TESIS Seguridad VPN

INSTITUTO SUPERIOR TECNOLGICO
PROGRAMA ACADMICO DE
COMPUTACIN E INFORMTICA

ESPECIALIDAD
REDES & COMUNICACIONES

TRABAJO MONOGRFICO PARA OBTENER
EL TTULO PROFESIONAL

SISTEMA DE SEGURIDAD VPN CON ALTA
DISPONIBILIDAD

PRESENTADO POR:
RODRIGO SAAVEDRA ABEL HAMMER

Lima Per
2010

3

Dedicado a:

Este trabajo est dedicado con mucho cario y entrega a:
A mi mama, una seora ejemplar que me ense los valores de la vida y
est conmigo siempre. Gracias mam!
A mi pap, a quin la vida me arrebat muy pronto, te extrao y
siempre te llevo conmigo. Gracias Pap!
A mis Hermanos por su ayuda y como un ejemplo de superacin.
Quienes con su esfuerzo y sacrificio siempre me apoyaron.

4

AGRADECIMIENTOS

Primero quiero agradecer a Dios por haberme puesto en mi camino
a todas aquellas personas que me ayudaron de alguna manera al
desarrollo de ste trabajo de investigacin.

A los docentes de Redes & Comunicaciones, por sus importantes
opiniones y consejos para el desarrollo del presente trabajo.

Y, por supuesto, el agradecimiento ms profundo a toda mi
familiar en general, por su apoyo, colaboracin y confiar en m.

Por ltimo, quiero agradecer a todas aquellas personas que sin
querer olvido, muchas gracias de todo corazn!

5

NDICE

Nro. Pgina

INTRODUCCION.. ............................................................................ 08
CAPTULO I: ANTECEDENTE DE LA EMPRESA BATA .......................................... 10
1.1. Antecedentes ..................................................................................... 11
1.2. Visin.. ............................................................................ 11
1.3. Misin . ......................................................................................... 11
1.4. Anlisis FODA ..................................................................................... 12
1.4.1. Fortalezas ............................................................................ 12
1.4.2. Oportunidades ..................................................................... 13
1.4.3. Debilidades .......................................................................... 13
1.4.4. Amenazas ............................................................................. 14
1.5. Estrategias del Negocio ...................................................................... 15
1.5.1. Estudio del Consumidor ....................................................... 16
1.5.1.1. . Segmentacin del mercado ................................... 16
1.5.2. Estrategia Comercial. ............................................................ 17
1.5.2.1. . Estrategia de Precios .............................................. 17
1.5.2.2. . Estrategia de Pagos ................................................ 17
1.5.2.3. . Estrategias de Comunicacin ................................. 18
1.5.2.3.1 Publicidad ............................................. 18
1.5.2.3.2 Promocin. ........................................... 20
1.6. Modelo de Negocios ........................................................................... 22
1.6.1. Organizacin de la Empresa .................................................. 22
1.6.2. Plataformas Tecnolgicas ...................................................... 23

6

1.6.3. Unidades de Negocios ........................................................... 24
1.6.3.1 Servicios IT ............................................................. 24
1.7 Arquitectura de Proyectos TIC ............................................................ 26
CAPTULO II: DIAGNOSTICO SITUACIONAL DE LA EMPRESA BATA ................... 27
2.1 Anlisis Situacional (Problemtica) ...................................................... 28
2.2 Solucin de Negocios TIC ..................................................................... 31
CAPTULO III: DESARROLLO DEL PROYECTO ........................................................ 34
3.1 Justificacin Del Proyecto .................................................................... 35
3.1.1 Justificacin Tcnica Del Proyecto .......................................... 35
3.1.1.1 Anlisis Tcnico ......................................................... 40
3.1.1.2 Ventajas de VPN y Alta Disponibilidad ...................... 50
3.1.1.3 Beneficios de VPN y Alta Disponibilidad ................... 51
3.1.1.4 Tipos de Acceso VPN ................................................. 52
3.1.2 Justificacin Econmica .......................................................... 52
3.2 Objetivos Del Proyecto ........................................................................ 54
3.2.1 Objetivo General ...................................................................... 54
3.2.2 Objetivos Especficos ................................................................ 54
3.3 Caractersticas Del Proyecto ................................................................ 55
3.4 Organizacin Del Proyecto (Diagrama Gantt) ...................................... 56
3.5 Alcance Del Proyecto ........................................................................... 57
3.6 Funcionalidad Y Escalabilidad Del Proyecto......................................... 58
CAPTULO IV: PLANEAMIENTO DE REQUERIMIENTOS ......................................... 59
4.1 Requerimientos De Red, Hardware ..................................................... 61
4.2 Requerimientos De Software ............................................................... 61
4.3 Requerimientos De Tiendas Y Usuario Mviles ................................... 63

7

CAPITULO V: NETWORKING SOLUTIONS ............................................................ 64
5.1 Diseo Del Proyecto TIC ....................................................................... 65
5.2 Diseo De Planos: Grficos .................................................................. 66
CAPITULO VI: PRUEBAS TIC ................................................................................ 69
6.1 Pruebas Integrales ............................................................................... 70
6.1.1 Escenario de Pruebas ................................................................. 70
6.2 Certificacin De Calidad ....................................................................... 88
CAPTULO VII: IMPLEMENTACIN DEL PROYECTO .............................................. 89
7.1 Puesta En Marcha Del Proyecto ........................................................... 90
7.2 Plan De Mantenimiento ....................................................................... 90
7.3 Plan De Contingencias ......................................................................... 91
7.4 Plan De Capacitacin Al Personal ........................................................ 93
7.5 Documentacin Del Proyecto .............................................................. 94
7.5.1 manuales ................................................................................ 94
CAPTULO VIII: EVALUACIN ECONMICA ....................................................... 124
8.1 Anlisis Econmico ............................................................................ 125
8.2 Presupuesto de Egresos ..................................................................... 125
8.3 Evaluacin Econmica y Financiera ................................................... 130
8.4 Viabilidad del Proyecto ...................................................................... 131
8.5 Beneficios de la Nueva Red ................................................................ 132
Conclusiones............................................................................................................ 133
Recomendaciones ................................................................................................... 135
Anexos, Workshops ................................................................................................. 136
Bibliografa .............................................................................................................. 138
Glosario ................................................................................................................... 140

8

INTRODUCCION

Desde sus orgenes en el ao 1969, en donde se estableci la primera red de
computadoras a la cual se le denomin ARPANET, hasta nuestros das,
Internet ha pasado a travs de un largo proceso evolutivo. Actualmente, es
una de las principales fuentes de conocimiento y de intercambio de
informacin, adems se ha convertido en una plataforma que brinda
grandes oportunidades para hacer negocios (E-business)

Lastimosamente, tambin es usado como un medio para perpetrar ataques
que han ocasionado prdidas de informacin no solo a las empresas de
diversos tamaos, sino tambin a personas naturales. Dichos ataques han
ido creciendo en los ltimos aos, segn cifras brindadas por [WWW0001].
Segn se menciona en [CISC2010] y en la lista de las veinte (20) mayores
vulnerabilidades del 2007 publicada por [WWW0002], el factor humano es
una de las principales brechas de seguridad dentro de cualquier sistema.

La informacin es el principal activo de toda organizacin segn los
modernos paradigmas de la administracin empresarial, pudiendo hacer su
aparicin de muchas formas: impresa o escrita en papel, almacenada
electrnicamente, transmitida por correo, ilustrada en pelculas o hablada
en conversaciones. En el ambiente de negocios competitivo de hoy esa
informacin esta constante bajo amenaza de muchas fuentes, que puede ser
internas, externas, accidentales o maliciosas para con la organizacin.

Las organizaciones dependen cada vez ms de sus sistemas de informacin,
por lo que se desea que sean permanezcan disponibles el mayor tiempo
posible, la alta disponibilidad es la caracterstica que tiene un sistema para
protegerse o recuperarse de interrupciones o cadas de forma automtica y
en corto plazo de tiempo.

9

La falta de medidas de seguridad en las redes es un problema que est en
crecimiento. Cada vez es mayor el nmero de atacantes y cada vez estn
ms organizados, por lo que van adquiriendo da a da habilidades ms
especializadas que les permiten obtener mayores beneficios.

Es importante recalcar que un componente muy importante para la
proteccin de los sistemas consiste en la atencin y vigilancia continua y
sistemtica por parte de los responsables de la red.

El propsito y objetivo de la empresa (BATA) es establecer un SISTEMA DE
SEGURIDAD VPN CON ALTA DISPONIBILIDAD. Este proyecto conviene tanto
para grandes como tambin para pequeas y medianas empresas en
crecimiento, que requieren apoyo para superar sus actuales dimensiones y
lograr metas ambiciosas en tecnologa.

La metodologa que se utiliza para este proyecto que estamos desarrollando
es propia de los estndares y parmetros CISCO Y MICROSOFT, para
desarrollar e implementar proyectos de tecnologa de informacin IT.

Espero que el presente trabajo monogrfico sirva de gua para futuras
generaciones del programa de REDES & COMUNICACIONES que deseen
mejorar este proyecto de tecnologa o investigar otros proyectos
relacionados con seguridad informtica.

10

CAPTULO I

ANTECEDENTES DE LA EMPRESA
BATA

11

ANTECEDENTES DE LA EMPRESA BATA

1.1. ANTECEDENTES

Bata, una de las compaas de calzado con mayor antigedad en el
mundo. Tiene ms de 110 aos de existencia y est presente en cerca
de 70 pases, en todos los continentes. En Amrica Latina se
encuentra en Mxico, Nicaragua, Ecuador, Per, Colombia, Bolivia y
Chile.

Fabrica y vende calzado para hombres, mujeres, nios, escolares y
para deportes. Con ms de 70 aos de presencia en el mercado
nacional ofreciendo calzado de gran calidad a las familias peruanas
en cada una de sus 121 tiendas a nivel nacional (25 tiendas en
Centros Comerciales y 96 tiendas de calles).

1.2. VISIN

Ser la marca lder de calzado y botas de seguridad a nivel nacional.

1.3. MISIN

Ser la marca ms especializada en calzado de seguridad con una lnea
con tecnologa, innovacin y confort, adems de una fuerte red de
distribucin y servicio de excelencia.

12

1.4. ANLISIS FODA
1.4.1. FORTALEZAS.
Participacin de mercado. Bata Per es principal actor del
mercado nacional de calzado, lo que le permite manejar
dentro de ciertos rangos- las variables claves del negocio,
logrando ventajas en relacin a productores e
importadores menores.
Distribucin y presencia. La empresa posee una extensa
red de tiendas propias a lo largo de Per, lo que le permite
distribuir sus productos masivamente y le otorga
importantes ventajas sobre la competencia. Por otra parte
posee una amplia gama de marcas bien posicionadas en los
distintos segmentos en que participa en el mercado
nacional.
Integracin Vertical.- Bata Per presenta integracin
vertical en la produccin de calzados, lo que disminuye su
dependencia de proveedores externos y ayuda a un mejor
control productivo de la empresa.
Apoyo internacional. Bata Per forma parte de un
importante grupo multinacional (BSO) dedicado a la
fabricacin y comercializacin de calzado en todo el
mundo. De esta manera, puede contar con un considerable
apoyo en infraestructura, tecnologa y gestin.
Ampliacin de sus puestos de trabajo en los ltimos aos
con tendencia al crecimiento.
Conocimiento del mercado local.
Disponibilidad de mano de obra con experiencia y
habilidades que facilita su actualizacin va capacitacin.
Cuenta con tecnologa moderna en equipos de
comunicaciones, hardware y software.
Ofrece capacitacin constante a su personal.

13

1.4.2. OPORTUNIDADES.
Ampliacin de nuevos servicios por nueva tecnologa de
comunicacin.
Manejar convenios estratgicos con empresas importantes
en el mercado.
Formar lderes en el mercado concientizados con la visin y
la cultura de la empresa.
Mercados extranjeros atractivos a travs de tratados de
libre comercio.
Compras de insumos extranjeros.
Acceso a fuentes externas de capacitacin que actualicen
al sector
Utilizar mecanismos de apoyo de informacin va direccin
promocin del ministerio de relaciones exteriores.

1.4.3. DEBILIDADES.
Dificultades en la exportacin por volmenes grandes.
Altos costos de financiamiento.
Tendencia a la baja de precios y mrgenes de utilidad en la
industria por la feroz competencia tanto nacional como
internacional y facilidad de entrada.
Escasez de materia prima y buena calidad, competencia
por dichos recursos con importadores nacionales como
extranjeros.
Poca capacitacin a personal de produccin acompaado
de bajos salarios.
Uso de tecnologa no adecuada a la modernidad.

14

1.4.4. AMENAZAS
Industria competitiva. La empresa participa en una industria
competitiva a nivel nacional lo que se ha visto incrementado
con el aumento de las importaciones a precios no
competitivos en los ltimos aos. Este crecimiento produjo
una disminucin de los precios en el mercado y afect el
nivel de actividad de la industria nacional. Eventualmente,
esto disminuir la rentabilidad del sector.
Grandes tiendas y empresas extranjeras. El fuerte desarrollo
de marcas propias en las grandes tiendas, mediante la
importacin o produccin propia, influye fuertemente en el
mercado del calzado.
Cambios en la moda. Los cambios en la moda provocan la
existencia de inventarios obsoletos. Estos generan
inversiones inmovilizadas, que luego deben ser liquidadas a
precios menores, sacrificando la rentabilidad.
Mejoras de oferta laboral por parte de empresa de
competencia.
Que los jvenes rechacen el producto.
Que la competencia baje sus precios.
Que suba la mano de obra artesanal.
La naturaleza: Sismos, atentados.
Errores de procesamiento de transacciones.
Desperdicio/ Uso indebido de recursos corporativos.
Abuso de privilegios y derechos.
Imitacin del producto.
Robo.

15

1.5. ESTRATEGIAS DEL NEGOCIO

En el mundo de los negocios, lo que manda es la estrategia. El que
posee la estrategia adecuada es el que sobrevive y triunfa. Se puede
cometer una cierta cantidad de errores en la vida de una empresa y
de hecho es lo que ocurre, pero no est permitido errar en la gran
estrategia.

La empresa est dedicada a la produccin de aquellas lneas que
tengan mayor valor agregado. De esta manera forma se ha ido
eliminando la produccin de calzados de lona y hawaianas, para
enfocarse en productos de cuero y goma que presentan una mayor
rentabilidad. Detrs de este objeto est la idea de fortalecer las
marcas de la empresa, principalmente fortaleza a la hora de
competir con las importaciones. Esta estrategia llevar a mayores
reducciones en los niveles de produccin, los que deberan de
acercarse a los 2,5 millones de pares de calzado en el futuro,
compensando el resto de importaciones.

Adems, Bata espera seguir diversificando sus lneas de productos a
travs de las representaciones exclusivas y las nuevas tiendas que
permiten atacar distintos nichos del mercado.

