a sitio, que permita proteger el tránsito de los datos sensibles de la empresa Manantiales de los Andes S.A.S entre la sede principal ubicada en Bogotá y la planta de producción ubicada en la vereda Mundo Nuevo de La Calera Cundinamarca? 2. Justificación. En estos tiempos las empresas han tenido la necesidad de conectarse en red para mejorar sus procesos y compartir información con clientes y empleados distantes, esto se evidencia cuando las organizaciones crean sucursales o la planta de producción está distante de la sede principal, por tanto, han tenido que conectarse a internet para mejorar su competitividad y aumentar sus clientes, pero se sabe, que para hacer esta conexión entre computadoras a distancia se deben abrir puertos de conexión, lo que tiene como consecuencia la posibilidad que se ejecuten delitos informáticos sobre esta red, por personas mal intencionadas queriendo tener acceso a la información importante para la empresa, como los proveedores estratégicos, los costos de producción e información de los clientes o también la destrucción de esta información. Por este motivo, las políticas de seguridad, el diseño, la administración y vigilancia de la red, lo debe desarrollar personal especializado en seguridad informática, el cual va a tener en cuenta posibles ataques intencionales o no de los usuarios autorizados a emplear la red de la empresa, los cuales pueden generar vulnerabilidades o daños a esta. Para evitar este peligro se diseñará una Red Virtual Privada (VPN) entre la planta de producción ubicada en la vereda Mundo Nuevo de La Calera Cundinamarca y la sede principal ubicada en Bogotá de la empresa Manantiales de los Andes S.A.S. Entre los alcances del diseño de la VPN se proyecta entre otras actividades, seleccionar las características físicas, el factor de forma comercial y las especificaciones tecnológicas del Gateway que sea ideal para la empresa Manantiales de los Andes S.A.S. Igualmente, realizar un levantamiento de información que permita diagnosticar si la infraestructura tecnológica que actualmente posee la empresa es la óptima y compatible con la propuesta de diseño que se va a elaborar. Además de esto, se considerará la topología física y lógica de la red en la sede principal de la organización y el Core de la sede ubicada en la Calera para su

respectiva interconexión. También se establecerá como los usuarios remotos pueden acceder a la VPN que se propondrá en el diseño.

3. Objetivos. 3.1. Objetivo General.

Diseñar una VPN sitio a sitio, basado en las infraestructuras de comunicaciones de red IP, para proteger los datos transmitidos entre la sede principal en Bogotá D.C. y la planta de producción ubicada en La Calera Cundinamarca de la empresa Manantiales de los Andes S.A.S.

3.2. Objetivos Específicos.

Identificar si la topología física y lógica de la red LAN, de la sede principal y planta de envasado cumplen los estándares y requerimientos para el diseño de la VPN sitio a sitio. Seleccionar de forma correcta (relación costo -beneficio) de los dispositivos requeridos en la red de área local (LAN) que satisfaga la VPN sitio a sitio a diseñar. Establecer los parámetros de seguridad que se aplicaran en la red LAN y en la VPN de acuerdo con las políticas de seguridad de la empresa. Entregar propuesta del diseño de la VPN sitio a sitio.

4. Marco teórico

4.1. Tecnología VPN.

4.1.1. Redes privadas virtuales.

Las organizaciones en la actualidad para proteger los datos transmitidos a sitios distantes usan redes privadas virtuales (VPN), esta información se transporta usando la red pública conocida como internet. Una VPN es privada porque encripta los datos para que sean confidenciales cuando se transportan por la red pública.

En el curso CCNAv7: Bridging ENSA, en el capítulo 8.1.1. se explica los diferentes equipos utilizados para diseñar un VPN

“Un firewall de Cisco Adaptive Security Apliance (ASA) ayuda a las organizaciones a proporcionar conectividad segura y de alto rendimiento, incluidas VPN y acceso siempre activo para sucursales remotas y usuarios móviles.

SOHO significa pequeño/oficina en casa donde un enrutador (router) habilitado para VPN puede proporcionar conectividad VPN de vuelta al sitio principal de la empresa.

Cisco AnyConnect es un software que los trabajadores remotos pueden usar para establecer una conexión VPN basada en el cliente con el sitio principal.”1

En la figura 1 se muestra varios tipos de VPN administrados desde la sede principal de una empresa, donde se representa un túnel entre los sitios y usuarios remotos a acceder a los recursos de red de la sede principal de la empresa.

1 Tomado textual de la URL https://contenthub.netacad.com/ensa-bridge/8.1.1 el 1 de noviembre de 2020 a las 14:22

https://contenthub.netacad.com/ensa-bridge/8.1.1

Figura 1. Tipos de VPN

Fuente: https://contenthub.netacad.com/ensa-bridge/8.1.2 el 1 de noviembre de 2020 16:08

4.1.2. Beneficios de VPN.

En la actualidad los protocolos de las VPN más conocidos son el Internet Protocol Security (Ipsec) y el Secure Socket Later (SSL) para encriptar los datos entre sitios.

En la siguiente tabla, tomada del capítulo 8.1.2 Beneficios de las VPN del curso de CCNAv7: Curso Bridging ENSA, se muestras algunos beneficios de las VPN.

Tabla 2. Beneficios de las VPN.

Ventaja Descripción.

Ahorro de costos

Con la llegada de tecnologías rentables y de gran ancho de banda, las organizaciones pueden usar VPN para reducir sus costos de conectividad mientras incrementa simultáneamente el ancho de banda de la conexión remota.


Seguridad. Las VPN proporcionan el mayor nivel de seguridad disponible, mediante el uso de encriptación avanzada y protocolos de autenticación que protegen los datos de acceso no autorizado.

Escalabilidad.

Las VPN permiten a las organizaciones usar Internet, lo que facilita la adición de nuevos usuarios sin agregar infraestructura significativa.

Compatibilidad Las VPN se pueden implementar en una amplia variedad de opciones de enlace WAN incluidas todas las tecnologías populares de banda ancha. Los trabajadores remotos pueden aprovechar estas conexiones de alta velocidad para obtener acceso seguro a sus redes corporativas.

Fuente: https://contenthub.netacad.com/ensa-bridge/8.1.2 el 3 de noviembre 16:33

4.1.3. VPN de sitio a sitio y acceso remoto.

Existen dos configuraciones en las que se utilizan las VPN. La primera es de sitio a sito, cuando se utilizan equipos con tecnología VPN y se configuran con la información necesaria para encriptar los datos trasmitidos, denominando lo anterior túnel seguro.

Figura 2. VPN sitio a sitio.


La segunda VPN es la de acceso remoto, se crea utilizando un software especializado y se configura en la computadora del cliente, encriptando la información que viaje a través de internet para conectarse al equipo VPN de la empresa y tener acceso a la información como si se estuviera en la empresa.


Figura 3.VPN de acceso remoto.


4.1.4. VPN de empresas y proveedores de servicios.

Para el intercambio de información entre sedes distantes de las empresas hay varias alternativas y se pueden implementar como:

VPNs Empresariales: Las VPN de sitio a sitio y de acceso remoto son soluciones que utilizan las empresas, a la necesidad de intercambiar información utilizando internet, configurando VPN Ipsec o SSL.

VPNs de Proveedor de servicios: Otra alternativa que tienen las empresas es utilizar VPN administradas por un proveedor externo utilizando la red del proveedor el cual puede utilizar Multiprotocol Label Switching (MPLS) en la capa 2 o la capa 3, creando un túnel seguro por donde se intercambia la información de la empresa. MPLS crea túneles virtuales entre las sedes empresariales gracias a su tecnología de enrutamiento.


Figura 4. VPN empresarial vs VPN proveedor de servicios.


4.2. Tipos de VPN.

4.2.1. VPN de acceso remoto.

Las VPN de acceso remoto se han convertido en un servicio esencial en las empresas porque permiten a los usuarios remotos y móviles acceder a la información compartida de la empresa con total seguridad por medio del túnel encriptado. También permiten a usuarios externos de la empresa tener acceso limitado a archivos específicos según sus necesidades. Mediante el protocolo Ipsec o ISS se pueden crear VPN de acceso remoto. En la figura se evidencia como un usuario remoto tiene dos opciones para iniciar una conexión VPN: VPN sin cliente y VPN basada en cliente.


Figura 5. Conexión VPN con cliente y sin cliente.


En el curso de CISCO v7 en el capítulo 8.2.1 se explican las características de una conexión VPN sin cliente y basada en cliente. “Conexión VPN sin cliente: La conexión se asegura utilizando una conexión SSL de navegador web. SSL se utiliza principalmente para proteger el tráfico HTTP (HTTPS) y los protocolos de correo electrónico como IMAP y POP3. Por ejemplo, HTTPS es en realidad HTTP usando un túnel SSL. Primero se establece la conexión SSL. Primero se establece la conexión SSL y luego se intercambian los datos HTTP a través de la conexión”. “Conexión VPN basada en el cliente: El software de cliente VPN, como Cisco AnyConnect Secure Mobility Client, debe instalarse en el dispositivo final del usuario remoto. Los usuarios deben iniciar la conexión VPN utilizando el cliente VPN y luego autenticarse en la puerta de enlace VPN de destino. Cuando los usuarios se autentican, tienen acceso a archivos y aplicaciones corporativos. El software del cliente VPN encripta el tráfico usando Ipsec o SSL y lo reenvía a través de internet a la puerta de enlace VPN de destino.”2

2 Tomado textual de la URL https://contenthub.netacad.com/ensa-bridge/8.2.1 el 4 de noviembre de 2020 a las

14:04



4.2.2. SSL VPNs.

En el curso de CISCO v7 en el capítulo 8.2.2 se explica las características de una SSL VPNs. “Cuando un cliente negocia una conexión VPN SSL con la puerta de enlace VPN, en realidad se conecta utilizando Transport Layer Security (TLS). TLS es la versión más nueva de SSL y a veces se expresa como SSL / TLS. Sin embargo, ambos términos a menudo se usan indistintamente. SSL utiliza la infraestructura de llave pública y los certificados digitales para autenticar a sus pares. Ambas tecnologías IPsec y SSL VPN ofrecen acceso a prácticamente cualquier aplicación o recurso de red. Sin embargo, cuando la seguridad es un problema, IPsec es la mejor opción. Si el soporte y la facilidad de implementación son los problemas principales, considere SSL. El tipo de método VPN implementado se basa en los requisitos de acceso de los usuarios y los procesos de TI de la organización. La tabla compara las implementaciones de acceso remoto IPsec y SSL.

Tabla 3. Comparación de las implementaciones de acceso remoto IPsec y SSL.

Características IPsec SSL

Aplicaciones soportadas:

Extensiva - Todas las aplicaciones basadas en IP son compatibles.

Limitada - Solo aplicaciones y archivos basados en la web compartidos y soportados.

Fuerza de autenticación

Fuerte - Utiliza autenticación bidireccional con llaves compartidas o certificados digitales.

Moderado - Uso de autenticación unidireccional o bidireccional.

Fuerza de encriptación Fuerte - Utiliza longitudes de llave de 56 bits a 256 bits.

Moderado a fuerte - Con longitudes de llave de 40 bits a 256 bits.

Complejidad de conexión

Medio - Porque requiere un cliente VPN preinstalado en un usuario.

Bajo - Solo requiere un navegador web en una terminal.

Opción de conexión Limitado - Solo se pueden conectar dispositivos específicos con configuraciones específicas.

Extensivo - Cualquier dispositivo con un navegador web puede conectarse.



Es importante comprender que las VPN IPsec y SSL no son mutuamente excluyentes. En cambio, son complementarios; ambas tecnologías resuelven diferentes problemas, y una organización puede implementar IPsec, SSL o ambos, según las necesidades de sus tele-trabajadores.” 3

4.2.3. VPN IPsec de sitio a sitio.

De acuerdo con el curso CCNAv7: Bridging ENSA, en el capítulo 8.2.3, en la plataforma de NETACAD, se menciona que las” VPN de sitio a sitio se utilizan para conectar redes a través de otra red no confiable como Internet. En una VPN de sitio a sitio, los usuarios finales envían y reciben tráfico normal de TCP/IP sin encriptar a través de un dispositivo VPN de terminación. La terminación de VPN generalmente se denomina puerta de enlace VPN. Un dispositivo de puerta de enlace VPN podría ser un enrutador o un firewall, como se muestra en la figura. Por ejemplo, el Cisco Adaptive Security Appliance (ASA) que se muestra en el lado derecho de la figura es un dispositivo de firewall independiente que combina firewall, concentrador de VPN y funcionalidad de prevención de intrusiones en una imagen de software.

Figura 6.Puerta de enlace VPN.


La puerta de enlace VPN encapsula y encripta el tráfico saliente para todo el tráfico de un sitio en particular. Luego envía el tráfico a través de un túnel VPN a través de Internet a una puerta de enlace VPN en el sitio de destino. Al recibirlo, la puerta de enlace VPN receptora despoja los encabezados, desencripta el contenido y retransmite el paquete hacia el usuario de destino dentro de su red privada.


14:23



Las VPN de sitio a sitio generalmente se crean y protegen mediante el IP Security (IPsec).”4

4.2.4. GRE sobre Ipsec.

A continuación, se explica el protocolo de túnel de VPN de sitio a sitio Básico y no seguro. Generic Routing Encapsulation (GRE) según el curso CCNAv7: Curso Bridging ENSA, en el capítulo 8.2.4. “Puede encapsular varios protocolos de capa de red. También es compatible con el tráfico de multicast y broadcast que puede ser necesario si la organización requiere protocolos de enrutamiento para operar a través de una VPN. Sin embargo, GRE no admite de forma predeterminada el encriptado; y por lo tanto, no proporciona un túnel VPN seguro. Una VPN IPsec estándar (no GRE) solo puede crear túneles seguros para el tráfico de unicast. Por lo tanto, los protocolos de enrutamiento no intercambiarán información de enrutamiento a través de una VPN IPsec. Para resolver este problema, podemos encapsular el tráfico del protocolo de enrutamiento utilizando un paquete GRE y luego encapsular el paquete GRE en un paquete IPsec para reenviarlo de forma segura a la puerta de enlace VPN de destino. Los términos utilizados para describir la encapsulación de GRE sobre el túnel IPsec son protocolo pasajero (passenger protocol), protocolo operador (carrier protocol) y protocolo transporte (transport protocol), como se muestra en la figura.”

Figura 7. Protocolo GRE.



15:09



Protocolo Pasajero (Passenger Protocol)- Este es el paquete original que debe ser encapsulado por GRE. Podría ser un paquete IPv4 o IPv6, una actualización de enrutamiento y más. Protocolo Operador (Carrier Protocol) – GRE es el protocolo operador que encapsula el paquete pasajero original.

Protocolo transporte (Transport Protocol) – Este es el protocolo que realmente se usará para reenviar el paquete. Esto podría ser IPv4 o IPv6. 5

Por ejemplo, en la figura 8. que muestra una topología, Branch y HQ desean intercambiar información de enrutamiento OSPF sobre una VPN IPsec. Sin embargo, IPsec no admite tráfico de tipo multicast. Por lo tanto, GRE sobre IPsec se usa para admitir el tráfico del protocolo enrutamiento (routing protocol) sobre la VPN de IPsec. Específicamente, los paquetes OSPF (es decir, el protocolo pasajero) serían encapsulados por GRE (es decir, el protocolo operador) y posteriormente encapsulados en un túnel VPN IPsec.

Figura 8. Topología túnel GRE.


La captura de pantalla de Wireshark en la figura muestra un paquete de saludo "Hello" OSPF que se envió utilizando GRE sobre IPsec. En el ejemplo, el paquete original de multicast OSPF Hello (el protocolo pasajero) se encapsuló con un encabezado GRE (el protocolo operador), que posteriormente se encapsula con otro encabezado IP (protocolo transporte). Este encabezado IP se reenviaría a través de un túnel IPsec. La figura 9 muestra una captura de pantalla de Wireshark de un paquete OSPF Hello enviado utilizando GRE sobre IPSec. La parte de transporte de la salida se describe en un rectángulo y muestra el Protocolo de Internet Versión 4, fuente:


17:44



192.168.12.1, Destino: 192.168.23.3. La parte del protocolo se describe en un rectángulo y muestra GRE, Indicador (flag), versión, tipo de protocolo, IP. La parte del protocolo Pasajero se describe en un rectángulo y muestra el protocolo Internet versión 4 Fuente: 192.168.13.1, Destino: 224.0.0.5 y establece su Open Shortest Path First (OSPF).

Figura 9.Captura de pantalla de Wireshark de un paquete OSPF Hello enviado utilizando GRE sobre IPSec.


4.2.5. VPN dinámicas multipunto.

A continuación, se explica las VPN dinámicas multipunto según el curso CCNAv7: Curso Bridging ENSA, en el capítulo 8.2.5. “Las VPN de IPsec de sitio a sitio y GRE sobre IPsec son adecuadas para usar cuando solo hay unos pocos sitios para interconectarse de forma segura. Sin embargo, no son suficientes cuando la empresa agrega muchos más sitios. Esto se debe a que cada sitio requeriría configuraciones estáticas para todos los demás sitios o para un sitio central. La VPN dinámica multipunto (DMVPN) es una solución de Cisco para crear VPN múltiples de forma fácil, dinámica y escalable. Al igual que otros tipos de VPN, DMVPN depende de IPsec para proporcionar un transporte seguro a través de redes públicas, como Internet. DMVPN simplifica la configuración del túnel VPN y proporciona una opción flexible para conectar un sitio central con sitios de sucursales. Utiliza una configuración de hub-and-spoke para establecer una topología de malla completa (full mesh). Los sitios de spoke establecen túneles VPN seguros con el sitio central, como se muestra en la figura.”


Figura 10. Túneles de concentrador a dispositivo radial de DMVPN.