El diseo de un plan de negocios para la empresa BATA es de gran
importancia como instrumento que nos acerca a la realidad futura
del proyecto. Para desarrollar esta propuesta, primero se tuvo en
cuenta la situacin del sector de calzado y se realiz un diagnostico
detallado de todos los factores que inciden en el entorno econmico
del pas, luego se procedi a realizar un anlisis de mercado para
identificar un pblico objetivo y las posibles estrategias que se
desarrollan para captar un porcentaje del mercado.

16

1.5.1. ESTUDIO DEL CONSUMIDOR
1.5.1.1. Segmentacin del mercado.

CARACTERISTICAS DEL CLIENTE

GEOGRFICAS
Ciudad: Lima
Poblacin urbana - rural: Urbana
Zona: Lima

DEMOGRFICOS
Gnero: Masculino/ Femenino
Edad: 8 - 40 aos
Ingresos: Hombres, mujeres, con un nivel medio adquisitivo desde 1 SMMLV (Salarios
mnimos mensuales legales vigentes), en adelante.
Ocupacin: empresarios (as), estudiantes, trabajadores independientes y empleados
pblicos.

PSICOLGICAS:
Personalidad: una persona que le gusta distinguirse dentro de su grupo social, le gusta
vestirse bien y le gusta reflejar su personalidad en la sociedad, llevar objetos que la
caractericen por ser elegante.
Estilo de vida: formal e informal, que usan como una herramienta para tener una
mejor apariencia y ser distinguidas de las dems, les gusta satisfacer el ego y tener
xito en la sociedad en la que habitan.

17

1.5.2. ESTRATEGIA COMERCIAL.
1.5.2.1. ESTRATEGIA DE PRECIOS
Para posicionar la empresa en el mercado y generar
unas utilidades considerables, se manejara la siguiente
estrategia de negocio de precios para nuestros
productos:

Estrategias de precios orientadas a la competencia:
Con esta estrategia de precios, la atencin se
centrara en los precios establecidos por los
competidores. Estableceremos un precio semejante
al generado establecido por los principales
competidores, teniendo en cuenta los costos de
elaboracin del producto y el margen de utilidad
que tenemos previsto.

Estrategias de precios de buen valor: La estrategia
anterior se complementa con esta estrategia, que
consiste en ingresar al mercado productos nuevos
de alta calidad a precios accesibles; en este caso los
precios estables del mercado (de la competencia).

1.5.2.2. ESTRATEGIA DE PAGOS.
Para tener una buena liquidez en el proyecto y generar
una fidelidad de los clientes para con la empresa,
tendremos en cuenta unas polticas de pago con ellos:

18

Descuentos por cantidad: reduccin del precio
para los compradores que adquieran el producto
en grandes cantidades. Por 3 pares de zapatos que
lleven, reciben un descuento del 20% en el 4 par.
Por compras superiores reciben un descuento de
20% sobre la compra de los pares adicionales.

Descuento por temporada: reduccin del precio
para los compradores que adquieran productos que
fueran de temporada. Con unos descuentos que
pueden oscilar entre 10 y 30%, si el producto ya
est de temporada, para estimular la demanda y
evitar acumulacin de inventario.

1.5.2.3. ESTRATEGIAS DE COMUNICACIN.
1.5.2.3.1. Publicidad

Con la publicidad queremos posicionarnos en la
mente del consumidor, para generar una
recordacin de la marca y as captar una
demanda potencial, generando unas utilidades
considerables. Nuestro objetivo principal seria
informar sobre productos nuevo, para crear
una demanda primaria.

Algunas de las estrategias de publicidad que
adoptaremos sern:

19

Estrategias de posicionamiento: Con la
implementacin de esta estrategia,
tendremos como objetivo dar a la marca un
lugar en la mente del consumidor, frente a
las posiciones de la competencia, a travs de
asociarle el valor agregado del producto.

Para la ejecucin de la publicidad llevaremos
a cabo un plan de publicidad de la siguiente
manera:

Teniendo en cuenta los datos obtenidos de
la encuesta, utilizaremos publicidad por
correo electrnico y prensa, ya que la
mayora de los encuestados dijeron estar de
acuerdo en recibir publicidad del producto
por dichos medios.

DISTRIBUCIN DE LA PUBLICIDAD:
Publicidad en prensa tendr una
participacin del 60%
Publicidad en Internet tendr una
participacin del 40%
Total 100%

20

Publicidad en prensa:
Primeros meses de lanzamiento del
producto: anuncio peridico el Tiempo, 3
clasificados de rea 20 cm distribuidos por
un periodo de 15 das cada uno. Costo total
= 5 900
Luego de los primeros 12 meses en
adelante se pondr 1 aviso de base
irregular por mes. Costo por aviso = 170
Publicidad en Internet:
Primeros meses de lanzamiento del
producto 1 Banner animado 281X100 px
(Web x 1 ao) = $ 1920.
Costo por 6 meses: $ 990.
Luego de los primeros 12 meses 1 Banner
animado 281X100 px (Web x 1 ao) =$ 1699
1.5.2.3.2. Promocin

Para incentivar las ventas ser necesario planificar y
llevar a cabo unas estrategias de promocin de
ventas para estimular el consumo del producto.
Los objetivos que pretendemos alcanzar con esta
promocin de ventas son:

Aumentar las ventas en el corto plazo.
Aumentar la Participacin de mercado en el largo
plazo.
Lograr la prueba del nuevo producto.

21

Los instrumentos de promocin de consume que
utilizaremos son:

Paquetes promocionales (o descuentos):
Descuentos en el precio del producto en la
etiqueta o el paquete en el primer mes de
inaugurada una nueva lnea de calzado.

Premios: Productos gratuitos o que se
ofrecern por la compra de 2 pares de
zapatos como incentivo para la adquisicin
de algn producto, el obsequio sorpresa con
el nombre de la empresa.

Promocin para la fuerza de ventas:
Promocin de ventas concebidas para
motivar a la fuerza de ventas y conseguir
que los esfuerzos del grupo ventas resulten
ms eficaces, a travs de porcentajes sobre
las ventas que se realicen. Esta comisin
ser del 1% sobre las ventas que realicen.

22

1.6 MODELO DE NEGOCIOS

1.6.1 ORGANIZACIN DE LA EMPRESA

23

1.6.2 PLATAFORMAS TECNOLGICAS

SOFTWARE.
SISTEMAS OPERATIVOS.
WINDOWS
Microsoft Windows XP
Microsoft Windows Server 2003

LINUX
Linux Centos 5.1, x86
Linux Debian 4.0

HARDWARE
o Cisco Systems.
o IBM.
o HP
o Nokia
o UPS

24

1.6.3 UNIDADES DE NEGOCIO
1.6.3.1 SERVICIOS IT
Portal web de la Empresa BATA PERU: Es un portal de
informacin moderno y virtual que responde a las
necesidades del cliente y de los negocios modulares de la
corporacin. Su misin es garantizar el apoyo informacional
oportuno y efectivo a las labores de investigacin, asistencia
tcnica a las operaciones y a las comunidades de
conocimiento. El portal est accesible a todo el personal a
travs de la pgina de BATA y puede ser considerado como la
herramienta de apoyo a la Inteligencia Empresarial
Competitiva (Fig. 1.2).

Fig. 1.2 Pgina WEB de la empresa BATA

25

Entre las distintas facilidades que conforman esta plataforma
podemos destacar:
Newsletter.- Servicio para brindar informacin al
cliente sobre ofertas, la Newsletter es totalmente
gratuita y se pueden registrar en ella en cualquier
momento. Es un servicio donde se recibe
informacin por correo electrnico.
FAQ.- Preguntas Frecuentes. En esta seccin ofrece
una recopilacin de las preguntas frecuentes y
respuestas ms solicitadas por los visitantes o
usuarios del sitio web. Se aclaran dudas de forma
rpida, sin leer grandes textos y adems evitan que
se recurra continuamente al servicio de atencin al
cliente.
Servicio de Atencin al cliente.- Servicio orientado
a la atencin de cliente para resolucin de
problemas u otros motivos mediante va telefnica
o tambin lo puede realizar escribiendo al correo
de la empresa.
Mapa de Tiendas.- Muestra la ubicacin de
distintas tiendas utilizando un interfaz web de
mapas de la empresa Google.
Sistema de Cableado Estructurado Categora 5e.-
Soportan cualquier aplicacin de voz, video y datos
existente en el mercado.
Conectividad LAN y WAN.
Tecnologas Ofrecidas: Routing, Switching LAN
(Fast Ethernet, Gigabit Ethernet).
Servicios de red y seguridad: Firewall, Servidores
de Aplicaciones y Base de datos, etc.
Nextel.- Servicio de Radio comunicacin.

26

1.7 ARQUITECTURA DE PROYECTOS TIC

Implementacin del Sistema de Cableado Estructurado con
Certificacin CAT 5e.
Sistema de creacin de catlogos virtuales a partir de fotografas
de modelos reales.
Anlisis integral de los residuos generados en el sector de calzado.
Valoracin, reciclaje y aprovechamiento.
Collective: comunidades emergentes para la innovacin colectiva.
Herramientas informticas y metodologas de apoyo para PYMES
ECODISEO aplicado a la industria del calzado.
INPROCAL. Mejora de procesos de fabricacin en la industria del
calzado.
Proyecto de identificacin de tendencias de futuro calzado.
Proyecto para el fomento de la innovacin y refuerzo de la
competitividad de la empresa.

27

CAPTULO II

DIAGNSTICO SITUACIONAL DE LA
EMPRESA BATA

28

DIAGNSTICO SITUACIONAL DE LA EMPRESA BATA

2.1 ANLISIS SITUACIONAL (PROBLEMTICA)

En el estudio realizado a la Empresa BATA Per se ha detectado que la
empresa tiene una amplia acogida en el mercado de calzado, y con
miras a la competitividad, actualmente los Sistemas de Informacin
implementados no brindan la seguridad informtica requerida y no
brindan la suficiente ayuda para resolver con agilidad la mayor parte de
los problemas de la empresa.

Si bien las redes LAN son muy importantes, su interconexin tambin ha
tomado relevancia en las empresas, cuando se requiere tener todo un
esquema de conexin de datos entre cada sucursal u oficina remota de
la empresa. Ya no solo es tener muchas LAN, sino poderlas integrar por
costos, administracin, comunicacin, eficiencia y seguridad. A la hora
de conectar las redes, es importante tambin definir la forma como se
ha de realizar, es decir la tecnologa, protocolos a utilizar en el nivel de
enlace y red, ancho de banda, entre otras variables.

Debido a que la empresa tiene un nmero de usuarios y aplicaciones
diferentes, se necesita una amplia gama de velocidades de enlace, de
rendimiento, protocolos, opciones de flexibilidad y herramientas de
gestin.

29

Conexiones no seguras desde una red pblica como internet
ya que cada vez ms los empleados de la empresa pasan
muchas horas de su tiempo fuera de la oficina. Sin embargo
para una mayor rapidez en las operaciones y una mejor
relacin con clientes y proveedores, es absolutamente
necesario que estn conectados con la oficina. Estas
conexiones se llevan a cabo a travs de distintos de
dispositivos, pero fundamentalmente a travs de ordenadores
porttiles y redes inalmbricas, ADSL o mdem.

Los diferentes locales de ventas a nivel nacional no cuentan
con un sistema de seguridad, por lo que las ventas realizadas
por las sucursales son un problema de seguridad enorme para
la oficina central de Lima.

No hay manera de evitar al 100% que una conexin sea
interceptada, cualquier tipo de comunicacin (sea postal,
telegrfica, e-mail, reportes de ventas, etc.), pero existe
mecanismos para proteger la informacin.

Los problemas de autenticacin actuales no son los
recomendados para los tiempo de hoy donde la mayora de
los ataques a los dispositivos son por el tipo, tamao de
contraseas y tipo de protocolo usado en la autenticacin; los
dispositivos realizan la autenticacin localmente lo cual lo
convierte un sistema inseguro y en un punto ms a solucionar
dentro de la empresa.

Falta de una documentacin actualizada y un correcto
etiquetado, como la organizacin del cableado en el edificio.

30

La empresa BATA tiene limitados recursos de sistemas de alta
disponibilidad, si se produce una falla de un sistema
informtico puede producir prdidas en la productividad y de
dinero lo cual es una cuestin no favorable para la empresa.
Por esta razn es necesario evaluar los riesgos ligados al
funcionamiento incorrecto (Falla) de uno de los componentes
de un sistema informtico y anticipar los medios y medidas
para evitar incidentes o para restablecer el servicio en un
tiempo aceptable.

Se requiere mayor seguridad en lo que respecta a ataques
internos, sobre todo en la Central de la empresa donde es
posible y muy peligroso si fuera realizado por usuarios no
autorizados que logren adquirir informacin confidencial.
Tambin desde una estacin de trabajo con programas de uso
libre descargados desde Internet, se puede obtener
informacin de los servidores y estacin de trabajo de la red
de la empresa BATA.

Problemas de seguridad ya que no todos los usuarios han sido
capacitados en los mecanismos de seguridad en uso de
contraseas ya que por lo general mantienen las dadas por el
administrador. Se requiere una poltica de seguridad en
cuanto a dificultad de predecirlas, cambiarlas peridicamente,
usar elementos numricos, alfabticos (maysculas y
minsculas) y caracteres especiales.

31

2.2 SOLUCIN DE NEGOCIOS TIC

Cuando un trabajador a distancia o de una oficina remota utiliza
servicios de banda ancha para conectarse a la WAN corporativa a travs
de Internet, se corren riesgos de seguridad. Para tratar las cuestiones de
seguridad, los servicios de banda ancha ofrecen funciones para utilizar
conexiones de red privada virtual (VPN, Virtual Private Network) a un
servidor de la empresa.

Virtual Private Network (VPN) es un grupo de dos o ms sistemas de
ordenadores, generalmente conectados a una red corporativa privada,
que se comunican con seguridad sobre una red pblica. Es decir, que
para transmitir informacin a travs de una red pblica (insegura), en la
VPN se aplican mtodos de seguridad para garantizar la privacidad de
los datos que se intercambian entre el emisor y el receptor de la
informacin, y virtuales, porque no se necesita un cable o cualquier
otro medio fsico entre los comunicantes.

Figura 2.1 Diagrama de una VPN en una organizacin

32

La VPN lo que hace es crear un tnel entre los dos puntos a conectar
utilizando una infraestructura pblica, usa una tcnica llamada
entunelamiento (tunneling), los paquetes de datos son enrutados por la
red pblica, tal como Internet o alguna otra red comercial, en un tnel
privado que simula una conexin punto a punto. Este recurso que
hace que por la misma red puedan crearse muchos enlaces por
diferentes tneles virtuales a travs de la misma infraestructura.