A continuación, se explica cómo funciona los túneles de concentrador a dispositivo radial de DMVPN según el curso CCNAv7 Curso Bridging ENSA, en el capítulo 8.2.5. Cada sitio se configura usando Multipoint Generic Routing Encapsulation (mGRE). La interfaz del túnel mGRE permite que una única interfaz GRE admita dinámicamente múltiples túneles IPsec. Por lo tanto, cuando un nuevo sitio requiere una conexión segura, la misma configuración en el sitio del hub admitiría el túnel. No se requerirá configuración adicional. Los sitios Spoke también podrían obtener información sobre sitios remotos desde el sitio central. Pueden usar esta información para establecer túneles VPN directos, como se muestra en la figura 11.” 6


18:26



Figura 11.Túneles de Hub a Spoke y entre Spoke de DMVPN.


4.2.6. Interfaz virtual del túnel IPsec.

A continuación, se explica brevemente el interfaz virtual del túnel IPsec según el curso CCNAv7 Curso Bridging ENSA, en el capítulo 8.2.5 “Al igual que los DMVPN,


Psec Virtual Tunnel Interface (VTI) simplifica el proceso de configuración requerido para admitir múltiples sitios y acceso remoto. Las configuraciones de IPsec VTI se aplican a una interfaz virtual en lugar de la asignación estática de las sesiones de IPsec a una interfaz física. IPsec VTI es capaz de enviar y recibir tráfico IP encriptado de unicast y multicast. Por lo tanto, los protocolos de enrutamiento son compatibles automáticamente sin tener que configurar túneles GRE. IPsec VTI se puede configurar entre sitios o en una topología de hub-and-spoke.”7

Figura 12. Interfaz virtual del túnel IPsec.


4.2.7. Proveedor de servicios VPN MPLS.

A continuación, se explica la tecnología de los proveedores de servicios VPN MPLS, del curso CCNAv7 Curso Bridging ENSA, en el capítulo 8.2.6 “Las soluciones WAN tradicionales de los proveedores de servicios, como líneas alquiladas, Frame Relay y conexiones ATM, eran inherentemente seguras en su diseño. Hoy, los proveedores de servicios usan MPLS en su red principal. El tráfico se reenvía a través de la red principal del MPLS (backbone) utilizando etiquetas que se distribuyeron previamente entre los routers principales. Al igual que las conexiones WAN heredadas, el tráfico es seguro porque los clientes del proveedor de servicios no pueden ver el tráfico de los demás. MPLS puede proporcionar a los clientes soluciones VPN administradas; por lo tanto, asegurar el tráfico entre los sitios del cliente es responsabilidad del proveedor del servicio. Hay dos tipos de soluciones VPN MPLS compatibles con los proveedores de servicios:

7 Tomado textual de la URL https://contenthub.netacad.com/ensa-bridge/8.2.6 el 5 de noviembre de 2020 a las 18:26



VPN MPLS Capa 3 - El proveedor de servicios participa en el enrutamiento del cliente al establecer un intercambio entre los routers del cliente y los routers del proveedor. Luego, las rutas de los clientes que recibe el router del proveedor se redistribuyen a través de la red MPLS a las ubicaciones remotas del cliente. VPN MPLS Capa 2 - El proveedor de servicios no participa en el enrutamiento del cliente. En cambio, el proveedor implementa un Virtual Private LAN Service (VPLS) para emular un segmento LAN de acceso múltiple de Ethernet a través de la red MPLS. No hay enrutamiento involucrado. Los routers del cliente pertenecen efectivamente a la misma red de acceso múltiple. La figura muestra un proveedor de servicios que ofrece VPN MPLS de capa 2 y capa 3.”8

Figura 13. Proveedor de servicios que ofrece VPN MPLS de capa 2 y capa 3.

Fuente: https://contenthub.netacad.com/ensa-bridge/8.2.7 el 5 noviembre de 2020 19:22


18:53



Capitulo II. METODOLOGÍA.

El proyecto desde el enfoque de la investigación es de carácter empírico-analítico porque la recopilación de la información, su análisis y su interpretación es de carácter tecnológico; es decir, el diagnostico que se presenta en el capítulo de resultado y discusiones conlleva a mejoras en la infraestructura de TI que se encuentra instalada y funcionando actualmente tanto en la sede principal como en la sucursal ubicada en La Calera.

ÁREA Y LINEA DE INVESTIGACIÓN DE LA FACULTAD DE INGENEIRÍA El proyecto en su desarrollo ingenieril se realizará metodológicamente cumpliendo los siguientes pasos:

• Recolección de información requerida

Para este apartado, se considera pertinente hacer uso de las fuentes primarias y secundarias de información en vista de que mediante su relación al generar información y hacer uso de referencias secundarias, se puede llegar a consolidar los resultados que atiendan el problema de estudio. Inicialmente la propuesta del proyecto tenía previsto hacer la aplicación de la propuesta en empresas y recolectar la información, a raíz de la pandemia se truncaron las posibilidades y ahora se tiene la visión de trabajar una guía de diseño para las empresas objeto de estudio. Como técnicas de recolección de información primaria, se plantea la observación, proceso mediante el cual se captan los aspectos más significativos del objeto de estudio para establecer la formulación del problema a través de la pregunta de investigación a resolver, e información secundaria la cual se obtendrá desde internet, las bibliotecas, organismos gubernamentales y empresas, entre otros.

• Análisis de información. Para este apartado, se decodifica los datos, para ser procesados, se identifica los datos relevantes dependiendo de las fuentes de información exponiendo el contenido valioso. Considerando lo anterior, para el desarrollo del proyecto la información recolectada se analizará para la toma de decisiones para presentar la mejor propuesta de solución para la definición de estrategias y mecanismos que permitirán construir el plan de continuidad de TIC.

• Diagnóstico de la información.

En este ítem se entenderán con exactitud los problemas que pueden presentar el sector empresarial objeto de estudio frente a las conexiones de acceso remoto que deban realizar aquellos usuarios que la requieran.

• Determinación de problemas a nivel de seguridad. Para determinar qué tipo de riesgos se pueden materializar, se parte del hecho de identificar las amenazas tanto internas como externas que pueden afectar una organización, por este motivo a pesar de que no se tenga un sistema de seguridad informático implementado, si debe tener una metodología consistente para análisis de riesgos (MAGERIT) que hace la empresa y sus empleados, así, logramos confirmar cuales son los bienes informáticos que necesitan seguridad para mitigar posibles eventos de riesgo, y los posibles vectores de ataque que puedan afectar el estado global de la red. Por este motivo su implementación debe verse desde los pilares básicos de la ciberseguridad, que serían la confidencialidad, integridad y disponibilidad (CID), enfocados en este proyecto, se tiene como dimensión principal la integridad, puesto que se propone una guía de diseño de una VPN que mantiene las vulnerabilidades en una brecha mínima de tolerancia.

Capitulo III. RESULTADOS Y DISCUSIÓN.

5. DISEÑO INGENIERIL.

5.1. Identificar si la topología física y lógica de la red LAN, de la sede principal y planta de envasado cumplen los estándares y requerimientos para el diseño de la VPN sitio a sitio.

La empresa manantiales de los Andes S.A.S requiere conectar su red de datos de su sede principal en Bogotá con su planta de producción en La Calera, utilizando una VPN, para esta conexión tendremos en cuenta la estructura de la red LAN de estos dos lugares, estableciendo cuantos equipos estarán conectados, con cuales protocolos se hará la conexión y seguridad de la información, si el cableado actual sirve para implementar la VPN, después de obtener esta información se hará los nuevos requerimientos o correcciones a la red LAN para poder implementar la VPN en estos dos sitios. Identificación de la red LAN de la empresa. En la sede principal de la empresa Manantiales de los Andes S.A.S, tiene 5 empleados y hay los siguientes equipos en la red LAN: en la sede principal hay 6 computadores ubicados en 3 oficinas, la de gerencia con un computador, la administrativa que tiene 4 computadores y la de soporte técnico con un computador, también hay un switch HP 1405-8g V2, un RACK de 60cm * 60cm, y un router cisco WRVS4400N, en la planta de producción hay dos computadores: estos equipos tienen las siguientes características: Computadores:

• Sistema operativo Windows 10 PRO.

• Procesador Intel I5.

• 4gb de RAM.

• Disco de 500gb. El cableado estructurado que utiliza la empresa Manantiales de los Andes en la sede principal, son redes Ethernet conocido como estándar IEEE 802.3, mediante el conector RJ45 transmitiendo los datos por un cable con 4 pares trenzados (UTP Categoría 5e) y permite trabajar a velocidades de hasta 100Mbps, y está conectado con la norma T568A en ambos extremos, este cableado sale desde el Patch Panel que está en un Rack de 60*60*60 cm ubicado en la oficina de soporte técnico y se conecta a un switch HP 1405-8g V2, con auto-MDIX, desde este switch de 8 puertos se conectan el computador de gerencia, administración, ventas, tesorería, bodega y servidor, utilizando la topología de estrella.

Figura 14. Router CISCO WRVS4400N Wireless-N

Fuente:https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/wrvs4400n/administration/guide/WRVS4400N_AG_OL-20048.pdf el 23 noviembre de 2020 18:22

Figura 15. Switch HP 1405.