Cisco Secure ACS.-Es un servidor de control de acceso altamente
escalable, de alto rendimiento que funciona como sistema de
servidor RADIUS o TACACS+ centralizado. Controla las funciones de
AAA para los usuarios que acceden a los recursos de la empresa a
travs de una red. Al usar Cisco Secure ACS, los administradores de
red pueden controlar el acceso de los usuarios a la red, autorizar
diferentes servicios de red para usuarios o grupos de usuarios y
mantener un registro de contabilidad de todas las acciones realizadas
por el usuario en la red.

TACACS +.- A pesar de su nombre, TACACS + es un nuevo
protocolo por completo; TACACS+ y RADIUS por lo general
sustituye a los protocolos TACACS y XTACACS (TACACS
extendido) en nueva construccin o actualizacin de redes.
TACACS+ utiliza el Transmission Control Protocol (TCP) y
RADIUS utiliza el protocolo de Datagramas de usuario (UDP). Se
considera el uso de TACACS +, dado que TCP es visto como un
protocolo ms fiable. Considerando que RADIUS combina
autenticacin y autorizacin en un perfil de usuario, TACACS +
separa las dos operaciones.

33

PROTOCOLO HSRP CARACTERISTICAS Y FUNCIONALIDADES:
HSRP (Standby Router Protocol), se trata de un protocolo propietario
de Cisco que permite el despliegue de router redundantes tolerantes
a fallos en una red, este protocolo evita la existencia de un punto
nico de fallo en la red mediante tcnicas de redundancia y
comprobacin del estado enlace.

Con estado de conmutacin por error de seguridad IP (IPsec) permite
a un router continuar con el procesamiento y transmisin de
paquetes IPsec despus de una interrupcin planificada o no
planificada si se produjera. Este proceso es transparente para el
usuario y no requiere ajuste, ni la reconfiguracin de cualquier punto
remoto.

Estado de conmutacin por error para IPsec est diseado para
trabajar en conjunto con estados de conmutacin (SSO Stateful
Switchover) y Host Standby Router Protocol (HSRP).

SSH.-Secure Shell (SSH) es un programa que permite realizar
conexiones entre equipos a travs de una red abierta de forma
segura, as como ejecutar programas en una mquina remota y
copiar archivos de una mquina a otra. SSH provee una fuerte
autenticacin y comunicacin segura sobre un canal inseguro y nace
como un reemplazo a los comandos telnet, ftp, rlogin, rsh y rcp, los
cuales proporcionan gran flexibilidad en la administracin de una
red, pero sin embargo, presenta grandes riesgos en la seguridad de
un sistema.

34

CAPTULO III

DESARROLLO DEL PROYECTO

35

3.1 JUSTIFICACIN DEL PROYECTO
3.1.1 JUSTIFICACIN TCNICA DEL PROYECTO

Tomando como base lo expuesto surge la necesidad que la
empresa BATA deba contar con un Sistema de Seguridad VPN
con Alta Disponibilidad, el cual permita administrar la
informacin, garantizando los aspectos de confidencialidad,
integridad y disponibilidad que esta deba cumplir. Tambin es
importante que dichos cambios no alteren en forma negativa el
nivel de seguridad existente.

Cada da, las empresas con visin de futuro reinventan su
forma de hacer negocios adoptando soluciones de red basadas
en Internet. Los resultados: ventaja competitiva, nuevas
fuentes de ingresos y procesos comerciales optimizados. Cada
vez son ms las aplicaciones y los servicios empresariales
esenciales que se despliega en redes abiertas con conexiones
numerosas a Internet, sino se cuenta polticas, procesos y
productos de seguridad adecuados, la conectividad a Internet
puede poner en peligro los mismos avances de productividad
que hacen ms rentables a las empresas de hoy y les permiten
prestar servicio a una base de clientes ms amplia y diversa. La
seguridad permite a las empresas ampliar con confianza su red
a clientes, socios y trabajadores mviles/a distancia, con lo que
se incrementan las fuentes de ingresos y se mejora la eficacia
de los procesos comerciales y la productividad de los
empleados.

36

En la actualidad las organizaciones dependen cada vez ms de
sus sistemas de informacin, por lo que se desea que
permanezcan disponibles el mayor tiempo posible, la alta
disponibilidad es la caracterstica que tiene un sistema para
protegerse o recuperarse de interrupciones o cadas de forma
automtica y en corto plazo de tiempo (HSRP + SSO).

Al establecer un sistema de alta disponibilidad se obtiene
beneficios muy importantes como garantizar que el sistema
est disponible esto tanto para los usuarios que se conectan
desde Internet mediante una conexin VPN, como para los
usuarios LAN de la red interna al tener un sistema redundante
para poder establecer una conexin externa.

IPSEC:
El protocolo IPsec es un estndar se seguridad que han
adoptado la mayora de fabricantes de hardware y software
lo que hace ms factible utilizar este protocolo es una VPN
sin necesidad de adquirir una marca especifica de
dispositivo o sistema operativo.

La tecnologa IPsec ya se est utilizando, lo que asegura,
entre otras cosas, la interoperabilidad entre sistemas de
diversos fabricantes y sistemas operativos, como Linux,
Windows, Macintosh, firewalls y router comerciales. IPsec
integra confidencialidad, integridad y autenticacin en un
mismo marco inter-operante por lo que esta ser la mejor
opcin escogida para la implementacin de las VPN.

37

Adems, como trabaja a nivel IP, es transparente a la
aplicacin, ya que esta no necesita modificacin alguna, y ni
siquiera se entera de la existencia de criptografa
intermedia, a diferencia de protocolos de nivel de
transporte, como son los tneles sobre TCP (SSL, SSH).

IPsec es una tecnologa que protege los paquetes IP de la
capa de red, as se forma una capa segura de un nodo de la
red a otro. IPsec utiliza dos protocolos para la proteccin de
los paquetes IP: Cabecera de autenticacin (AH:
Authentication Header) y Cargo de Seguridad Encapsulado
(ESP: Encapsulated Security Payload). AH provee
autenticacin, integridad y proteccin a la rplica, mientras
que ESP provee adems confidencialidad (mediante
cifrado).

Una Asociacin de Seguridad (SA: Security Association) es
un enlace seguro de IPsec definido por un nico flujo
unidireccional de datos desde un nico punto hasta otro.
Consiste en el acuerdo de las dos partes comunicantes en el
mtodo utilizado para la comunicacin segura. Todo el flujo
de trfico sobre un SA se trata del mismo modo; el trfico
puede ser entre dos host, entre host y una pasarela de
seguridad (Security Gateway) o entre dos pasarelas de
seguridad.

Las VPN con el protocolo IPsec son una solucin utilizada
por empresas para transportar datos con seguridad,
confidencialidad e integridad, convirtindose en una forma
econmica de ampliar las infraestructuras empresariales,
conectando la LAN corporativa a una WAN, al agregar la

38

movilidad a la VPN forma un servicio nuevo, permitiendo
ser pioneros en el mercado local.

Las soluciones VPN permiten disponer de un circuito
privado virtual (VPN) para la transmisin de datos entre la
sede central de su empresa con sus diferentes sucursales y
trabajadores remotos. De esta manera, se podr compartir
los recursos de todas oficinas como si estuvieran en una
misma localizacin fsica disponiendo as de una verdadera
conexin segura entre la oficina central y las oficinas
remotas.

AES.- Es un cifrado por bloques adoptado como un
estndar, AES supera a 3DES, tanto en software como en
hardware. AES es una versin modificada del algoritmo de
cifrado Rijndael Advanced criterios de evaluacin estndar
fue entre otros:
Seguridad.
Software y hardware de rendimiento.
Adecuacin de los entornos de espacio limitado.
Resistencia a los anlisis de poder y otros ataques
aplicacin.
AES por diseo es ms rpido en el software y funciona de
manera eficiente en hardware. Funciona rpido, incluso en
dispositivos pequeos como telfonos inteligentes, etc.
Proporciona una mayor seguridad debido al tamao del
bloque ms grande y ms teclas; utiliza 128 bits de tamao
de bloque fijo y funciona con claves de 128 bits, 192 y 256.
Es lo suficientemente flexible como para trabajar con el
tamao de clave y bloqueo de cualquier mltiplo de 32 bits
con un mnimo de 128 bits y un mximo de 256 bits.

39

Implementar un sistema VPN de alta disponibilidad para
mantener los servicios y operaciones de la empresa
funcionando continuamente, eliminando los problemas
comunes de los sistemas de informacin, pudiendo
garantizar la disponibilidad del servicio la mayor cantidad
de tiempo posible sin afectar el negocio.

AAA.- Los servicios de seguridad AAA proporcionan un
marco inicial para montar control de acceso en un
dispositivo de red. AAA es una manera de controlar a quin
se le permite acceso a una red (autenticacin) y qu puede
hacer mientras estn all (autorizacin), as como auditar
qu acciones realizaron al acceder a la red (registro de
auditora).
Otorga un mayor grado de escalabilidad que el que
proporcionan los comandos de las lneas de consola, aux,
vty.
Authentication. - Los usuarios y administradores
deben probar que son quienes dicen ser.
Authorization. - Una vez que el usuario ha sido
autenticado, los servicios de autorizacin
determinan los recursos y operaciones a los que el
usuario tiene acceso.
Accounting.- Los registros de auditora registran lo
que el usuario hace, incluyendo los recursos a los
cual accede, la cantidad de tiempo que se mantiene
y cualquier cambio que se haga. El registro de
auditora monitorea el uso de los recursos.

40

3.1.1.1 ANLISIS TCNICO.
En este punto se har un anlisis de las principales
caractersticas tcnicas de los nuevos equipos que se
comprarn y que fueron elegidos segn las necesidades
requeridas en la implementacin de la red LAN,
tomando nfasis en el buen funcionamiento y en la
convergencia de voz y datos en todo el edificio.

Antes de continuar revisaremos los requisitos
necesarios para la implementacin de VPN con alta
disponibilidad.
Tanto los dispositivos activos y de reserva debe
ejecutar la versin idntica del software Cisco IOS,
versin 12.3 (11) T o posterior.
Los dispositivos activos y de reserva deben estar
conectados a travs de un hub o Switch.
Con estado de conmutacin por error para IPsec
requiere que la red contenga dos router idnticos y
que estn disponibles para ser el dispositivo
primario o secundario.
Ambos routers deben de ser del mismo tipo de
dispositivo, tener la misma CPU, memoria y si
disponen de un acelerador de encriptacin o cifrado
estos deben de ser idnticos.

41

Caractersticas Tcnicas de los Equipos.

Switch Cisco Catalyst 3560

WS-C3560E-24TD-E - Cisco Catalyst 3560E-24TD -
conmutador - 24 puertos - Gestionado - montaje en
rack
Fabricante: Cisco
Cd. de la pieza: WS-C3560E-24TD-E
Tipo de dispositivo: Conmutador - 24 puertos -
Gestionado
Tipo incluido: Montaje en rack - 1U
Puertos: 24 x 10/100/1000 + 2 x X2
Protocolo de direccionamiento: OSPF, BGP-4, RIP-1,
RIP-2, EIGRP, HSRP, DVMRP, PIM-SM,
direccionamiento IP esttico, PIM-DM, OSPFv3.

La serie de Cisco Catalyst 3560 es una generacin
eficiente de conmutadores de capa 3, los nuevos
switchs consumen menos energa que sus predecesores,
ayudan a maximizar la productividad y proporcionar
proteccin de la inversin al permitir una red unificada
para datos, voz y video.

42

Datos de los productos
Tipo de dispositivo Conmutador - 24 puertos - Gestionado
Tipo incluido Montaje en rack - 1U
Puertos 24 x 10/100/1000 + 2 x X2
Protocolo de direccionamiento
OSPF, BGP-4, RIP-1, RIP-2, EIGRP,
HSRP, DVMRP, PIM-SM, direccionamiento
IP esttico, PIM-DM, OSPFv3
Protocolo de gestin remota
RMON 1, RMON 2, RMON 3, RMON 9,
Telnet, SNMP 3
Caractersticas
Auto-sensor por dispositivo, soporte de
DHCP, negociacin automtica, soporte
ARP, soporte VLAN, seal ascendente
automtica (MDI/MDI-X automtico),
snooping IGMP, soporte para Syslog,
limitacin de trfico, Broadcast Storm
Control, soporte IPv6, snooping DHCP,
soporte de Dynamic Trunking Protocol
(DTP), soporte de Port Aggregation Protocol
(PAgP), soporte de Access Control List
(ACL), Quality of Service (QoS)
Cumplimiento de normas
IEEE 802.3, IEEE 802.3u, IEEE 802.3z,
IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab,
IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad
(LACP), IEEE 802.1w, IEEE 802.1x, IEEE
802.1s
Alimentacin CA 120/230 V ( 50/60 Hz )
Dimensiones (Ancho x Profundidad x Altura) 44.5 cm x 46 cm x 4.5 cm
Peso 8.1 kg
Garanta del fabricante Garanta de 90 das
General
Tipo de dispositivo Conmutador - 24 puertos - Gestionado
Tipo incluido Montaje en rack - 1U
Puertos 24 x 10/100/1000 + 2 x X2
OSPF, BGP-4, RIP-1, RIP-2, EIGRP,
HSRP, DVMRP, PIM-SM, direccionamiento
IP esttico, PIM-DM, OSPFv3
Protocolo de gestin remota
RMON 1, RMON 2, RMON 3, RMON 9,
Telnet, SNMP 3
Mtodo de autentificacin
Kerberos, Secure Shell (SSH), RADIUS,
TACACS+
Caractersticas
Auto-sensor por dispositivo, soporte de
DHCP, negociacin automtica, soporte
ARP, soporte VLAN, seal ascendente
automtica (MDI/MDI-X automtico),
snooping IGMP, soporte para Syslog,
limitacin de trfico, Broadcast Storm
Control, soporte IPv6, snooping DHCP,
soporte de Dynamic Trunking Protocol

43

(DTP), soporte de Port Aggregation Protocol
(PAgP), soporte de Access Control List
(ACL), Quality of Service (QoS)
IEEE 802.3, IEEE 802.3u, IEEE 802.3z,
IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab,
IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad
(LACP), IEEE 802.1w, IEEE 802.1x, IEEE
802.1s
Memoria RAM 128 MB
Memoria Flash 64 MB Flash
Indicadores de estado
Actividad de enlace, velocidad de
transmisin del puerto, modo puerto duplex,
ancho de banda utilizacin %, alimentacin,
tinta OK, sistema
Expansin / Conectividad
Interfaces
24 x 10Base-T/100Base-TX/1000Base-T -
RJ-45 1 x consola - RJ-45 - gestin 1 x
10Base-T/100Base-TX - RJ-45 - gestin 2
x X2
Alimentacin
Dispositivo de alimentacin
Fuente de alimentacin - mdulo de
insercin
Voltaje necesario CA 120/230 V ( 50/60 Hz )
Caractersticas
Contector de sistema de alimentacin
redundante (RPS)
Diverso
Anchura 44.5 cm
Profundidad 46 cm
Altura 4.5 cm
CE, certificado FCC Clase A, TUV GS,
CISPR 22 Class A, GOST, cUL, NOM,
VCCI Class A ITE, EN55022 Class A, CB,
AS/NZS 60950-1, AS/NZ 3548 Class A,
CCC, FCC Part 15, MIC, RoHS, UL 60950-
1, IEC 60950-1, EN 60950-1
Software / Requisitos del sistema
Software incluido Cisco IOS IP Services
Garanta del fabricante
Servicio y mantenimiento Garanta de 90 das
Detalles de Servicio y Mantenimiento Garanta limitada - 90 das
Parmetros de entorno
Temperatura mnima de funcionamiento 0 C
Temperatura mxima de funcionamiento 45 C

44

Router Cisco 7206VXR

C7206VXR/400/2FE - Cisco 7206 VXR - encaminador - montaje en rack
Fabricante: Cisco
Cd. de la pieza: C7206VXR/400/2FE
Caractersticas: Control de flujo, diseo modular, capacidad duplex,
conmutacin Layer 2, auto-sensor por dispositivo, soporte de DHCP,
asistencia tcnica VPN, soporte BOOTP, soporte RARP, soporte ARP,
soporte VLAN
Tipo de dispositivo: Encaminador
Tipo incluido: Montaje en rack - modular
Protocolo de interconexin de datos: Ethernet, Fast Ethernet.