Fuente: http://onlinecolombia.net/contactos/cotizacionArticulo.php?codigo_art=JH408A el 23 noviembre de 2020 18:38

La distancia máxima para conectar con el cable UTP, el patch panel y el computador más lejano es de 22mts, este cableado se distribuye por una canaleta metálica con división de 10cm * 4 cm pegada a la pared a 15 cm del suelo, en esta misma canaleta se distribuye el cableado eléctrico de los computadores.

https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/wrvs4400n/administration/guide/WRVS4400N_AG_OL-20048.pdf

https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/wrvs4400n/administration/guide/WRVS4400N_AG_OL-20048.pdf

http://onlinecolombia.net/contactos/cotizacionArticulo.php?codigo_art=JH408A

Figura 16. Topología sede principal Manantiales de los Andes S.A.S.

Fuente: Propia

Dentro de las actividades de identificación de la red de área local que actualmente está funcionando en la sede principal, se pudo comprobar que esta cumple a cabalidad con los requerimientos que a continuación se relacionan.

• Establecer la cantidad de equipos que se conectaran a la red.

• Definir que subredes se van a utilizar.

• Verificar si los dispositivos actuales (router, tarjetas ethernet y switch) y el cableado estructurado cumplen con los requisitos para la conexión VPN.

• Autenticación de acceso mediante el servidor VPN.

• Seguridad en los datos transmitidos entre la sede principal y la planta de producción, utilizando los túneles de encriptación de VPN.

• La VPN debe funcionar con los sistemas operativos Windows 7 y 10, utilizados por la empresa.

Hecho el análisis de los ítems anteriores se pudo comprobar lo siguiente:

• El número de equipos que se conectaran a la red en la sede principal es un total de 6, de los cuales solo 3 de ellos requieren de salir a través de la VPN para interactuar con el único equipo de la planta en La Calera.

• El modelo de direccionamiento IPv4 es el 192.168.10.0/24 de los cuales solo se asignan un total de 8, en las cuales se encuentran los equipos que van a hacer parte de la VPN por ende no se requiere de una segmentación para comunicar estos equipos, pero se sugiere construir una VLAN para involucrar los 4 equipos que transmitirán a través de la VPN y permitir un dominio de difusión lógico más seguro durante la transmisión.

• Con respecto a los dispositivos de red y el cableado estructurado se pudo comprobar que ambos componentes de la red actual cumplen para que hagan parte de la VPN, considerando que el router cumple en sus características para instalar y configurar el tipo de VPN a proponer y el cableado independientemente que tiene capacidad de canal a 100MB por segundo satisface en su ancho de banda para la aplicación que se va a transmitir entre los 4 equipos que van a acceder a la VPN.

• Finalmente, con respecto a la autenticación de acceso, la seguridad de los datos a transmitir y la funcionalidad de la VPN se ha considerado diseñar una VPN sitio a sitio permitiendo la seguridad de los datos a transmitir se hará a través de un túnel GRE y cifrado IPSec.

5.2. Seleccionar de forma correcta (relación costo -beneficio) de los dispositivos requeridos en la red de área local (LAN) que satisfaga la VPN sitio a sitio a diseñar.

De acuerdo con el análisis realizado en el objetivo 3.1, se determina en sugerir el cambio de switch HP 1405 de la sede principal y comprar un switch para la planta de envasado, por un switch serie 2960 CISCO de 24 puertos 10/100/1000 para permitir la escalabilidad de la red en la sede principal tanto por nuevas conexiones y capacidad de ancho de banda en la transmisión de las aplicaciones. Con respecto al router, como se mencionó anteriormente, este permite implementar y configurar la VPN propuesta como solución para el proyecto. Otro elemento para considerar para la comunicación entre ambas sedes es entrar a definir con el proveedor de servicio de internet en La Calera y en la sede principal para definir que la VPN opere técnicamente mediante un enlace que me permita la conexión en la sede principal con un cable modem de fibra óptica y en la sede de la calera una WAN publica (red de internet) con tecnología de banda ancha aDSL.

5.3. Establecer los parámetros de seguridad que se aplicaran en la red LAN y en la VPN de acuerdo con las políticas de seguridad de la empresa.

Para permitir lo relacionado con la seguridad en la transmisión de los datos en la VPN, a continuación, se relaciona el scrip (líneas de configuración) de la VPN sitio a sitio, el túnel GRE y seguridad IPSec, parámetros iniciales y acceso remoto SSH de los routers y switches. La primera tarea que se debe realizar para tener seguridad en los swicthes y routers es la configuración de los parámetros iniciales, ahora, se explica la configuración del swicth de la sede principal, lo anterior se debe hacer en todos los swicthes y routers de la empresa.

En la configuración de los parámetros iniciales se hicieron las siguientes tareas.

• Configuración básica del switch.

• Configuración de un aviso de MOTD.

• Guardar los archivos de configuración en la NVRAM. Luego, se realizará las configuraciones básicas del switch de la sede principal que nombraremos SWPRINCIPAL, se protegerá el acceso a la interfaz de línea de comandos (CLI) y a los puertos de la consola mediante contraseñas cifradas y contraseñas de texto no cifrado. También, se configurará un mensaje para los usuarios que inician sesión en el switch. Este aviso se utiliza para advertir a usuarios no autorizados que el acceso está prohibido.

• Configuración básica del switch.

Se le asigna el nombre SWPRINCIPAL al switch. Ubicado en la sede principal. Switch# configure terminal Switch(config)# hostname SWPRINCIPAL

SWPRINCIPAL(config)# exit SWPRINCIPAL # El siguiente paso, es proporcionar acceso seguro a la línea de consola, se accede al modo config-line, estableciendo como contraseña de consola: manantiales. SWPRINCIPAL # configure terminal Enter configuration commands, one per line. End with CNTL/Z. SWPRINCIPAL(config)# line console 0 SWPRINCIPAL (config-line)# password manantiales SWPRINCIPAL (config-line)# login SWPRINCIPAL (config-line)# exit SWPRINCIPAL (config)# exit %SYS-5-CONFIG_I: Configured from console by console

SWPRINCIPAL # Para que el proceso de control de contraseña funcione, se necesita los comandos login y password. Podemos verificar que el acceso a la consola es seguro, saliendo del modo privilegiado para verificar que la contraseña del puerto de consola esté vigente. SWPRINCIPAL # exit Switch con0 is now available

Press RETURN to get started. User Access Verification

Password: SWPRINCIPAL >

Para tener un acceso seguro al modo privilegiado de la línea de comandos del switch, en enable se asigna la contraseña: $nd#s a, la cual protege el acceso al modo privilegiado. SWPRINCIPAL > enable SWPRINCIPAL # configure terminal SWPRINCIPAL (config)# enable password $nd#s SWPRINCIPAL (config)# exit %SYS-5-CONFIG_I: Configured from console by console

SWPRINCIPAL # Para verificar que el acceso al modo privilegiado es seguro, se digita el comando exit nuevamente para cerrar la sesión del switch y se presiona <Intro>. Luego pedirá introducir una contraseña: User Access Verification Password: Después, para verificar la configuración, se utiliza el comando show running-config, este muestra el contenido del archivo de la configuración en ejecución: SWPRINCIPAL # show running-config Estas contraseñas de consola y de enable son de texto no cifrado. Esto podría presentar un riesgo para la seguridad si alguien está viendo lo que hace. Para evitar esto, se configura una contraseña encriptada con el fin de proporcionar un acceso seguro al modo privilegiado.

La contraseña de enable se debe reemplazar por una nueva contraseña secreta, encriptada mediante el comando enable secret. Se configura la contraseña de enable secret como: itsasecret. SWPRINCIPAL # config t SWPRINCIPAL (config)# enable secret itsasecret SWPRINCIPAL (config)# exit SWPRINCIPAL # La contraseña de enable secret sobrescribe la contraseña de enable, si ambas están configuradas en el switch, se debe introducir la contraseña de enable secret para ingresar al modo EXEC privilegiado. Para verificar si la contraseña de enable secret se agregó al archivo de configuración, se digita el comando show running-config, el cual abreviado es: show run. SWPRINCIPAL# show run

Ahora, la contraseña enable secret que se muestra es: $1$mERr$IIwq/b7kc.7X/ejA4Aosno, el comando enable secret, muestra encriptada la contraseña, mientras que la contraseña de enable aparece en texto no cifrado. Para encriptar las contraseñas de consola y de enable, se hace con el comando service password-encryption, además, encripta todas las contraseñas actuales y futuras. SW PRINCIPAL# config t SWPRINCIPAL (config)# service password-encryption SWPRINCIPAL (config)# exit Configuración de un aviso de MOTD. Para configurar los mensajes MOTD, conocidos como “mensajes del día” y para que cualquier persona lo pueda ver cuando inicia sesión en el switch, el texto del mensaje se debe colocar en citas o utilizando un delimitador diferente a cualquier carácter que aparece en la cadena de MOTD. SWPRINCIPAL # config t SWPRINCIPAL (config)# banner motd "This is a secure system. Authorized Access Only!" SWPRINCIPAL (config)# exit %SYS-5-CONFIG_I: Configured from console by console

SWPRINCIPAL # El mensaje configurado anteriormente se muestra cuando alguien accede al switch a través del puerto de consola, cada switch debe tener un mensaje para advertir a los usuarios no autorizados que el acceso está prohibido. Guardar los archivos de configuración en la NVRAM. Con el comando show run se verifica que la configuración sea correcta, para guardar el archivo de configuración en la NVRAM, se usa el comando copy running-config startup-config, esto garantiza que los cambios que se han realizado no se pierdan si el sistema se reinicia o se apaga. SWPRINCIPAL# copy running-config startup-config Destination filename [startup-config]? [Enter] Building configuration... [OK] Además, para examinar el archivo de configuración de inicio, se utiliza el comando que muestra el contenido de la NVRAM es: Show startup-configuration. En la explicación anterior se completó la configuración de los parámetros iniciales del Switch SWPRINCIPAL.