DESCRIPCION.
Los routers Cisco 7200 VXR son los routers de procesador nico ms
rpidos de Cisco, ideales para empresas y proveedores de servicios que
implementan MPLS, agregacin de ancho de banda, perifricos WAN,
seguridad IP, VPN e integracin vdeo/voz/datos. La serie 7200 integra
diseo modular, opciones de conectividad y funciones de gestin.

45

Tipo de dispositivo Encaminador
Tipo incluido Montaje en rack - modular
Protocolo de interconexin de datos Ethernet, Fast Ethernet
Velocidad de transferencia de datos 100 Mbps
Red / Protocolo de transporte
TCP/IP, UDP/IP, L2TP, ICMP/IP, SLIP,
PPPoE, PPPoA, AAL5, IPoA
OSPF, IGRP, RIP, IS-IS, BGP, EIGRP,
HSRP
Protocolo de gestin remota SNMP, Telnet
Caractersticas
Control de flujo, diseo modular,
capacidad duplex, conmutacin Layer
2, auto-sensor por dispositivo, soporte
de DHCP, asistencia tcnica VPN,
soporte BOOTP, soporte RARP,
soporte ARP, soporte VLAN
IEEE 802.2, IEEE 802.3, IEEE 802.3u,
IEEE 802.1Q, IEEE 802.3x
Alimentacin CA 120/230 V ( 50/60 Hz )
Dimensiones (Ancho x Profundidad x Altura) 42.7 cm x 43.2 cm x 13.3 cm
Peso 22.7 kg
Requisitos del sistema Cisco IOS 12.1(7)E
General
Tipo de dispositivo Encaminador
Tipo incluido Montaje en rack - modular
Tecnologa de conectividad Cableado

46

Protocolo de interconexin de datos Ethernet, Fast Ethernet
Velocidad de transferencia de datos 100 Mbps
Red / Protocolo de transporte
TCP/IP, UDP/IP, L2TP, ICMP/IP, SLIP,
PPPoE, PPPoA, AAL5, IPoA
OSPF, IGRP, RIP, IS-IS, BGP, EIGRP,
HSRP
Protocolo de gestin remota SNMP, Telnet
Mtodo de autentificacin RADIUS, PAP, CHAP, TACACS
Caractersticas
Control de flujo, diseo modular,
capacidad duplex, conmutacin Layer
2, auto-sensor por dispositivo, soporte
de DHCP, asistencia tcnica VPN,
soporte BOOTP, soporte RARP,
soporte ARP, soporte VLAN
IEEE 802.2, IEEE 802.3, IEEE 802.3u,
IEEE 802.1Q, IEEE 802.3x
Procesador 1 x MIPS RM7000A 350 MHz
Memoria RAM
128 MB (instalados) / 512 MB (mx.)
SDRAM
Memoria Flash 48 MB (instalados) / 128 MB (mx.)
Indicadores de estado
Actividad de enlace, alimentacin,
dispositivo conectado a 100M
Expansin / Conectividad
Interfaces
1 x auxiliar - RJ-45 Administracin : 1
x consola - RJ-45 2 x 10Base-
T/100Base-TX - RJ-45
Total ranuras de expansin (libres)
6 ( 4 ) x Ranura de expansin 1
memoria 2 PC Card
Cantidad de mdulos instalados (mx.) 2 (instalados) / 6 (mx.)

47

Alimentacin
Dispositivo de alimentacin
Fuente de alimentacin - conectable en
caliente - mdulo de insercin - 280
vatios
Cantidad instalada 1 (instalados) / 2 (mx.)
Voltaje necesario CA 120/230 V ( 50/60 Hz )
Diverso
Anchura 42.7 cm
Profundidad 43.2 cm
Altura 13.3 cm
Peso 22.7 kg
NEBS nivel 3, certificado FCC Clase A,
IEC950, UL 1950, VCCI-II, CSA 22.2
No. 950
Software / Requisitos del sistema
Software incluido
Controladores y utilidades,
CiscoWorks, Cisco Secure Policy
Manager
Sistema operativo requerido Cisco IOS 12.4(4)T1
Parmetros de entorno
Temperatura mnima de funcionamiento 0 C
Temperatura mxima de funcionamiento 40 C
mbito de humedad de funcionamiento 10 - 90%

48

HP ProLiant ML110 G5

El HP ProLiant ML110 G5 es perfecto como primer servidor para los negocios
en crecimiento. Ofrece todas las caractersticas de servidor necesarias en un
paquete asequible y funcional. Combina la potencia de los procesadores Intel
Pentium/Xeon de 2 y 4 ncleos ms recientes con la fiabilidad, servicio y
asistencia HP. Una combinacin de ranuras PCI y PCI-Express ofrece la
expandibilidad que requieren los negocios en crecimiento. Adems, el ML110
G5 puede actualizarse con la tarjeta de gestin remota rentable HP Lights-Out
100 para sitios remotos o segundas oficinas. Al igual que todos los productos
ProLiant, el ML110 G5 viene con fiabilidad probada ProLiant. El ProLiant ML110
G5 es un servidor muy bien valorado que cuenta con la tecnologa apropiada
para pequeos y medianos negocios.

El Servidor HP ProLiant ML110 ofrece todas las caractersticas de servidor
necesarias en un paquete funcional y accesible. Los procesadores Intel de
ltima generacin ofrecen la potencia de procesamiento necesaria.

49

General
Tipo : Servidor
Uso recomendado : Empresa pequea, empresa
Factor de forma del producto : Micro torre - 4U
Escalabilidad de servidor : 1 va
Cantidad de compartimentos internos : 4
Cantidad de compartimentos frontales : 2
Anchura : 17.5 cm
Profundidad : 42.6 cm
Altura : 36.7 cm
Peso : 10.8 kg
Procesador
Tipo : Intel Pentium E2160 / 1.8 GHz
Tecnologa multipolar : Dual-Core
Computacin de 64 bits : S
Cantidad instalada : 1
Cantidad mxima soportada : 1
Memoria cach
Tipo : L2
Tamao instalado : 1 MB
Cach por procesador : 1 MB
Placa principal
Tipo conjunto de chips : Intel 3200
Velocidad bus de datos : 800 MHz
Memoria RAM
Tamao instalado : 512 MB / 8 GB (mx.)
Tecnologa : DDR2 SDRAM - ECC
Velocidad de memoria : 800 MHz
Conforme a la especificacin de memoria : PC2-
6400
Factor de forma : DIMM de 240 espigas
Caractersticas : Sin memoria intermedia
Funciones de configuracin : 1 x 512 MB
Controlador de
almacenamiento
Tipo : 1 x Serial ATA - integrado
N canales : 6
Nivel RAID : RAID 0, RAID 1, RAID 10
Almacenamiento
Disco duro : 1 x 160 GB - estndar - Serial ATA-
150 - 7200 rpm
Almacenamiento
ptico
Tipo : DVD-ROM - Serial ATA
Velocidad de lectura : 48x (CD) / 16x (DVD)
Controlador
grfico
Tipo : Integrado
Memoria de vdeo : 8 MB
Conexin de
redes
Conexin de redes : Adaptador de red - PCI
Express - integrado
Controladora(s) Ethernet : HP NC105i
Protocolo de interconexin de datos : Ethernet,
Fast Ethernet, Gigabit Ethernet
Caractersticas : Wake on LAN (WoL)
Expansin /
Conectividad
Total compartimentos de expansin (libres) :
2 ( 1 ) x accesible a la parte frontal - 5.25" x 1/2H
4 ( 3 ) x interna - 3.5" x 1/3H
Total ranuras de expansin (libres) :
1 ( 1 ) x PCI Express x8 - de longitud larga, altura
completa 2 ( 2 ) x PCI Express x8 - altura
completa ( modo x1 ) 1 ( 2 ) x PCI - altura
completa 4 ( 3 ) x memoria - DIMM de 240
espigas 1 ( 0 ) x procesador - LGA775 Socket
Interfaces :

50

1 x pantalla / vdeo - VGA - HD D-Sub de 15
espigas (HD-15) 1 x teclado - genrico - mini-DIN
de 6 espigas (estilo PS/2) 1 x ratn - genrico -
mini-DIN de 6 espigas (estilo PS/2) 1 x serial -
RS-232 - D-Sub de 9 espigas (DB-9) 8 x USB - 4
PIN USB tipo A ( 2 frontales, 4 traseros, 2 internos
) 1 x red - Ethernet 10Base-T/100Base-
TX/1000Base-T - RJ-45
Alimentacin
Tipo de dispositivo : Fuente de alimentacin
Voltaje necesario : CA 120/230 V ( 50/60 Hz )
Potencia suministrada : 365 vatios
Sistemas
operativos /
Software
OS certificado : Novell NetWare 6.5, Microsoft
Windows Server 2003 R2 Enterprise Edition,
Microsoft Windows Server 2003 R2 Standard
Edition, Microsoft Windows Server 2003 R2
Enterprise x64 Edition, Microsoft Windows Server
2003 R2 Standard x64 Edition, Microsoft Windows
Server 2003 R2 Web Edition
Garanta del
fabricante
Servicio y mantenimiento : 1 ao de garanta
Detalles de Servicio y Mantenimiento : Garanta
limitada - piezas y mano de obra - 1 ao

3.1.1.2 VENTAJAS DE VPN Y ALTA DISPONIBILIDAD
Integridad, confidencialidad y seguridad de los
datos.
Reduccin de costos.
Sencilla de usar.
Sencilla instalacin del cliente VPN en cualquier PC
Windows.
Control de Acceso basado en polticas de la
organizacin.
Herramientas de diagnstico remoto.
Los algoritmos de compresin optimizan el trfico
del cliente.
Garantizar la disponibilidad del servicio.
Correcta funcionalidad de los sistemas.

51

3.1.1.3 BENEFICIOS DE VPN Y ALTA DISPONIBILIDAD
Reduccin de costo: Las VPN permiten a las
organizaciones utilizar Internet global para
conectar oficinas remotas y usuarios remotos al
sitio corporativo principal, lo que elimina costosos
enlaces WAN dedicados y bancos de mdems.
Cobertura.- Permite una conexin global desde
cualquier lugar donde exista un punto de internet.
Seguridad.- Las VPN proporcionan el mayor nivel
de seguridad mediante el uso de protocolos de
encriptacin y autenticacin avanzados que
protegen los datos contra el acceso no autorizado.
Escalabilidad.- Como las VPN utilizan la
infraestructura de Internet dentro de ISP y de los
dispositivos, es sencillo agregar nuevos usuarios,
sitios remotos. Las corporaciones pueden agregar
grandes cantidades de capacidad sin agregar una
infraestructura importante.
Compatibilidad con la tecnologa de banda ancha:
Los proveedores de servicios de banda ancha como
DSL y cable soportan tecnologa VPN, de manera
que los trabajadores mviles y los trabajadores a
distancia pueden aprovechar el servicio de Internet
de alta velocidad de nivel empresarial, tambin
pueden proporcionar una solucin rentable para
conectar oficinas remotas.
Fcil instalacin y uso.
Rpida recuperacin de fallos.
Los nuevos servicios no reducen el rendimiento de
la red.

52

3.1.1.4 TIPO DE ACCESO VPN
VPN de sitio a sitio: Estas VPN conectan redes
enteras entre s: por ejemplo, pueden conectar una
sucursal con la red de la sede principal. Cada sitio
se cuenta con un Gateway de la VPN, como un
router, un firewall, un concentrador VPN o un
dispositivo de seguridad. En la Imagen la sucursal
remota utiliza una VPN de sitio a sitio para
conectarse con la oficina central de la empresa.
VPN de acceso remoto: Las VPN de acceso remoto
permiten a host individuales, como trabajadores a
distancia, usuarios mviles y consumidores de
Extranet, tener acceso a la red empresarial de
manera segura a travs de Internet. Normalmente,
cada host tiene instalado el software cliente de
VPN o utiliza un cliente basado en Web.

3.1.2 JUSTIFICACIN ECONMICA

Se ha demostrado en la actualidad que las redes reducen
tiempo y dinero los gastos de las empresas, eso ha significado
una gran ventaja para las organizaciones, sobre todo las que
cuentan con oficinas remotas a varios kilmetros de distancia.

El alto costo necesario para implementar y mantener enlaces
privados, involucra invertir en hardware, software y en
servicios de telecomunicaciones para crear redes amplias de
servicio (WAN), est llevando a las empresas a una situacin
insostenible. Las lneas de larga distancia, as como los servicios
conmutados, representan una serie de necesidades diarias.

53

El personal de soporte necesario para gestionar las tecnologas
complejas conlleva a un crecimiento continuo tanto en el
nmero de personas como en su experiencia.

Los ahorros de costos son el poderoso atractivo que ofrecen las
Redes Privadas Virtuales ya que se construyen sobre una red
pblica, sin olvidar la seguridad de los datos transmitidos.
Las VPN estn sin duda desplazando a las lneas dedicadas y a
Frame Relay, actualmente la penetracin es baja, pero poco a
poco toma fuerza.
Hace aos atrs, las grandes corporaciones gastaban enormes
recursos a fin de configurar redes privadas de alta complejidad,
hoy llamadas Intranets. Al mismo tiempo, empresas medianas y
pequeas no podan adquirir servicios tan costosos y tenan
que utilizar servicios inferiores.