Asimismo, se configuro los parámetros iniciales explicados con anterioridad en el Switch SWPLANTA, y en los Routers PRINCIPAL Y PLANTA, con los siguientes datos:

• Nombre del dispositivo: o Switch de la planta: SWPLANTA o Router de la planta: PLANTA o Router de la sede principal: PRINCIPAL

• Se protegió el acceso a la consola con la contraseña: manantiales

• Se configuro $nd#s como la contraseña de enable y itsasecret como la contraseña de enable secret.

• Se configuro el siguiente mensaje para aquellas personas que inician sesión en el switch y en los routers: “Authorized access only. Unauthorized access is prohibited and violators will be prosecuted to the full extent of the law”.

• Se cifro todas las contraseñas de texto no cifrado.

• Se verifico que la configuración sea correcta

• Se guardo el archivo de configuración para evitar perderlo si los switches y routers se apagan.

Configuración de SSH. Para la administración remota de los switches y routers, se configura SSH, esta establece seguridad cifrando los datos trasmitidos, cuando se establece una conexión remota para administrar el dispositivo. Para cifrar las comunicaciones, se establece un nombre de dominio IP, generando claves seguras y se asigna el nombre de dominio netacad.pka. SWPRINCIPAL#configure terminal SWPRINCIPAL(config)#ip domain-name netacad.pka Para tener claves seguras se necesitan cifrar los datos, para lo cual, se generan las claves RSA con la longitud de clave 1024. SWPRINCIPAL(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 El siguiente paso es, crear un usuario de SSH y reconfigurar las líneas VTY para que solo admitan acceso por SSH, se crea un usuario administrador con la contraseña secreta: cisco. SWPRINCIPAL(config)#username administrador secret cisco

Además, se debe configurar las líneas VTY para que revisen la base de datos local de nombres de usuario, en busca de las credenciales de inicio de sesión y para que solo permitan el acceso remoto mediante SSH, se elimina la contraseña existente de la línea VTY.

SWPRINCIPAL(config)#line vty 0 4

SWPRINCIPAL(config-line)#transport input ssh

SWPRINCIPAL(config-line)#login local SWPRINCIPAL(config)#no pass

Figura 17.Topología de la empresa

Fuente: Propia.

Configuración de la VPN GRE. Se configuro un túnel VPN GRE de sitio a sito, con el protocolo OSPF dentro del túnel, en la siguiente tabla se indica que direcciones IP y en cuales interfaces se asignaron a los dispositivos, que son los 3 routers Cisco 1941 y 2 switches Cisco 2960, para simular en packet tracer versión 7 el túnel VPN GRE.

Tabla 4. Asignación de direcciones.

Dispositivo Interfaz IP Mascara de subred

Gateway

G0/1 192.168.1.1 255.255.255.0

Router (PRINCIPAL)

S0/0/0 (DCE)

10.1.1.1 255.255.255.252

Tunnel 0 192.168.12.1 255.255.255.252

ISP S0/0/0 10.1.1.2 255.255.255.252

S0/0/1 (DCE)

10.2.2.2 255.255.255.252

Router (PLANTA) G0/1 192.168.2.1 255.255.255.0

S0/0/1 10.2.2.1 255.255.255.252

Tunnel 0 192.168.12.2 255.255.255.252

PC-Servidor NIC 192.168.1.3 255.255.255.0 192.168.1.1

PC-Gerencia NIC 192.168.1.10 255.255.255.0 192.168.1.1

PC-Administración NIC 192.168.1.11 255.255.255.0 192.168.1.1

PC-Ventas NIC 192.168.1.12 255.255.255.0 192.168.1.1

PC-Tesorería NIC 192.168.1.13 255.255.255.0 192.168.1.1

PC-Bodega NIC 192.168.1.14 255.255.255.0 192.168.1.1

PC-Planta NIC 192.168.2.3 255.255.255.0 192.168.2.1 Fuente: Propia

Se asignaron las direcciones IP a las interfaces Serial y Gigabit Ethernet como se muestra en la tabla de direccionamiento y se activaron las interfaces físicas. Se asigna la interfaz Gigabit Ethernet 0/1 del router PRINCIPAL la dirección IP 192.168.1.1 con la máscara de subred 255.255.255.0 y se activa la interfaz física. PRINCIPAL(config)# interface g0/1 PRINCIPAL(config-if)#ip address 192.168.1.1 255.255.255.0 PRINCIPAL(config-if)#no shutdown Se asigna a la interfaz Serial 0/0/0 DCE del router PRINCIPAL la dirección IP 10.1.1.1 con la máscara de subred 255.255.255.252, se activa la interfaz física y se establece la frecuencia de reloj en 128000. PRINCIPAL(config)#int s0/0/0 PRINCIPAL(config)#ip address 10.1.1.1 255.255.255.252 PRINCIPAL(config)#clock rate 128000 PRINCIPAL(config)#no shutdown Se asigna a la interfaz Gigabit Ethernet del router ISP la dirección IP 10.1.1.2 con la máscara de subred 255.255.255.252 y se activa la interfaz física. ISP(config)# interface s0/0/0 ISP(config-if)#ip address 10.1.1.2 255.255.255.252 ISP(config-if)#no shutdown

Se asigna a la interfaz Serial 0/0/1 DCE del router ISP la dirección IP 10.2.2.2 con la máscara de subred 255.255.255.252, se activa la interfaz física y se establece la frecuencia de reloj en 128000. ISP (config)#int s0/0/1 ISP (config)#ip address 10.2.2.2 255.255.255.252 ISP (config)#clock rate 128000 ISP (config)#no shutdown Se asigna la interfaz Gigabit Ethernet 0/1 del router PRINCIPAL la dirección IP 192.168.1.1 con la máscara de subred 255.255.255.0 y se activa la interfaz física. PRINCIPAL(config)# interface g0/1 PRINCIPAL(config-if)#ip address 192.168.1.1 255.255.255.0 PRINCIPAL(config-if)#no shutdown Se asigna a la interfaz serial 0/0/1 del router PLANTA la dirección IP 10.2.2.1 con la máscara de subred 255.255.255.252 y se activa la interfaz física. PLANTA(config)#int s0/0/1 PLANTA(config)#ip address 10.2.2.1 255.255.255.252 PLANTA(config)#no shutdown Se asigna a la interfaz Gigabit Ethernet 0/1 del router PLANTA la dirección IP 192.168.1.1 con la máscara de subred 255.255.255.0 y se activa la interfaz física. PLANTA(config)# interface g0/1 PLANTA(config-if)#ip address 192.168.2.1 255.255.255.0 PLANTA(config-if)#no shutdown GRE crea un túnel que encapsula varios tipos de protocolos de la capa de red, utilizando internet, se puede emplear en paquetes de multidifusión, como OSPF y otras aplicaciones de transmisión. Configuración de las rutas predeterminadas al router IPS PRINCIPAL(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

PLANTA(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2

Se guarda la configuración realizada en los routers con el siguiente comando. PRINCIPAL# copy running-config startup-config

PLANTA# copy running-config startup-config

Configuración del túnel GRE

Para la configuración del túnel GRE se utiliza la interfaz de origen del túnel S0/0/0 en el router PRINCIPAL y la IP 10.2.2.1 como destino del túnel en el router PLANTA. PRINCIPAL(config)# interface tunnel 0 PRINCIPAL(config-if)#ip address 192.168.12.1 255.255.255.252 PRINCIPAL(config-if)#tunnel source s0/0/0 PRINCIPAL(config-if)#tunnel destination 10.2.2.1 Se utiliza la interfaz de origen del túnel S0/0/0 en el router PLANTA y 10.1.1.1 como destino del túnel en el router PRINCIPAL

PLANTA(config)# interface tunnel 0 PLANTA(config-if)#ip address 192.168.12.2 255.255.255.252 PLANTA(config-if)#tunnel source s0/0/1 PLANTA(config-if)#tunnel destination 10.1.1.1 Con el commando show ip interface brief, se observa el estado activo de la interfaz de túnel en el router PRINCIPAL.

Figura 18.Estado de la interfaz de túnel en el router PRINCIPAL.

Fuente: Propia.