LINEA DEDICADA: Una lnea arrendada, tambin llamada
comnmente lnea privada o dedicada, se obtiene de una
compaa de comunicaciones para proveer un medio de
comunicacin entre dos instalaciones que pueden estar en
edificios separados en una misma ciudad o en ciudades
distantes. Aparte de un cobro por instalacin o
contratacin, la compaa proveedora de servicios le
cobrar al usuario un pago mensual por uso de la lnea, el
cual se basar en la distancia entre las localidades
conectadas. Aunque nuestro proyecto se va a desarrollar
utilizando una red de infraestructura pblica como es
Internet, como medio de conexin es necesario mencionar
los costos de los enlaces dedicados para realizar una
comparacin de costos entre una solucin con enlaces
privados y pblicos.

54

3.2 OBJETIVOS DEL PROYECTO
3.2.1 OBJETIVO GENERAL

El objetivo del presente proyecto es establecer los principales
lineamientos para poder implementar de manera exitosa, un
adecuado Sistema de Seguridad VPN con Alta Disponibilidad en
BATA Per, el cual apunte a asegurar que la tecnologa de
informacin usada este alineada con la estrategia de negocio y
que los activos de informacin tengan el nivel de proteccin
acorde con el valor y riesgo que presente para la organizacin y
permita una funcionalidad adecuada.

3.2.2 OBJETIVOS ESPECFICOS

Obtener Alta Disponibilidad de la red/ Sistemas
Proporcionar movilidad a los empleados.
Acceder a la base de datos central sin utilizacin de operadores
telefnicos.
Interconectar en forma amplia la red de todos los empleados,
de forma segura a travs de una infraestructura pblica.
Prevenir la revelacin, la modificacin y la utilizacin no
autorizada de los datos.
Ofrecer integridad, confidencialidad y seguridad de los datos
Intercambiar la informacin en tiempo real.
Acceder en forma remota a la informacin corporativa.
Establecer conexiones seguras (con criptografa) entre cliente y
servidor.
Garantizar la disponibilidad del servicio, es decir, asegurar que
el servicio funcione durante las veinticuatros horas.
Hacer que los servicios funcionen correctamente.
Garantizar una recuperacin rpida de fallos.

55

3.3 CARACTERSTICAS DEL PROYECTO

Facilidad de uso
Sencillez al alcance de todos
Utiliza protocolos que permite alta disponibilidad.
Cobertura de seguridad a nivel nacional y mundial.
Interconexin de usuarios remotos o tele-trabajadores.
Administracin va Web.
Compatibilidad con todas tecnologas actuales de transmisin de
datos.
Protocolos seguros para la autenticacin.
Confidencialidad e integridad de los datos.
VPN basado en el Protocolo IPsec.

56

3.4 ORGANIZACIN DEL PROYECTO (DIAGRAMA GANTT)

57

3.5 ALCANCE DEL PROYECTO

El nuevo sistema implementado tiene un alcance inicial a nivel de la
ciudad de Lima, realizando la interconexin de sus distintas oficinas
sucursales con la oficina central ubicado en Av. Larco #658 Miraflores,
sin olvidar la interconexin de los usuarios mviles; mejorando as la
comunicacin de los locales con la oficina central.

El nuevo sistema establecido tiene un alcance en las siguientes
sucursales, el tipo de conexiones VPN para este modo es cliente a sitio,
cabe mencionar que la empresa tambin cuenta con usuarios mviles o
personas que acceden remotamente a utilizar los recursos de la
empresa, el nmero de conexiones VPN de ambos tipos est limitado
para fines de seguridad con un cierto nmero permitido.

LISTA CONEXIONES VPN CLIENT TO SITE:

N NOMBRE DIRECCION DISTRITO
1
BATA KIDS
MEGAPLAZA
Av. Alfredo Mendiola 3698 Independencia
2 BATA Av. Gerardo Unger 3823 Independencia
3 BATA KIDS
Cruce de T. Valle con Panam.
Norte s/n
Independencia
4
BATA LOS
OLIVOS
Av. Alfredo Mendiola 3675 Los Olivos
5 BATA Calle las Begonias San Isidro
6
BATA NUEVO
SAN JUAN
Av. Prceres de la
Independencia 1623
San Juan de Lurigancho
7 BATA Av. Gran Chim 853 San Juan de Lurigancho
8 BATA MINKA Av. Argentina 3257 Callao
9
BATA
BELLAVISTA
Av. Oscar R. Benavides 3866 Callao
10 BATA Av. Argentina 3093 Callao
11
BATA
VENZUELA
Av. Venezuela 1037 Brea
12 BATA Calle Arnaldo Mrquez 1315 Jess Mara
13 BATA Jr. De la Unin 657 Lima

58

14 BATA Av. Abancay 345 Lima
15 BATA Av. San Luis 2030 San Borja
16 BATA Av. Circunvalacin 1803 San Juan de Miraflores
17 BATA Av. San Juan 499 San Juan de Miraflores
18 BATA Av. San Juan 1096 San Juan de Miraflores
19 BATA Av. San Juan 1205 -1207 San Juan de Miraflores
20 BATA Av. Los Hroes San Juan de Miraflores
21 BATA Av. La Molina 860 La Molina
22 BATA Av. Larco 361 Miraflores
23 BATA Av. Larco 662 Miraflores
24 BATA Av. Tomas Marsano 2883 Santiago de Surco
25 BATA Grupo 09 02 Mz. M Lt 22 Villa el Salvador

3.6 FUNCIONALIDAD Y ESCALABILIDAD DEL PROYECTO

Funcionalidad:
Creacin de Tneles para la comunicacin.
Permite establecer conexiones VPN seguras sobre redes
inseguras como Internet.
Algoritmos de encriptacin y hashing.
La utilizacin de protocolos de alta disponibilidad permite
establecer una conexin segura y almamente confiable a la red
corporativa.

Escalabilidad:
Adecuada para cualquier nmero de sitios.
Desde baja hasta muy alta velocidad.
Compatible con cualquier tecnologa de acceso.

Flexibilidad
Comunicacin Any-to-Any.
Agregue/remueva fcilmente sitios/usuarios.
Libertad de direccionamiento IP.
Base para aplicaciones de TI.

59

CAPTULO IV

PLANTEAMIENTO DE
REQUERIMIENTOS

60

Por lo general, cuando se desea implementar una VPN hay que asegurarse
que proporcione:

IDENTIFICACION DE USUARIO.- La VPN debe ser capaz de verificar la
identidad de los usuarios y restringir el acceso a la VPN a aquellos
usuarios que no estn autorizados. As mismo, debe proporcionar
registros estadsticos que muestre quien tuvo acceso, que informacin y
cuando.

ADMINISTRACION DE DIRECCIONES.- La VPN debe establecer una
direccin del cliente en la red privada y debe cerciorarse que las
direcciones privadas se conserven as.

CODIFICACION DE DATOS.- Los datos que se van a transmitirse a travs
de la red pblica deben ser previamente encriptados para que no
puedan ser ledos por personas no autorizadas.

ADMINISTRACION DE CLAVES.- La VPN debe generar y renovar las claves
de codificacin para el cliente y el servidor.

SOPORTE A MULTIPLES PROTOCOLOS.- La VPN debe ser capaz de
manejar los protocolos comunes que se utilizan en la red pblica. Estos
incluyen el protocolo de Internet IP.

61

4.1 REQUERIMIENTOS DE RED, HARDWARE

REQUERIENTOS OFICINA CENTRAL.
Conexin a Internet.
Router Cisco 7200.
Cisco 7206VXR
Servidores.
Servidores HP.
Computadores.
Cableado estructurado.
Switch Cisco Catalyst 2960.
Firewall.
Direcciones de red pblicas.
Direcciones de red privadas.

4.2 REQUERIMIENTOS DE SOFTWARE:
REQUERIENTOS OFICINA CENTRAL.
CISCO IOS Security Advanced:
Cisco IOS (Internetworking Operating System) sistema
operativo creado por Cisco Systems para programar y
mantener equipos de interconexin de redes informticas
como Switches (conmutadores) y Router (enrutadores). Es la
plataforma de software que proporciona servicios de red y
permite a las aplicaciones en red. El potente software Cisco
IOS que se ejecuta por router Cisco y los servidores de acceso
remoto.

62

Cisco ACS Para Windows:
Cisco Secure ACS es un servidor de control de acceso
altanamente escalable, de alto rendimiento que funciona
como sistema de servidor RADIUS o TACACS+ centralizado.
Controla las funciones de AAA para los usuarios que acceden
a los recursos de la empresa a travs de una red.

Cisco Secure Access Control Server (ACS) es un software de
Cisco que permite manejar y desplegar soluciones
centralizadas para seguridad, identificacin y autenticacin de
usuarios, sobre dispositivos Cisco y aplicaciones de
administracin de seguridad.

Tambin permite manejar el acceso de usuarios sobre Router
cisco, VPN, Firewall, AP, Switch.

Windows Server 2003:
Es Un sistema operativo de la familia Windows de la marca
Microsoft para servidores que sali al mercado en el ao
2003.

Putty:
Es un cliente SSH, Telnet, rlogin y TCP raw con licencia libre.
Disponible originalmente solo para Windows, ahora tambin
est disponible en varias plataformas Unix.

63

4.3 REQUERIMENTOS DE TIENDAS Y USUARIOS MOVILES

Conexin a Internet:
Seguridad para transmisin de datos.
Cisco VPN Client.
Sistema de alta disponibilidad.
Confidencialidad de sus datos.
Integridad de sus datos.
Flexibilidad de la red.
Facilidad de uso.
Laptop, Notebook, Desktop, etc.

64

CAPTULO V

NETWORKING SOLUTIONS

65

5.1 DISEO DEL PROYECTO TIC

S
o
l
u
c
i
n

V
P
N

c
o
n

A
l
t
a

D
i
s
p
o
n
i
b
i
l
i
d
a
d

66

5.2 DISEO DE PLANOS: GRFICOS

Figura 5.2 Diseo de plano primer piso

67

Figura 5.3 Diseo de plano segundo piso

68

Figura 5.4 Diseo de plano Tercer piso

69

CAPTULO VI

PRUEBAS TIC

70

PRUEBAS TIC

Hacer pruebas es una actividad que tiene el objetivo de evaluar y
mejorar la calidad del producto, identificando defectos y problemas.

6.1 PRUEBAS INTEGRALES

Para las pruebas de VPN se tomaron en cuenta varios aspectos para el
trabajo prctico realizado sobre IPsec y tambin aspectos tcnicos
aplicados a los sistemas operativos ocupados para dichas pruebas.

6.1.1 ESCENARIO DE PRUEBAS.

PRUEBA 1 : PRUEBAS DE CONECTIVIDAD:
Realizar las pruebas de conectividad hacia los routers que
estn configurados como servidores VPN y verificar que
estn disponibles; para posteriormente realizar las
conexiones VPN.

Figura 6.1.1: Conectividad Router AH1

71

P
I
N
Figura 6.1.2: Conectividad Router AH2

Figura 6.1.3: Conectividad VIP (IP Virtual HSRP)

PRUEBA 2: ACCESO REMOTO

El tnel se establece entre el usuario remoto y el servidor
VPN. Para poder ingresar a la Red Privada Virtual se debe
tener conectividad (ping) al servidor VPN, ya sea va WAN o
Va Internet, y se debe tener instalado el software Cisco
VPN Client en el host remoto.

Para acceder se debe contar con un usuario autorizado.
Una vez autenticado el cliente con el servidor VPN, se
procede a pedir el usuario y contrasea, este usuario se
encuentra configurado dentro del servidor TACACS+

72

Figura 6.2.1: Lista de usuarios VPN

PRUEBA 3: CONEXIN AL SERVIDOR VPN

Antes del tnel.- Antes de establecer el tnel VPN sobre la
red WAN simulada, se realiz pruebas de conectividad
hacia direcciones pblicas y privadas de la empresa BATA.
Adems se determin el nmero de saltos desde el host
remoto hacia las direcciones pblicas en uso de la
empresa.

tem Direccin Resultado Descripcin
Ping Dir.
Pblicas
201.240.17.177 Exitoso Gateway
201.240.17.179 Exitoso Router AH1
201.240.17.181 Exitoso VIP. Externo
Ping Dir.
Privadas
172.16.2.1 Fallido VIP. Interno
172.16.2.50 Fallido Servidor ACS1
Tracert 201.240.17.179 4 saltos Router AH1

73

Dir.
Pblicas
201.240.17.180 4 saltos Router AH2
Tracert
Dir.
Privadas
172.16.2.1 Fallido VIP. Interno
172.16.2.60 Fallido Servidor SQL
Tabla 6.1 Resultados antes de establecer el tnel VPN

Despus del tnel.- Una vez que el Host remoto se conecta
al tnel, el cliente adquiere una direccin dinmica de pool
de direcciones disponible. De esta manera el host remoto
tendr una direccin local de su red LAN (192.168.X.X /24)
y la direccin del tnel a partir de 172.16.2.100 /24, que
sern asignadas de forma dinmica a los clientes que se
conectan mediante VPN; con sta direccin el usuario
remoto es virtualmente parte de la LAN y podr acceder a
PCs y servicios dentro de la LAN Central.

Una vez conectado tambin podemos verificar el nmero
de IP asignado por el servidor VPN al conectarnos en el
tnel. Para esto utilizaremos el comando [cmd] para hacer
llamado a MS-Dos de Windows a travs de la aplicacin
[ejecutar]; estando en la consola en modo texto, utilice el
comando [ipconfig] para verificar que direccin ip fue
asignado.

74

Figura 6.3.1: Verificacin de Asignacin de direccin IP

Una vez establecido el tnel y asignada la direccin IP se
pueden realizar el envo de datos mediante el tnel VPN.

Figura 6.3.2: Conectividad con Servidor ACS1

Figura 6.3.3: Software Cisco VPN Cliente

75

T

Tabla 6.2 Resultados despus de establecer el tnel sobre
una red WAN

tem Direccin Resultado Descripcin
Ping Dir.
Pblicas
201.240.17.177 Exitoso Gateway
201.240.17.181 Exitoso VIP. Externo
Ping Dir.
Privadas
172.16.2.1 Exitoso VIP. Interno
172.16.2.50 Exitoso Servidor ACS1
172.16.2.51 Exitoso Servidor ACS2
172.16.2.60 Exitoso Servidor SQL
Tracert
Dir.
Pblicas
201.240.17.179 4 Saltos Router AH1
201.240.17.180 4 saltos Router AH2
201.240.17.181 4 saltos VIP. Externo
Tracert
Dir.
Privadas
172.16.2.1 1 Salto VIP. Interno
172.16.2.50 2 saltos Servidor ACS1
172.16.2.51 2 saltos Servidor ACS2
172.16.2.60 2 Saltos Servidor SQL

76

PRUEBA 4: MONITOREO DEL TNEL

El objetivo es interceptar el trfico, mostrar las
vulnerabilidades de la red local de datos basada en IP sin
servicios de seguridad y observar las diferencias al
habilitar un protocolo de seguridad como IPsec en una
configuracin de VPN. Las pruebas se realizaron de
extremo a extremo, a travs de transmisin de paquetes
para que sean fcilmente reconocibles al analizar el
trfico, as como la captura general del trfico en la red.

En sta prueba se describen las pruebas realizadas con el
protocolo IPsec, cubriendo los tres enfoques planteados:
la relevancia de aplicar servicios de seguridad ante una
evidente y comprobada vulnerabilidad de IP, extraer
trfico de una LAN es sencillo y representa problemas
serios. La resistencia de IPsec a las estrategias de ataques,
las prestaciones de una red donde se ha instrumentado
IPsec, bajo distintas configuraciones y la evaluacin de
dichas prestaciones para garantizar la calidad de servicios.

Wireshark, es un analizador de protocolos utilizado para
realizar anlisis y solucionar problemas en redes de
comunicaciones, permite capturar paquetes de datos de
una red y luego ser analizados mediante la utilizacin de
filtros de manera que sea ms comprensible; Wireshark es
un software libre y se ejecuta en la mayora de sistemas
operativos.

77

CAPTURA DE TRFICO CON SERVICIO VPN
DESHABILITADO.
Esta prueba consiste en realizar una captura de trfico de
datos en la red LAN, sin hacer uso de la implementacin
VPN, de sta manera identificar los riesgos a los que se
exponen los datos al ser transmitidos.

Figura 6.4.1: Ventana de Login del Sistema de Ventas

Figura 6.4.2: Captura de usuario y password del sistema de
Ventas

78

Figura 6.4.3: Captura de Base de Datos del Sistema de Ventas

CAPTURA DE TRFICO CON SERVICIO VPN HABILITADO.
Esta prueba tiene como objetivo realizar la captura de
trfico y a la vez mostrar las fortalezas de usar una
implementacin VPN dentro de la red y todos los servicios
que sta nos pueda aportar a cumplir el objetivo de
seguridad.

Figura 6.4.4: Ventana de Login del Sistema de Ventas

79

Figura 6.4.5: Captura de trfico de Login al Sistema de Ventas

Figura 6.4.6: Realizando una orden de pedido Sistema de Ventas

Figura 6.4.7: Captura de trfico de orden de pedido

80

De acuerdo a los resultados obtenidos, se demuestra el
establecimiento del tnel brinda seguridad a la
transmisin de datos y la comprobacin de que los
paquetes se encriptan; ya sea una prueba de ping a la red
interna, una conexin mediante telnet y/o ssh, u otra
forma de datos que se inicie desde un cliente VPN.

El objetivo buscado fue que un usuario sobre internet se
conecte al tnel VPN y pueda hacer uso del sistema de
ventas y ver las ventajas de usar VPN en comparacin
cuando no est implementado; no est por dems resaltar
que el trfico que pase por el tnel tendr mayor
seguridad y confidencialidad, entre otras ventajas de usar
VPN.

PRUEBA 5: ALTA DISPONIBILIDAD DE SERVIDOR VPN
Con estado de conmutacin por error de seguridad IP
(IPsec) permite a un router continuar con el
procesamiento y trasmisin de paquetes IPsec despus
de una interrupcin planificada o no planificada. Una
copia de seguridad (secundario) del router de forma
automtica se hace cargo de las tareas del router activo
(primario), si el router activo pierde la conexin por
cualquier motivo. Este proceso es transparente para el
usuario y no requiere ajuste, ni la reconfiguracin de
cualquier punto remoto.

#show standby brief: Comando muestra informacin HSRP
(Hot Standby Router Protocol), muestra informacin sobre
router activo y standby.

81

Figura 6.5.1: Router Activo.

Figura 6.5.2: Router Standby.

#show crypto ipsec sa interface fastEthernet 0/0: Muestra la
configuracin utilizado por las asociaciones de seguridad actual
(SA).Permite ver la cantidad de paquetes encriptados por dicha
interface.


82


#show crypto isakmp sa: Comando para mostrar el actual
Internet Key Exchange (IKE), las asociaciones de seguridad (SA).



#show crypto ha: Mostrar IP virtual para el intercambio de
llaves y el protocolo VPN con la direccin virtual.

83



Luego de haber visto los posibles comandos para verificar la
disponibilidad de VPN de los router se prosigue a realizar las
pruebas correspondientes para demostrar la configuracin es
correcta, la cual se va a realizar en 3 pasos:

Interrupcin de Servicio del Router Activo.- Consiste en
realizar la simulacin de interrupcin del servicio en el
router AH2 mediante el apagado de la interfaz
fastethernet 0/0, luego se puede observar en los
mensajes que dicho router deja de ser el router Activo
tambin se muestra un mensaje indicando que se debe
de reiniciar el router luego se muestra un mensaje
indicando que la interfaz se encuentra en estado down.

84

Figura 6.5.9: Interrupcin del Servicio en AH2

Cambio de Estado del Router Standby a Activo.- El
resultado demuestra que el router AH1 deja de ser el
router standby y pasa a ser el router activo y tomar el
control de las conexiones VPN que se encontraban
activas dentro de AH2, posterior a su fallo mediante la
notificacin de los protocolos HSRP y SSO.

Figura 6.5.10. Cambio de estado router AH1

85

Verificacin de Conectividad del Cliente VPN.- Los
resultados demuestran que el cliente VPN, no pierde la
conexin VPN y sigue con el envo de datos con total
normalidad e incluso sin notar el cambio de estados
entre los router Activo-Standby, debido a que todos
los cambios que se producen en los routers (AH1, AH2)
son totalmente transparentes para los cliente VPN.

Figura 6.5.11: Verificacin de conectividad del cliente VPN.

86

PRUEBA 6: ALTA DISPONIBILIDAD DE SERVIDOR ACS
Al contar con dos servidores para realizar la autenticacin de
los usuarios remotos lo cual garantiza la total operatividad del
sistema. Adems cuenta con un servicio de replicacin de la
base de datos que hace ms fcil su administracin.

Replicacin de la base de datos del servidor ACS1 hacia el
servidor ACS2

Figura 6.6.1: Replicacin de Base de Datos

87

Envo de Base Datos desde el Servidor ACS1 hacia el servidor
ACs2

Figura 6.6.2: Envo de datos desde Servidor ACS1

A continuacin se muestra un registro, donde se puede
apreciar que la replicacin de la base de datos desde el servidor
ACS1 hacia el servidor ACS2, se ha realizado con xito.

Figura 6.6.3: Reporte de Envo de base de datos.

88

6.2 CERTIFICACIN DE CALIDAD

La certificacin de seguridad de Cisco, permite adquirir productos y/o
servicios que tienen una certificacin de calidad, garantizando que la
actividad comercial de la empresa est con sus necesidades y requisitos
tanto presentes como futuros ofreciendo una garanta y tranquilidad
para la empresa BATA que adquiere estos productos.

Con la contratacin de un servicio o compra de un producto Cisco,
ostenta un certificado de calidad, relativo a al sistema de gestin y
garantiza que los servicios implementados van a satisfacer las
necesidades y expectativas de los clientes.

Al usar un protocolo IPsec y ser un estndar de seguridad, ste da la
seguridad a la empresa que se va a proporcionar calidad en criptografa
para IPv4 e IPv6; stos servicios se proporcionan en la capa IP,
ofreciendo la proteccin de la propiedad intelectual y/o protocolos de
capa superior, segn se menciona en la RFC 2401 de IPsec.

89

CAPTULO VII

IMPLEMENTACION DEL
PROYECTO

90

7.1 PUESTA EN MARCHE DEL PROYECTO

Instalacin de los nuevos dispositivos Cisco.
Configuracin de Router Cisco como Servidores VPN.
Configuracin de los protocolos para VPN y Alta disponibilidad
Instalacin y configuracin de los servidores ACS.
Instalacin del software Cisco VPN Client.
Preparar el entorno VPN
Instalacin de SiTesis para simulacin del Sistema de Ventas.

7.2 PLAN DE MANTENIMIENTO

Proteccin de recursos.
Hardware:
Comunicaciones.
Medios de almacenamiento
Terminales y estaciones de operacin.
Gabinetes o armarios en donde se almacenan datos.
Data centers de servidores y comunicaciones.
Otros dispositivos (impresoras, faxes, etc.)

Software
Libreras de programas y cdigo fuente.
Software propietario o de proveedores.
Sistemas operativos y utilidades de los sistemas.
Cuentas de usuarios.
Controles de backup.
Sistema de antivirus.

91

Datos
Backups.
Archivos de usuarios.
Archivos de contraseas.
Directorios del sistema operativo.
Logs del sistema y rastros de auditora.
Deteccin de intrusos.
Anlisis de violaciones de seguridad.
Registros de auditora (Logs).

7.3 PLAN DE CONTINGENCIAS

Como plan de contingencia se contar con tener redundancia de
equipos para proveer la mayor disponibilidad posible a la red. El
respaldar la informacin de la configuracin de equipos y de servidores
permite en caso de prdida de uno de los equipos, utilizar uno temporal
que puedan reemplazar al principal.

La seguridad que se dar al cuarto de equipos forma parte fundamental
de este plan de contingencia.

En cualquier momento, la instalacin informtica de la empresa puede
quedar total o parcialmente inoperativa como consecuencia de un
siniestro fortuito. Esta suspensin de las operaciones afecta
directamente al negocio de la misma, as como su imagen, su base de
clientes, etc.

92

Se ha tomado conciencia que un desastre puede generar la prdida total
de informacin, podra generar una paralizacin total o parcial a la
empresa y consecuentemente prdidas econmicas que podran ser
cuantiosas. Es as que es necesario empezar a crear un plan de
contingencias, el cual ser un documento gua para prevenir desastres y
actuar con eficacia cuando ocurran.

Elaborar una documentacin actualizada con los nuevos cambios y
configuraciones realizadas, para diagnosticar y corregir de manera eficaz
los problemas de la red. La documentacin de configuracin de la red
proporciona un diagrama lgico de la red e informacin detallada acerca
de cada componente.

La documentacin de la red debe mantenerse en una ubicacin nica,
ya sea como una copia impresa o en la red en un sitio web protegido. La
documentacin debe incluir estos componentes:

Tabla de configuracin de la red.
Tabla de configuracin del sistema final.
Diagrama de topologa de la red.

Establecer una poltica de resolucin de problemas, una poltica
proporciona una manera sistemtica para llevar a cabo cada etapa, es
posible que sea necesario volver a ejecutar las etapas y recopilar ms
sntomas mientras se asla el problema.

Recopilar sntomas.
Aislamiento del problema.
Correccin del problema.

93

7.4 PLAN DE CAPACITACIN AL PERSONAL

Para el caso de los usuarios se les brindar la capacitacin necesaria,
sobre el uso y manejo de las herramientas que usaran cuando el sistema
entre en funcionamiento. Se brindara capacitacin a las siguientes reas
por las que ms usan los servicios de la red.

Personal del departamento de IT.
Personal de trabajo

TEMAS DE CAPACITACION.

PERDIDA ACCIDENTAL.
Errores u omisiones en inputs de operadores.
Errores de procesamiento de transacciones.

ACTIVIDADES INAPROPIADAS
Contenido inapropiado.
Desperdicio /uso indebido de recursos corporativos.
Abuso de privilegios o derechos.
Operaciones ilegales y ataques intencionales.
Monitoreo (eavesdripping).
Fraude.
Robo.
Sabotaje.
Ataques externos.

94

7.5 DOCUMENTACIN DEL PROYECTO
7.5.1 MANUALES

INSTALACION CISCO SECURE ACCESS CONTROL SERVER (ACS)

Insertamos el CD que contiene el software de Cisco Secure ACS, luego
click en Install para iniciar con la instalacin de la aplicacin.

Seleccionar los elementos a utilizar, click en Next para continuar.

95

Seleccionar las opciones avanzadas a mostrar en la interfaz de usuario.

Una vez finalizado la instalacin, click en Finish, para finalizar.

96

CONFIGURACION DE ALTA DISPONIBILIDAD DE SERVIDORES ACS

CONFIGURACION DEL SERVIDOR ACS1:

Interfaz web de usuario, pantalla inicial de Cisco Secure ACS, en el panel
izquierdo, click en el botn Interface Configuration.

Click en el enlace Advanced Options.

97

Dentro de la pgina opciones avanzadas, check en ACS internal
database Replication, y click en submit. Luego en el panel izquierdo
click en el botn Network Configuration.

En el rea de AAA de Servidores, click en Add Entry para agregar el
servidor secundario.

98

Ingresar la informacin sobre el Servidor ACS2, luego click en Submit +
Apply para aplicar y guardar cambios. Luego en el panel izquierdo click
en el botn System Configuration.

Se puede ver configurado el servidor ACS1 y ACS2 dentro de Network
Configuration.

99

Click en System Configuration, luego click en ACS Internal Database
Replication, para configurar los parmetros de replicacin.

Marcar con un Check las opciones necesarias, dentro del cuadro de
Replication Components. (Continua)

100

Pasar a ACS2 a zona Replication, configurar Replication timeout a 3
minutos y click en Submit.

CONFIGURACION DEL SERVIDOR ACS2

Interfaz web de usuario, pantalla inicial de Cisco Secure ACS, en el panel
izquierdo, click en el botn Interface Configuration.

101

Click en el enlace Advanced Options.

Dentro de la pgina opciones avanzadas, check en ACS internal
database Replication, y click en submit. Luego en el panel izquierdo
click en el botn Network Configuration.

102

Click en Add Entry para agregar al servidor informacin del servidor ACS
primario.

Configurar los parmetros respecto al servidor Primario, luego click en
Submit + Apply para aplicar y guardar cambios.

103

Click en el botn System Configuration, luego click en el enlace ACS
Internal Database Replication, para configurar los parmetros de
replicacin.

Marcar las opciones necesarias para recibir la replicacin de la base de
datos desde el servidor ACS primario. (Continua)

104

Configurar los parmetros relacionados al Servidor Primario luego click
en Submit.

AGEGRAR CLIENTES AAA

En el panel izquierdo click en Netowrk Configuration, dentro de AAA
Clients click en el botn Add Entry.

105

Digitar los datos correspondientes a los dispositivos que va a utilizar
AAA para su autenticacin posteriormente luego click en Submit +
Apply.

REPLICACION DE BASE DE DATOS SERVIDOR PRIMARIO

Dentro del servidor ACS primario, click en el botn System
Configuration, y click en el enlace ACS Internal Database Replication.

106

Click en el botn Replicate Now, para realizar la replicacin de base de
datos desde el servidor primario hacia el servidor secundario.

CREAR GRUPO ADMINISTRADORES Y GRUPO DE USUARIOS VPN

GRUPO ADMINISTRADOR:

En el panel izquierdo click en el botn Group Setup, seleccionar el
grupo1 y click en Rename Group.

107

Dentro de Group cambiar el texto por Administrador, y click en Submit.