Con el comando show interfaces tunnel 0 en el router PRINCIPAL, se verifica el protocolo de tunneling, como podemos observar en la figura, el origen y destino del túnel con la dirección de origen 10.1.1.1 y el destino 10.2.2.1 y en el router PLANTA el túnel tiene origen en la dirección 10.2.2.1 y destino en 10.1.1.1.

Figura 19. Configuración origen y destino del túnel en el router Principal

Fuente: Propia

Habilitación del routing por el túnel GRE. Se configuro el routing OSPF para que las LAN de la sede principal y planta puedan comunicarse utilizando el túnel GRE, teniendo en cuenta que el router ISP no participa en el routing. Configuración del routing OSPF para el área 0 a través del túnel. Se configuro la ID de proceso OSPF 1 con área 0 en el router de la sede principal para la red 192.168.1.0/24 y 192.168.12.0/24. PRINCIPAL(config)#router ospf 1

PRINCIPAL(config-router)#network 192.168.1.0 0.0.0.255 area 0

PRINCIPAL(config-router)#network 192.168.12.0 0.0.0.3 area 0

Se configuro la ID de proceso OSPF 1 con área 0 en el router de la sede principal para la red 192.168.2.0/24 y 192.168.12.0/24. PLANTA(config)#router ospf 1 PLANTA(config-router)#network 192.168.2.0 0.0.0.255 area 0 PLANTA(config-router)#network 192.168.12.0 0.0.0.3 area 0

Con el comando show ip route en el router PRINCIPAL se verifica la ruta a la LAN 192.168.2.0/24 en el router PLANTA, como se muestra en la imagen en la parte resaltada de azul.

Figura 20.Configuración del routing OSPF

Fuente: Propia

Configuración de VPN con IPsec.

Tabla 5.Parámetros de política de fase 1 de ISAKMP.

Parámetros PRINCIPAL PLANTA

Método de distribución de claves

ISAKMP ISAKMP

Algoritmo de cifrado AES AES

Algoritmo hash SHA-1 SHA-1

Método de autenticación Claves previamente compartidas

Claves previamente compartidas

Intercambio de claves DH 2 DH 2

Vida útil de SA IKE 86400 segundos 86400 segundos

ISAKMP Key (Llave USB)

cisco cisco

Fuente: Propia.

Tabla 6.Parámetros de política de fase 2 de IPsec.

Parámetros PRINCIPAL PLANTA

Conjunto de transformaciones

VPN-SET VPN-SET

Nombre de host del peer PLANTA PRINCIPAL

Dirección IP del peer 10.2.2.2 10.1.1.2

Red para cifrar 192.168.1.0/24 192.168.2.0/24

Nombre de la asignación criptográfica

VPN-MAP VPN-MAP

Establecimiento de SA ipsec-isakmp ipsec-isakmp Fuente: Propia.

Lo primero que se debe hacer es habilitar las características de seguridad, se configura el módulo securityk9. PRINCIPAL(config)# license boot module c1900 technology-package securityk9 PRINCIPAL (config)# end PRINCIPAL # copy running-config startup-config PRINCIPAL # reload Para verificar si se activó el módulo securityk9, utilizamos el comando: PRINCIPAL#show versión, en la imagen resaltada en azul, se verifica que ya se activó el módulo.

Figura 21.Configuración del módulo securityk9 en el router PRINCIPAL

Fuente: Propia

Estos pasos se repiten en el router PLANTA. Configurar los parámetros de IPsec en el router PRINCIPAL. Se configuro el tráfico interesante en el router PRINCIPAL. Se utilizo la ACL 110 para identificar el tráfico interesante de la LAN en el router PRINCIPAL a la LAN en el router PLANTA, este tráfico activa la VPN con IPsec. El resto de tráfico que se origina en las LANs no se cifran. PRINCIPAL (config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Configuración de las propiedades de la fase 1 de ISAKMP en el router PRINCIPAL. Se instalo la política criptográfica ISAKMP 10 en el router PRINCIPAL junto con la clave criptográfica compartida: cisco. se configuro el cifrado, el método de intercambio de claves y el método DH. PRINCIPAL (config)# crypto isakmp policy 10 PRINCIPAL (config-isakmp)# encryption aes PRINCIPAL (config-isakmp)# authentication pre-share PRINCIPAL (config-isakmp)# group 2

PRINCIPAL (config-isakmp)# exit PRINCIPAL (config)# crypto isakmp key cisco address 10.2.2.1 Configurar las propiedades de la fase 2 de ISAKMP en el router PRINCIPAL. Se creo el conjunto de transformaciones con el nombre VPN-SET para usar esp-3des y esp-sha-hmac., después se hizo la asignación criptográfica VPN-MAP que vincula todos los parámetros de la fase 2. Se uso el número de secuencia 10 identificándolo como una asignación ipsec-isakmp. PRINCIPAL(config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac PRINCIPAL (config)# crypto map VPN-MAP 10 ipsec-isakmp PRINCIPAL (config-crypto-map)# description VPN connection to PLANTA PRINCIPAL (config-crypto-map)# set peer 10.2.2.1 PRINCIPAL (config-crypto-map)# set transform-set VPN-SET PRINCIPAL (config-crypto-map)# match address 110 PRINCIPAL (config-crypto-map)# exit Configurar la asignación criptográfica en la interfaz de salida.

Se vinculo la asignación criptográfica VPN-MAP a la interfaz de salida Serial 0/0/0. PRINCIPAL (config)# interface s0/0/0 PRINCIPAL (config-if)# crypto map VPN-MAP

Configurar los parámetros de IPsec en el router PLANTA. Se configura la ACL 110 para identificar como interesante el tráfico proveniente de la LAN en el router PLANTA a la LAN en el router PRINCIPAL. PLANTA(config)# access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Configuración de las propiedades de la fase 1 de ISAKMP en el router PLANTA. Se instalo la política criptográfica ISAKMP 10 en el router PLANTA junto con la clave criptográfica compartida: cisco. se configuro el cifrado, el método de intercambio de claves y el método DH. PLANTA(config)# crypto isakmp policy 10 PLANTA (config-isakmp)# encryption aes PLANTA (config-isakmp)# authentication pre-share PLANTA (config-isakmp)# group 2 PLANTA (config-isakmp)# exit PLANTA (config)# crypto isakmp key cisco address 10.1.1.1

Configurar las propiedades de la fase 2 de ISAKMP en el router PRINCIPAL. Se creo el conjunto de transformaciones con el nombre VPN-SET para usar esp-3des y esp-sha-hmac., después se hizo la asignación criptográfica VPN-MAP que vincula todos los parámetros de la fase 2. Se uso el número de secuencia 10 identificándolo como una asignación ipsec-isakmp. PLANTA (config)# crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac PLANTA (config)# crypto map VPN-MAP 10 ipsec-isakmp PLANTA (config-crypto-map)# description VPN connection to PRINCIPAL PLANTA (config-crypto-map)# set peer 10.1.1.1 PLANTA (config-crypto-map)# set transform-set VPN-SET PLANTA (config-crypto-map)# match address 110 PLANTA (config-crypto-map)# exit Configurar la asignación criptográfica en la interfaz de salida.

Se vinculo la asignación criptográfica VPN-MAP a la interfaz de salida Serial 0/0/0. PLANTA (config)# interface S0/0/1 PLANTA (config-if)# crypto map VPN-MAP Con el comando show crypto ipsec sa en el router PRINCIPAL y en el router PLANTA, observamos en las siguientes figuras que la cantidad de paquetes encapsulados, cifrados, desencapsulados y descifrados se establece en 0.

Figura 22. Parámetros IPsec configurados en el router PRINCIPAL

Fuente: Propia.

Figura 23.Parámetros IPsec configurados en el router PLANTA

Fuente: Propia.

Con respecto a la configuración de seguridad por acceso en el switch de capa 2 en la sede principal, este se determinará a través de seguridad por puertos mediante direcciones MAC seguras y persistentes, tanto para los puertos de la VLAN predeterminada, como, para los puertos de la VLAN que se diseñara y creara para los 2 dispositivos finales que transmitirán a través de la VPN. La configuración recomendada para lo mencionado anteriormente se relaciona a continuación. Implementación de Seguridad de Puertos. Para mitigar los ataques de capa 2, se deben proteger todos los puertos que no se usan inhabilitándolos en los switch, el switch 2960 de la sede principal tiene 24 puertos y tiene 8 puertos Fast Ethernet en uso, del puerto FA 0/1 al FA 0/9, se deben inhabilitar los 16 puertos que no se están utilizando. Emitiendo el comando shutdown de Cisco OIS, si se necesita reactivar un puerto, se puede hacer con el comando no shutdown. SWPRINCIPAL(config)# interface range fa0/9 - 24 SWPRINCIPAL(config-if-range)# shutdown También se debe inhabilitar los 2 puertos Gigabit Ethernet que no se están usando, con el comando shutdown. SWPRINCIPAL(config)# interface range gigabit ethernet 0/1 - 2 SWPRINCIPAL(config-if-range)# shutdown

Mitigación de ataques por saturación de tabla de direcciones MAC

A continuación, se explica cómo mitigar los ataque por saturación de tabla de direcciones MAC según el curso CCNAv7: Curso Bridging ENSA, en el capítulo 11.1.2.