Click en Edit Settings, para modificar el nivel de permisos del grupo.

108

Dentro de Jump To seleccionar TACACS+ y marcar con check las
opciones correspondientes, asignar el nivel de permiso correspondiente
al grupo y click en Submit + Restart.

AGREGAR USUARIOS A GRUPO ADMINITRADOR.

En el panel izquierdo click en User Group, dentro de la opcin User
escribir el nombre del administrador y click en Add/Edit.

109

Asignar los datos correspondientes al usuario, seleccionar grupo
Administrator y click en Submit.

CREAR GRUPO CLIENTES VPN

Seleccionar Grupo 2 y click en Rename Group.

110

Dentro de Group escribir el nombre de grupo para los clientes VPN y
click en Submit.

AGREGAR USUARIOS A GRUPO VPN-CLIENTS

En el panel izquierdo click en User Group, dentro de la opcin User
escribir el nombre del cliente VPN y click en Add/Edit.

111

Asignar los datos correspondientes al usuario, seleccionar grupo VPN-
CLIENTS y click en Submit.

GUIA DE CONFIGURACION ROUTER AH1 Y ROUTER AH2

AH1 AH2

version 12.4
service timestamps debug
datetime msec
service timestamps log datetime
msec
no service password-encryption
!
hostname AH1
!
boot-start-marker

version 12.4
service timestamps debug
datetime msec
service timestamps log datetime
msec
no service password-encryption
!
hostname AH2
!
boot-start-marker

112

boot-end-marker
!
redundancy inter-device
scheme standby HA
!
redundancy
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 172.16.2.2
retransmit-timeout 300 10000
path-retransmit 10
assoc-retransmit 10
remote-port 5000
remote-ip 172.16.2.3
!
aaa new-model
!
aaa authentication login default
group tacacs+
aaa authentication login VPNAUTH
group tacacs+
aaa authentication login bata
group tacacs+
aaa authorization exec bata group
tacacs+
aaa authorization network
VPNAUTH local group tacacs+
boot-end-marker
!
redundancy inter-device
scheme standby HA
!
redundancy
!
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 172.16.2.3
retransmit-timeout 300 10000
path-retransmit 10
assoc-retransmit 10
remote-port 5000
remote-ip 172.16.2.2
!
aaa new-model
!
aaa authentication login default
group tacacs+
aaa authentication login VPNAUTH
group tacacs+
aaa authentication login bata
group tacacs+
aaa authorization exec bata group
tacacs+
aaa authorization network
VPNAUTH local group tacacs+

113

aaa authorization network bata
group tacacs+
!
aaa session-id common
ip domain name bata.com.pe
ip ssh version 2
!
track 10 interface FastEthernet0/1
ip routing
!
line-protocol
!
ip routing
!
line-protocol
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp keepalive 10
periodic
crypto isakmp xauth timeout 14
!
crypto isakmp client configuration
group clivpnbata
key Cli1Vpn2Bata
pool VPNCLIENTS
aaa authorization network bata
group tacacs+
!
aaa session-id common
ip domain name bata.com.pe
ip ssh version 2
!
ip routing
!
line-protocol
!
ip routing
!
line-protocol
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp keepalive 10
periodic
crypto isakmp xauth timeout 14
!
crypto isakmp client configuration
group clivpnbata
key Cli1Vpn2Bata
pool VPNCLIENTS

114

acl 100
netmask 255.255.255.0
!
crypto ipsec transform-set mytrans
esp-aes 256 esp-sha-hmac
!
crypto dynamic-map mymap 10
set transform-set mytrans
reverse-route
!
crypto map mymap client
authentication list VPNAUTH
crypto map mymap isakmp
authorization list VPNAUTH
configuration address respond
crypto map mymap 10 ipsec-
isakmp dynamic mymap
!
interface FastEthernet0/0
description conexion Sw1 - ISP
ip address 201.240.17.179
255.255.255.248
duplex auto
speed auto
standby delay minimum 2 reload 3
standby 1 ip 201.240.17.181
standby 1 preempt
standby 1 authentication AHBATA
standby 1 name HA
standby 1 track FastEthernet0/1
acl 100
netmask 255.255.255.0
!
crypto ipsec transform-set mytrans
esp-aes 256 esp-sha-hmac
!
crypto dynamic-map mymap 10
set transform-set mytrans
reverse-route
!
authentication list VPNAUTH
crypto map mymap isakmp
authorization list VPNAUTH
configuration address respond
crypto map mymap 10 ipsec-
isakmp dynamic mymap
!
description conexion Sw1 - ISP
ip address 201.240.17.180
255.255.255.248
duplex auto
speed auto
standby 1 ip 201.240.17.181
standby 1 preempt
standby 1 authentication AHBATA
standby 1 name HA

115

standby 1 track 10
standby 1 track 11
crypto map mymap redundancy
HA stateful
!
description LINK TO LAN
ip address 172.16.2.2
255.255.255.0
duplex auto
speed auto
standby 2 ip 172.16.2.1
standby 2 preempt
standby 2 name HA-IN
standby 2 track 20
standby 2 track 21
!
ip local pool VPNCLIENTS
172.16.2.100 172.16.2.190
ip classless
ip route 0.0.0.0 0.0.0.0
201.240.17.177
no ip http server
no ip http secure-server
!
logging alarm informational
access-list 100 permit ip
172.16.0.0 0.0.255.255 any
!
standby 1 track 10
standby 1 track 11
crypto map mymap redundancy
HA stateful
!
description LINK TO LAN
ip address 172.16.2.3
255.255.255.0
duplex auto
speed auto
standby 2 ip 172.16.2.1
standby 2 preempt
standby 2 name HA-IN
standby 2 track 20
standby 2 track 21
!
ip local pool VPNCLIENTS
172.16.2.100 172.16.2.190
ip classless
ip route 0.0.0.0 0.0.0.0
201.240.17.177
no ip http server
no ip http secure-server
!
logging alarm informational
access-list 100 permit ip 172.16.0.0
0.0.255.255 any
!

116

tacacs-server host 172.16.2.50
tacacs-server directed-request
tacacs-server key Key1Secret2
!
control-plane
gatekeeper
shutdown
line con 0
exec-timeout 0 0
authorization exec bata
login authentication bata
stopbits 1
line aux 0
stopbits 1
!
banner motd
Authorized Access Only!
!
By: Rodrigo
!
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
!
End
tacacs-server directed-request
tacacs-server key Key1Secret2
!
control-plane
gatekeeper
shutdown
line con 0
exec-timeout 0 0
stopbits 1
line aux 0
stopbits 1
!
banner motd
Authorized Access Only!
!
By: Rodrigo
!
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
!
end

117

INSTALACION DE CISCO VPN CLIENT
Ahora que la estacin central se ha configurado como un servidor Easy VPN.
Antes de conectarse, debe instalar Cisco VPN Client. Para comenzar la
instalacin, descargue el VPN Client de Cisco, extraer a un directorio temporal.
Ejecute el archivo setup.exe en el directorio temporal para iniciar la
instalacin.

Para iniciar con la instalacin hacer click en Next.

Click en Yes en aceptar la los argumentos de licencia.

118

El programa por defecto escoge un directorio, click en Next.

Click en Next. Para continuar con la instalacin.

119

Indicador de progreso de la instalacin, esperar para finalizar.

Click en Finish, para concluir con la instalacin.

120

Se requiere el reinicio de computadora, Click en Yes para reiniciar.

INICIAR CISCO VPN CLIENT

Para iniciar Cisco VPN Client, click en botn Inicio y escoger programas> Cisco
Systems VPN Client> VPN Client.

121

Una vez que el Cliente VPN est abierto, tendr que crear un nuevo perfil de
conexin para conectarse a la central. Haga click en el botn New. Crear la nueva
conexin con cualquier nombre y la descripcin que desee. Para el host, escriba la
direccin IP pblica del Easy VPN server. La direccin IP representa la direccin IP
del servidor VPN o concentrador al que se desea conectar. En este caso, es el
cliente quien ejecuta el servidor Easy VPN, Utilice el nombre de grupo y contrasea
previamente configurado en el asistente de Easy VPN. Haga click en Save para
guardar cuando finalizado la configuracin.

122

Click en Log Windows, para separar una nueva ventana, click en Log settings. Cambiar la
configuracin de logeo para IKE e IPsec a 3 High. Click en OK para aplicar esta configuracin.

Click en la pestaa connection Entries, y click en connect para conectarse a ese perfil.

123

Mientras que el cliente VPN intenta conectarse a la VPN, se le pedir un nombre de
usuario y contrasea. Introduzca las credenciales de usuario que ha especificado
anteriormente dentro del servidor de autenticacin.

Cuando la VPN se haya conectado correctamente, ver un candado cerrado, un
icono en la barra de sistema.

Ahora que el Cliente est conectado a la VPN, realizar un ping a un host de la red
interna, y debe tener xito.

124

CAPTULO VIII

EVALUACIN ECONMICA

125

8.1 ANLISIS ECONMICO

El presente capitulo tiene como objetivo la planificacin de los ingresos
y egresos que este proyecto genere a lo largo de sus operaciones. Este
requerimiento estar determinado por los requerimientos que cada
rea ha generado.

Debemos tener en cuenta algunos supuestos y consideraciones para la
elaboracin de los mismos:
El tipo de cambio promedio utilizado para valorizar los precios ha
sido de 2.83. [WWW0004]
Para la proyeccin de sueldos y salarios se ha considerado que las
polticas a seguir en el prximo gobierno en esta materia sean
similares a las del gobierno actual.
Consideramos el mayor ndice de inflacin anual estimando en 3.0%
y lo mantuvimos como una constante para todos los aos que dura
el proyecto.[WWW0005]

8.2 PRESUPUESTO DE EGRESOS
Es una descripcin detallada, ordenada y estimada de los rubros
administrativos, operativos, financieros, contables, los cuales han sido
desagregados en captulos precedentes, de igual manera se determina
su normalidad de financiamiento, para el periodo de horizonte de
planteamiento del proyecto.

Luego de culminado el proceso de pruebas, y con un panorama
completo del alcance del presente proyecto, es posible establecer que
equipos y elementos intervienen; o pueden intervenir, en la
implementacin y puesta en marcha del proyecto diseado.

126

Considerando que la empresa cuenta con una red de cableado
estructurado e infraestructura LAN previa, no es pertinente al presente
proyecto sumarle el aspecto de cableado interno de la empresa y
considerando los aspectos de la nueva solucin requiere de cambios
tanto en la arquitectura fsica como en la red lgica de la red; los costos
de los nuevos equipos se detallaran ms adelante. Teniendo en cuenta
este aspecto, se proceder a detallar los equipos y elementos de
software que se utilizan para este proyecto.

Para una conexin cliente a sitio, se requiere un equipo que soporte
conexiones remotas a travs de un tnel IPsec VPN, ste equipo
controlar el acceso de usuarios remotos. El usuario remoto requiere de
una conexin a Internet que puede ser de 128Kbps como mnimo y el
software de Cliente VPN de Cisco. En este captulo se realizar el estudio
de costos, adems se detallan los equipos necesarios para una futura
implementacin real del proyecto.

COSTOS FIJOS
1

CANT SOFTWARE IMPORTE (USD)
1 Cisco ACS para Windows 0.00
1 Cisco VPN Client 0.00
1 Putty 0.00
1 IOS advanced Services 7206VXR 0.00
TOTAL 0.00

1
Se define un valor de 20 USD por hora de programacin debido a que se consult a
empresas el valor para soporte tecnolgico.

127

HARDWARE
CANT PRODUCTO DESCRIPCION
PRECIO
IMPORTE (USD)
UNIT. (USD)
2 SERVIDOR HP
HP ProLiant
ML110 G5 709.91 1,419.82
1
Switch Cisco
Catalyst 3560
WS-C3560E-
24TD-S 5,995.00 5,995.00
1
Router Cisco
7200
7206VXR
NPE-400 11,420.00 11,420.00
TOTAL 18,834.82

SUMINISTROS IMPORTE (USD)
Pack CD RW 18.80
Pack Hojas Bond A4 5.69
tiles (Lapiceros, cuadernos, etc.) 3.80
TOTAL 28.29

CANT CONFIGURACION PRECIO UNIT
(USD)
IMPORTE (USD)
2 Cisco ACS para Windows 310.50 621.00
58 Cisco VPN Client 20.00 1160.00
2 Router Cisco 7200 700.00 1,400.00
TOTAL 3,181.00

COSTO DE IMPLEMENTACION IMPORTE (USD)
SOFTWARE 0.00
HARDWARE 18,834.82
SUMINISTROS 28.29
CONFIGURACION 3,181.00
TOTAL 22,044.11

128

VARIABLES.

NUEVO PERSONAL IT (RR.HH) IMPORTE (USD)
Administrador de Sistemas 1, 120.00
TOTAL 1 ,120.00

A. DETERMINACION DE LA DEPRECIACION.

La depreciacin es la disminucin de la vida til de un bien tangible,
puede deberse al propio uso, deterioro, desgaste u obsolescencia por
adelantos tecnolgicos. Para la determinacin de la depreciacin se han
tomado en cuenta las tasas aplicadas segn la Ley general de impuesto a
la renta. Por consiguiente la determinacin de devaluacin del siguiente
proyecto es de 5 aos (60 meses).
VALOR DEL ACTIVO 22044.11
VIDA UTIL 5 Aos

CUADRO DE DEPRECIACION

Ao
Cuota
depreciacin
Depreciacin
acumulada
Valor neto en
Dispositivos
1

4,408.82

4,408.82

17,635.29
2

4,408.82

8,817.64

13,226.47
3

4,408.82

13,226.47

8,817.64
4

4,408.82

17,635.29

4,408.82
5

4,408.82

22,044.11

-

129

B. DETERMINACIN DE LA AMORTIZACIN DE CAPITAL.

Amortizar es el proceso financiero mediante el cual se extingue,
gradualmente una deuda por medio de pagos peridicos, que pueden ser
iguales o diferentes; en las amortizaciones de una deuda, cada pago o
cuota que se entrega sirve para pagar los intereses y reducir el importe de
la deuda. Desde el punto de vista financiero, se entiende por
amortizacin al reembolso gradual de una deuda.