“El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones MAC es habilitar la port security.

La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto. Permite a un administrador configurar manualmente las direcciones MAC para un puerto o permitir que el switch aprenda dinámicamente un número limitado de direcciones MAC. Cuando un puerto configurado con port security recibe un frame, la dirección MAC de origen del frame se compara con la lista de direcciones MAC de origen seguro que se configuraron manualmente o se aprendieron dinámicamente en el puerto.

Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad de puertos se puede usar para controlar la expansión no autorizada de la red, como se muestra en la figura.”9

Figura 24.Mitigación de ataques por saturación de tabla de direcciones MAC.

Fuente: https://contenthub.netacad.com/srwe-bridge/11.1.2 el 11de enero de 2021 14:33

9 Tomado textual de la URL: https://contenthub.netacad.com/srwe-bridge/11.1.2 tomado el 11de enero de 2021 a las 14:07

https://contenthub.netacad.com/srwe-bridge/11.1.2


Habilitar la seguridad de puerto enlace troncal. Como los puertos capa 2 del switch están definidos de manera predeterminada como dynamic auto (troncal encendido), para habilitar la seguridad del puerto se hace con comando port security solo se puede configurar en puertos de acceso o trunks configurados manualmente. Como el puerto Fast Etherner 0/1 del switch SWPRINCIPAL es un enlace troncal, se debe configurar en modo trunk y después habilitar la seguridad del puerto con el comando switchport port-security

SWPRINCIPAL(config)#interface fastEthernet 0/1 SWPRINCIPAL(config-if)#switchport mode trunk SWPRINCIPAL(config-if)#switchport port-security con el comando show port-security interface se puede observar la configuración de seguridad del puerto actual para FastEthernet 0/1, como se muestra en figura. Se evidencia que port security está habilitada, el modo de violación esta apagado, y que el número máximo de direcciones MAC permitidas es 1. Si un dispositivo está conectado al puerto, el switch automáticamente agregara la direccion MAC de este dispositivo como una dirección MAC segura.

Figura 25. Configuración de seguridad del puerto Fast Ethernet 0/1 del SWPRINCIPAL.

Fuente: Propia.

Habilitar la seguridad de puerto. para habilitar la seguridad de los puertos se hace con comando port security solo se puede configurar en puertos de acceso o trunks configurados manualmente.

Se configura los puertos Fast Etherner 0/2 - 24 del switch SWPRINCIPAL en modo acceso, y después se habilita la seguridad del puerto con el comando switchport port-security, SWPRINCIPAL(config)#interface range fastEthernet 0/2 - 24

SWPRINCIPAL(config-if)#switchport mode access SWPRINCIPAL(config-if)#switchport port-security Limitar las direcciones MAC Addresses del Switch SWPRINCIPAL En cada uno de los puertos que se están utilizando del switch SWPRINCIPAL se configura una dirección MAC estática, de forma manual, usando el siguiente comando para cada dirección MAC en el puerto: switchport port-security mac-address mac-address, mac-address es la dirección MAC del computador que se conectara al puerto del switch. En la aplicación de Símbolo de sistema de Windows con el comando ipconfig / all, encontramos la dirección MAC del computador para incluirla como direccion MAC estática en el puerto del switch. A continuación se hará la configuración de seguridad de puerto, en la interfaz Fast Ethernet 0/2 del switch SWPRINCIPAL con dirección MAC estática, en este puerto se conectara el computador Servidor el cual tiene la dirección MAC 00E0.F73E.25B5. SWPRINCIPAL(config)#interface fastEthernet 0/2 SWPRINCIPAL(config-if)#switchport port-security mac-address 00E0.F73E.25B5

Figura 26.Configuración de seguridad del puerto Fast Ethernet 0/2 del SWPRINCIPAL.

Fuente: Propia

Figura 27. Dirección MAC del PC Servidor.

Fuente: Propia.

La configuración anterior se hace en los puertos que se están utilizando en el Switch SWPRINCIPAL y SWPLANTA on los siguientes datos: Tabla 7. asignación de direcciones MAC en la configuración de seguridad de puertos de los switch.

PC Interfaz MAC

PC-Servidor SWPRICIPAL F0/2 00E0.F73E.25B5

PC-Gerencia SWPRICIPAL F0/3 00D0.FFE2.E2D4

PC-Administración SWPRICIPAL F0/4 0060.3EE3.AB35

PC-Ventas SWPRICIPAL F0/5 00E0.B03D.4170

PC-Tesorería SWPRICIPAL F0/6 0002.1743.83A6

PC-Bodega SWPRICIPAL F0/7 0010.11DC.104B

Printer SWPRICIPAL F0/8 0009.7C23.2A7C

PC-Planta SWPLANTA F0/2 0002.16C2.3D02

Fuente: Propia

Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se aprenden dinámicamente en todas las interfaces del switch se usa el comando show port-security address.

Figura 28. Configuración de las direcciones MAC en el switch SWPRINCIPAL.

Fuente: Propia.

Seguridad de puertos: modos de violación de seguridad. Si se conecta un dispositivo con una dirección MAC diferente a la de la lista de direcciones seguras del Switch SWPRINCIPAL, esto ocasiona una violación de puerto y entra en un estado de error-disabled de manera determinada. Con el siguiente comando se habilita el modo de violación de seguridad de puerto. Switch(config-if)# switchport port-security violation { protect | restrict | shutdown} En la siguiente tabla se muestra cómo responde el switch según el comando Shutdown, restrict y protect

Tabla 8. Modos de violación de seguridad.

Comando Descripción

Shutdown (predeterninado)

El puerto transiciona al estado de error-disabled inmediatamente, apaga el LED del puerto, y envía un mensaje syslog. Aumenta el contador de violaciones Contador. Cuando un puerto seguro está en estado error-disabled un administrador debe re-habilitarlo ingresando los comandos shutdown y no shutdown

Restrict

El puerto bota los paquetes con direcciones MAC de origen desconocidas hasta que usted remueva un número suficiente de direcciones MAC seguras para llegar debajo del máximo valor o incremente el máximo valor Este modo causa que el contador de violación de seguridad incremente y genere un mensaje syslog.

Protect

Este modo es el menos seguro de los modos de violaciones de seguridad. No se realiza el tráfico de puertos los paquetes con direcciones MAC de origen desconocidas hasta que usted remueva un número suficiente de direcciones MAC seguras para llegar debajo del valor máximo o o incremente el máximo valor No se envía ningún mensaje syslog.

Fuente: 1https://contenthub.netacad.com/srwe-bridge/11.1.6 el 14 de enero de 2021 17:22

Salto de VLAN suplantando a un switch. A continuación, se explica cómo mitigar los ataques de salto de VLAN suplantando a un switch.de la página ciberseguridad.net “En un ataque de VLAN hopping el objetivo del atacante es conseguir generar tráfico malicioso y que este llegue a otra VLAN evadiendo la configuración de la red que las esté gestionando. El atacante en este caso de switch spoofing, configura su host para actuar como un switch y de esta manera aprovecharse de las funciones de trunk automático.

Para aprovechar este auto trunk por defecto, el atacante configura su host para lanzar señales falsas de 802.1Q (standard de red que da soporte a VLANs sobre una red 802.3 Ethernet y de DTP (Dynamic Trunking Protocol es un protocolo propietario de Cisco que permite negociar el trunking en un link entre dos switches y el tipo de encapsulamiento a usar).

De esta manera y si el switch legítimo en la red no se ha protegido contra este ataque, el atacante conseguirá establecer un trunk link contra el switch y por lo tanto acceder a todas las VLAN configuradas en el mismo. Desde ese momento el atacante puede taggear el tráfico para llegar a cualquiera de ellas.

Mitigación

Para mitigar este ataque lo que se requiere básicamente es aplicar una serie de buenas prácticas en cuanto a la configuración de switches que van a ser puestos en producción. Vamos a ver los diferentes pasos con comandos de Cisco IOS:

• Deshabilitar las negociaciones DTP (auto trunk) en puertos no troncales con switchport mode access

• Deshabilitar los puertos no usados con shutdown y además colocarlos en una VLAN no usada con por ejemplo switchport access vlan 999

• Habilitar manualmente en los puertos troncales el trunk link con switchport mode trunk

• Deshabilitar las negociaciones DTP (auto trunk) en puertos troncales con switchport nonegotiate

• Configurar la VLAN nativa a otra VLAN distinta de la 1, usando el comando switchport trunk native vlan número de VLAN.”10

Para mitigar el ataque de salto de VLAN, se realizó la siguiente configuración en el switch SWPRICIPAL, se creó la VLAN 998 con el nombre 999, para enviar todas las interfaces del switch que no están en uso en este caso las Fast Ethernet 0/9 – 24,