PRESTAMO $ 22,044.11
TIEMPO 5 Aos
TASA 10%

CUADRO DE AMORTIZACION

N PRESTAMO INTERES CUOTA AMORT. TOTAL
0

22,044.11
1

22,044.11

2,204.41

4,408.82

6,613.23
2

17,635.29

1,763.53

4,408.82

6,172.35
3

13,226.47

1,322.65

4,408.82

5,731.47
4

8,817.64

881.76

4,408.82

5,290.59
5

4,408.82

440.88

4,408.82

4,849.70
TOTALES

6,613.23

22,044.11

28,657.34

130

8.3 EVALUACIN ECONMICA Y FINANCIERA

INVERSION $ 22,044.11

VIDA UTIL 5 Aos

TASA INTERES 12%

GASTOS DE CONTINGENCIA 850.00 (ANUAL)
PRODUCTIVIDAD 17,000.00 (ANUAL)
DEPRECIACION 4,408.82 (ANUAL)
GASTOS OPERATIVOS 1,120.00 (ANUAL)

2011 2012 2013 2014 2015 2016
AO 0 1 2 3 4 5
INVERSION
INICIAL: Io -22,044.11
INGRESOS

-

17,000.00

17,000.00

17,000.00

17,000.00

17,000.00
GASTOS
OPERATIVOS

-

1,970.00

1,970.00

1,970.00

1,970.00

1,970.00
DEPRECIACION

-

4,408.82

4,408.82

4,408.82

4,408.82

4,408.82
F.E.A.D.I.R -22,044.11

10,621.18

10,621.18

10,621.18

10,621.18

10,621.18
I.R (30%)

-

3,186.35

3,186.35

3,186.35

3,186.35

3,186.35
FE -22,044.11

7,434.82

7,434.82

7,434.82

7,434.82

7,434.82
FEN -22,044.11

11,843.65

11,843.65

11,843.65

11,843.65

11,843.65
GASTOS
FINANCIEROS

6,613.23

6,172.35

5,731.47

5,290.59

4,849.70
FFN -22,044.11

5,230.41

5,671.30

6,112.18

6,553.06

6,993.94

AMORTIZACION DE CAPITAL SIN
PRESTAMO
VAN(FEN) 20,649.59
TIR(FEN) 45%

AMORTIZACION DE CAPITAL CON
PRESTAMO
VAN(FFN) 4.83
TIR(FFN) 11%

131

8.4 VIABILIDAD DEL PROYECTO
El mtodo de la relacin beneficio/costo est representada por la
relacin Ingresos/Egresos, el anlisis de la relacin B/C, toma valores
mayores, menores o iguales a 1, lo que implica que:
B/C > 1 implica que los ingresos son mayores que los egresos, entonces
el proyecto es aconsejable.
B/C = 1 implica que los ingresos son iguales que los egresos, entonces el
proyecto es indiferente.
B/C < 1 implica que los ingresos son menores que los egresos, entonces
el proyecto no es aconsejable.
Primero calculamos el valor presente.
P=R[1-(1+i)^-n]/i
P=17, 000.00*((1-(1.12)^-5)/0.12)
P=Presente
R=Rentabilidad
n=Tiempo
i=inters

Hallar la relacin beneficio/costo
B/C= Beneficio/Costo
B/C= 61, 281.20/22044.11
B=Beneficio
C=Costo

ANALISIS BENEFICIO/COSTO
P= 61, 281.20
B/C= 2.78

Como puede verse, por este mtodo el resultado es mayor a 1, por ello
el proyecto es aceptado y aconsejable de realizarlo.

132

8.5 BENEFICIO DE LA NUEVA RED.

Se debe tener en cuenta que BATA es una empresa que mantiene una
conexin constante con sus sucursales y clientes remotos; a pesar que el
nuevo diseo involucra un gran gasto, es importante mejorar la tecnologa
para proveer calidad en su servicio y manejar un nmero mayor de clientes.
Para ello, se debe de tener una infraestructura de red consistente con
tecnologa de vanguardia, facilidad de administracin y seguridad avanzada.
Es adems, una empresa que trabaja a nivel nacional y el mejorar su
infraestructura de red interna ayuda a incrementar el rendimiento, el tiempo
de respuesta y el acceso a los servidores de la empresa. Es importante tener
una buena estructura LAN para proveer un buen servicio a sus clientes.
Mejorando la tecnologa para soportar un nmero mayor de clientes, la
empresa se beneficia con los ingresos que obtendr al aumentar sus clientes
y ms an si se permiten ofrecer mayores servicios, incrementando el nivel
de seguridad se evitar el acceso de intrusos en la red que puedan de alguna
manera obstruir el desempeo normal de la red LAN. Este nuevo diseo le
permitir a la red obtener mayor flexibilidad y escalabilidad para las
aplicaciones actuales y las que la empresa requiera en un futuro tales como
telefona IP y videoconferencia, proyectos que estn en evaluacin dentro
de la empresa.
Al implementar el nuevo diseo de red LAN, si ocurre un error de algn
dispositivo dentro de la red LAN, ste diseo cuenta con un sistema de alta
disponibilidad tanto en dispositivos como en servidores de autenticacin,
por lo que se puede recuperar automticamente y se eliminara prdidas por
horas de personas que estn inactivas mientras dure la recuperacin del
sistema, estos inconvenientes se solucionan sin la necesidad de utilizar los
servicios de otras empresas que tendra unos costes elevados por la solucin
del problema.

133

CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES:
1. La tecnologa VPN es una alternativa totalmente viable dentro de
la empresa BATA y est en la posibilidad de integrar este servicio
dentro de sus sistemas de informacin (sistema de ventas,
sistema de catlogos virtuales, Collective, ECODISEO),
permitiendo brindar la seguridad necesaria para realizar
conexiones hacia el servidor de datos, realizar ventas online,
envi de datos, administracin de la red, configuraciones remotas
entre otros servicios ms.

2. El protocolo IPsec es el encargado de brindar la seguridad
necesaria a la informacin, teniendo como mayores beneficiarios
al rea de ventas, sistemas y administradores de la red, por ser
beneficiarios ms directos de sta nueva tecnologa.

3. Al usar un protocolo estndar como IPsec y estar ampliamente
difundido, garantiza a que la empresa BATA en un futuro pueda
implementar nuevos servicios como telefona IP, video
conferencia, entre otros; garantizando la interoperabilidad de los
nuevos servicios con la tecnologa VPN.

4. Una VPN configurada dentro de una red pblica como internet,
implica costos menores en comparacin a un lnea dedicada y
mayores beneficios dentro de la red de la empresa BATA como
son: crear una red jerrquica tolerante a fallos y mayores
beneficios de seguridad para los dispositivos actuales (Router,
Switch, AP, etc.); siendo el beneficio ms significativa el ahorro
generado durante la vida til del proyecto.

134

5. Implementar una VPN dentro de la empresa BATA ofrece grandes
beneficios como son seguridad, movilidad y mayor productividad
de los trabajadores ya que pueden acceder desde cualquier lugar,
as mismo apostar por una empresa ms competitiva y con una
nueva visin de realizar negocios.

6. Llevar a cabo este proyecto dentro la empresa BATA implica
nuevos beneficios en la red LAN de la empresa, adicionando alta
disponibilidad con lo cual garantizamos la disponibilidad del
servicio, lo que no se lograra tener los mismos beneficios si se
contratase un servicio VPN de una empresa externa, haciendo
mencin que tambin la contratacin de VPN externa implica
mayores costos y menores beneficios.

135

RECOMENDACIONES

1. Es recomendable que a la hora de escoger la opcin entre
hardware o software para implementar una VPN, la decisin debe
ser analizada en muchos aspectos como son: el nmero de
usuarios, conocimiento del personal de Tecnologa y los recursos
para la inversin, de ello depender la opcin correcta.

2. Al implementar una VPN basada en Firewall se recomienda que el
nmero de usuarios no sea elevado, esto reduce el rendimiento
del dispositivo incluso se podra necesitar de una tarjeta
aceleradora adicional para poder mantener el equipo operable.

3. Se debe considerar la contratacin de un segundo proveedor de
servicios de Internet (ISP), para proveer mayor disponibilidad de
acceso a Internet, y no tener problemas si en el ISP primario se
produce un fallo.

4. Se recomienda cuantificar muy bien el ancho de banda de los
accesos a Internet, esta vez adems de la navegacin, downloads,
juegos online, video; van a viajar datos incluso importantes por el
mismo canal. Entonces es importante contratar un ancho de
banda que pueda soportar ese trfico y administrarlo de la mejor
manera.

5. Se debe evitar utilizar el algoritmo DES, 3DES para el cifrado de
datos por ser fcil de descifrarlo y actualmente inseguro, se
recomienda utilizar otro ms difcil de descifrar.

136

ANEXOS, WORKSHOPS
WORKSHOP N 01

ENTREVISTA N 01
Fecha : 05/05/10
Usuario : Ing. Rodrguez Zapata Cesar
Cargo : Soporte de sistemas.
Lugar : Departamento de Soporte
Participante : Rodrigo Saavedra Abel H.
Materiales utilizados : Agenda de preguntas.

PREGUNTAS:
1. Me podra decir qu utilidad tiene la implementacin de una VPN dentro
de la empresa?

2. Quin o quines son el tipo de usuarios que puede utilizar este servicio?
3. Por qu necesitamos una VPN para interconectar las diferentes tiendas y
usuarios mviles?

4. Qu tipo de solucin VPN es ideal para la empresa?
5. El tipo de solucin escogido es seguro usar una VPN para la transmisin de
datos?

6. Cules son los protocolos ms comunes para el desarrollo de un Sistema
VPN?

7. Qu tipo de plataforma se va a utilizar para el desarrollo del proyecto?
8. Econmicamente que tipo de solucin es ms factible, una solucin
brindada por una empresa externa o una solucin desarrollada por la
propia empresa?

9. Cules son los requerimientos de hardware y software necesarios para el
desarrollo del presente proyecto?

10. Por qu escoger Cisco para el desarrollo del presente proyecto, cules son
los beneficios?

137

WORKSHOP N 02

ENTREVISTA N 02
Fecha : 05/05/10
Usuario : Ing. Caro Bellido Jaime E.
Cargo : Gerencia proyectos e Ingeniera.
Lugar : Departamento de Soporte
Participante : Rodrigo Saavedra Abel H.
Materiales utilizados : Agenda de preguntas.

PREGUNTAS:
1. Mediante la implementacin de un sistema VPN, se pueden solucionar los
problemas de seguridad que la empresa tiene actualmente?

2. El tipo de solucin VPN a implementar es compatible con otras
aplicaciones actuales o futuras de la empresa?

3. Cul es el grado de dificultad del uso del software que los usuarios van a
utilizar para conectarse mediante VPN hacia la central?

4. Cules son las ventajas de usar el protocolo IPsec en comparacin a otros
protocolos que tambin se usan en implementaciones VPN?

5. Cul es la ventaja principal de usar una VPN en comparacin con redes
dedicadas como la utilizacin de Frame Relay, lneas arrendas y las
tradicionales lneas de acceso telefnico?

6. Por qu es necesario implementar un sistema VPN con alta disponibilidad?

7. Cmo puede saber un usuario si est conectado a la empresa mediante el
sistema VPN implementado?

8. Si posterior a la implementacin del proyecto, la empresa decide agregar
ms usuarios al sistema VPN, es posible o se requiere realizar un nuevo
proyecto?

9. El alcance final del sistema VPN implementado en la empresa, es solo
para de la ciudad de Lima?

138

BIBLIOGRAFA

Referencias en Internet

INTRODUCCION

[WWW0001] Computer Security Institute
http://www.gocsi.com/
[CIS2010] CISCO. CISCO Annual security Report 2010
[WWW0002] SANS
institutehttp://www.sans.org/top20/?portal=7864dc3b7f1cd
9b3202c2494164f574c

CAPTULO I
www.bata.com.pe
http://www.ohperu.com/publicidad/infbanners.htm
http://trome.pe/

CAPTULO II
http://www.cisco.com/go/security
http://www.cisco.com/selfdefend
http://www.cisco.com/securitynow
http://www.lintips.com
http://es.wikipedia.org/w/index.php?title=Servicio_Forum_de
_la_Disponibilidad&action=edit&redlink=1

139

CAPITULO III
http://www.adslnet.ws/
http://www.twins1973.com/seguridad.html#paranoia
ftp://ftp.rediris.es/docs/rfc/16xx/1661/
www.pc-news.com
www.monografias.com/
www.pts.org.ve/default.asp
www.technidata.com.mx/servicios/att/vpn/
www.pert.com.ar/actual/productos/pdfs/i-VPN.pdf
http://www.entarasys.com/la
http://www.cisco.com/warp/public/44/solutions/network/vp
n.html
www.mundotutoriales.com/
www.informaticaintegrada.com.mx/
http://www.balabit.hu/en/services/int_serv/vpn/
http://www.oplk.com/home.html
http://www.crmwc.com/aup.htm
http://all.net/books/policy/top.html
http://www.csrc.nist.gov/isptg/htm
http://www.canalaudiovisual.com/ezine/books/jinert/net52.h
tm
http://www.cisco.com/go/security
http://www.cisco.com/selfdefend
http://www.cisco.com/securitynow

CAPITULO VIII
[WWW0004] Ministerio de Economa y Finanzas MEF
http://www.mef.gob.pe/INDECO/tipo_cambio.php
[WWW0005] Fondo Monetario Internacional FMI
http://www.imf.org/external/spanish/pubs/ft/reo/2010/wh
d/wreo0510s.pdf
http://www.surnoticias.com/economia/economia-y-
negocios/4594-peru-se-crecera-el-83-para-el-2010-segun-
fmi

140

GLOSARIO
A:
AES: Es un esquema de cifrado por bloques adoptado como estndar de
cifrado por el gobierno de EE.UU, es el algoritmo ms popular usado en
criptografa simtrica.
D:
DES: Data Encryption Standard. Un algoritmo de criptografa simtrica
desarrollado por IBM a mediados de 1970 y provisto por The National
Bureau of Standards (NIST ahora).
DSL.- (Siglas de Digital Subscriber Line lnea de suscripcin digital) es un
trmino utilizado para referirse de forma global a todas las tecnologas que
proveen una conexin digital sobre lnea de abonado de la red telefnica
bsica o conmutada: ADSL, ADSL2, ADSL2+, SDSL, IDSL, HDSL,
SHDSL, VDSL Y VDSL2. Tienen en comn un par trenzado de hilos de
redes telefnicas, para la transmisin de sus datos.
I:
IP: Internet Protocol. Protocolo de la capa 3 desarrollado bajo el
financiamiento del Departamento de Defensa de Estados Unidos a mediados
de 1970 y principios de 1980. Est instrumentado en una gran variedad de
equipos y plataformas de sistemas operativos, hacindolo el protocolo de este
tipo, mayormente disponible e independiente de marcas comerciales.
S:
SHA: Secure Hash Algorithm. Un algoritmo no criptogrfico que implica una
funcin hash de un solo sentido, fue diseado para ser expresamente utilizado
en DSA/DSS.
SiTesis: Aplicacin creada en Visual Basic e instalada en los clientes VPN
para hacer una simulacin del sistema de ventas empresarial.
SSH: Protocolo que provee una conexin segura de terminal remoto.
T
Telnet: Protocolo estndar que provee una conexin de terminal remota, en
texto claro.

TESIS Seguridad VPN

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

TESIS Seguridad VPN

Загружено:

Авторское право:

Доступные форматы

INSTITUTO SUPERIOR TECNOLGICO

Вам также может понравиться