SWPRINCIPAL(config)#vlan 998 SWPRINCIPAL(config-vlan)#name 999 SWPRINCIPAL(config-vlan)#exit SWPRINCIPAL(config)#interface range f0/9 - 24 SWPRINCIPAL(config-if-range)#switchport access vlan 998 SWPRINCIPAL(config-if-range)#exit SWPRINCIPAL(config)#interface range g0/1 - 2 SWPRINCIPAL(config-if-range)#switchport access vlan 998 SWPRINCIPAL(config-if-range)#exit Para configurar la interfaz que funciona como troncal en el switch de la sede principal, en este caso la Fast Ethernet 0/1, se hace la siguiente configuración. SWPRINCIPAL(config)#interface f0/1 SWPRINCIPAL(config-if)#switchport mode trunk SWPRINCIPAL(config-if)# switchport nonegotiate SWPRINCIPAL(config-if)# switchport trunk native vlan 1 Para configurar la interfaz que funciona como troncal en el switch de la planta de producción, en este caso la Fast Ethernet 0/1, se hace la siguiente configuración. SWPLANTA(config)#interface f0/1 SWPLANTA(config-if)#switchport mode trunk SWPLANTA(config-if)# switchport nonegotiate SWPLANTA(config-if)# switchport trunk native vlan 1

10 Tomado textual de la URL: https://www.cyberseguridad.net/index.php/624-vlan-hopping-switch-spoofing-salto-de-vlan-suplantando-a-un-switch-ataques-informaticos-viii tomado el 18 de enero de 2021 a las 14:07

https://www.cyberseguridad.net/index.php/624-vlan-hopping-switch-spoofing-salto-de-vlan-suplantando-a-un-switch-ataques-informaticos-viii

https://www.cyberseguridad.net/index.php/624-vlan-hopping-switch-spoofing-salto-de-vlan-suplantando-a-un-switch-ataques-informaticos-viii

5.4. Entregar propuesta del diseño de la VPN sitio a sitio.

Figura 29.Diseño VPN sitio a sitio de la empresa Manantiales de los Andes S.A.S

Fuente: Propia

Como se puede apreciar en la topología relacionada en la figura, el router denominado PRINCIPAL corresponde al extremo del tunel 0, en él se configura la opción de GRE con la dirección IP.

Con respecto al switch de capa 2 que permite la conexión tanto en la sede principal como en la sede de la Calera, el componente de seguridad como se puede apreciar en la configuración entregada en el ítem 5.4, se hace para mitigar los ataques de fuerza bruta, VLAN hopping o salto de VLAN del ataque por saturación de tabla MAC.

El ataque de fuerza bruta se contrarresta mediante el uso de contraseñas solidas o seguras y cambios frecuentes de la misma, por parte de los empleados que acceden al sistema. La contraseña en su seguridad se genera a partir de longitudes no inferiores a 10 caracteres e involucrando letras (Mayúsculas y minúsculas), números y caracteres especiales.

CONCLUSIONES. Teniendo en cuenta el trabajo desarrollado en la empresa Manantiales de los Andes S.A.S, se pueden enunciar las siguientes conclusiones: Se logro identificar que la red LAN de la sede principal y planta de envasado es tipo estrella, al igual que, la mayoría de los equipos cumplen con los requisitos para implementar una VPN sitio a sitio, no obstante, es conveniente cambiar el switch HP el cual, no permite poner en marcha la VPN. Por ende, se recomienda conseguir el switch serie 2960 Cisco, debido a que cumple con las características para implementar lo anterior. También se puede concluir que para que la VPN cumpla con los parámetros de seguridad, es necesario realizar las siguientes configuraciones: parámetros iniciales en los routers y los switch, implementar acceso remoto SSH, conformar una ACL para identificar el tráfico interesante de la LAN, el cual activa la VPN con IPsec y activar en el router de la sede principal y planta, el enrutamiento GRE con encriptación IPsec, con el propósito de garantizar la seguridad de los datos transmitidos entre la sede principal y la planta. Por otra parte, se presenta una simulación de la VPN sitio a sitio sugerida a la empresa, empleando el programa Cisco Packet Tracer versión 7.3.1 donde se evidencia su buen funcionamiento en el momento de proteger los datos transmitidos entre la sede principal y la planta. Asimismo, es importante que la empresa adquiera los equipos y realice las configuraciones sugeridas ya que esto le permitirá mejorar su seguridad informática, ser más competente en el mercado y generar confianza en sus clientes y trabajadores. Una de las limitaciones encontradas en el transcurso del trabajo desarrollado se basa en que los dueños y líderes de la empresa no tienen como prioridad garantizar la seguridad de la información de esta, en consecuencia, no dispone de un presupuesto para tal fin. Sin embargo, gracias a la propuesta y diseño presentado, la gerencia considera oportuno exponer lo anterior a la asamblea de directivos; con el objetivo de que aprueben la implementación de esta.

REFERENCIAS BIBLIOGRÁFICAS.

Molina Robles, F. (2014). Protocolos de red y esquemas de direccionamiento. En Redes locales (pág. 124). RAMA.

Olifer, N., & Olifer, V. (2009). Evolucion de las redes de computadoras. En Redes de Computadoras (pág. 23). Mc Graw Hill.

CISCO. (10 de diciembre de 2020). Conceptos de VPN e IPsec. Obtenido de NetAcad CISCO CCNAv7, Curso Bridging ENSA: https://contenthub.netacad.com/ensa-bridge/8.0.1

CISCO. (12 de enero de 2021). Conceptos de seguridad en la LAN. Obtenido de NetAcad CISCO, CCNAv7 Curso Bridging ENSA: https://contenthub.netacad.com/srwe-bridge/10.4.1

Cadenas, S. X., & Zaballos, D. (2006). Guía de Sistemas de Cableado Estructurado. Barcelona: Ediciones Experiencia.



GLOSARIO.

ACL: (Lista de Control de Acceso) se usa para dar permisos de acceso apropiados a un determinado objeto y filtrar el tráfico. AES: (Advance Encryption Standard) Estándar de Cifrado Avanzado. También conocido como Rijndael. es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos AH: (Authentication Header) Protocolo de la familia IPSec utilizado para garantizar la integridad de los datos y la autenticación del Host. Cifrado: un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido. Cisco: Empresa multinacional con sede en San José (California, Estados Unidos), principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones. Enlace troncal: Es un enlace que se configura en uno o más puertos de un switch para permitir el paso del tráfico de las distintas VLANs que hemos configurado. Este enlace puede funcionar en una conexión de switch a otro switch o bien, de un switch a un router, Fast Ethernet: Ethernet de alta velocidad es el nombre de una serie de estándares de IEEE de redes Ethernet de 100 Mbps (megabits por segundo). IEEE: Instituto de Ingenieros Eléctricos y Electrónicos (USA). Su Comité de Estándares para las Tecnologías Educativas trabaja con el objetivo de desarrollar estándares técnicos, prácticas recomendadas y guías para la implementación informática de sistemas de formación y educación. IKE: (Internet Key Exchange). IKE establece una política de seguridad compartida y autentica claves para los servicios que requieren claves utilizados en IPsec. IP: (Internet Protocol): es un protocolo de comunicación de datos digitales clasificado funcionalmente en la capa de red según el modelo internacional OSI. IPv4: es la versión 4 del Protocolo IP (Internet Protocol). Ésta fue la primera versión del protocolo que se implementó extensamente, y forma la base de Internet. ISAKMP: Internet Security Association and Key Management Protocol es un protocol criptográfico que constituye la base del protocolo de intercambio de claves IKE. Está definido en el RFC 2408.

LAN: (Local Área Network) es la interconexión de varias computadoras y periféricos. Su extensión está limitada físicamente a un edificio o a un entorno de 200 metros, o con repetidores podría llegar a la distancia de un campo de 1 kilómetro. Su aplicación más extendida es la interconexión de computadoras personales y estaciones de trabajo en oficinas, fábricas, etc. OSI: El modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open System Interconnection) es el modelo de red descriptivo creado por la Organización Internacional para la Estandarización lanzado en 1984. Es decir, es un marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones. OSPF: (Open Shortest Path First) protocolo de enrutamiento jerárquico de pasarela interior que usa el algoritmo Dijkstra enlace para calcular la ruta más corta posible. Packet Tracer: Herramienta de aprendizaje y simulación de redes interactiva para losninstructores y alumnos de Cisco CCNA. Esta herramienta les permite a los usuarios crear topologías de red, configurar dispositivos, insertar paquetes y simular una red con múltiples representaciones visuales. Protocolo: Conjunto de reglas usadas por computadoras para comunicarse unas con otras a través de una red. Router: Direccionador, ruteador o encaminador es un dispositivo de hardware para interconexión de red de ordenadores que opera en la capa tres (nivel de red) de OSI. SHA: (Secure Hash Algorithm) un conjunto de funciones hash diseñado por la Agencia de Seguridad Nacional de los Estados Unidos. SSH: (Secure SHell) intérprete de órdenes segura. Es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. TELNET: (Telecommunication Network) es el nombre de un protocolo de red que sirve para acceder mediante una red a otra máquina para manejarla remotamente como si estuviéramos sentados delante de ella. VLAN: (Virtual LAN, Red de Área Local Virtual) es un método de crear redes lógicamente independientes dentro de una misma red física. VPN: (Virtual Private Network) es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS ...

Documents

Transcript of DISEÑO DE UNA VPN SITIO A SITIO PARA PROTEGER LOS DATOS ...