implementaciÓn_conexiÓn remota vpn_tÚnel punto a punto_38110

8/6/2019 IMPLEMENTACIN_CONEXIN REMOTA VPN_TNEL PUNTO A PUNTO_38110

1/78

SOLUCIN PERIMETRALIMPLEMENTACIN CONEXIN REMOTA VPN

(TUNEL PUNTO A PUNTO)

JOHANA CANO HERNNDEZGRUPO: 38110

INSTRUCTORANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIN EMPRESARIALGESTION DE LA SEGURIDAD EN LA RED

MEDELLNSENA2011


2/78

CONTENIDO

INTRODUCCIN1. OBJETIVOS1.1Objetivo General1.2Objetivo Especfico2. IMPLEMENTACIN CONEXIN REMOTA VPN (TUNEL PUNTO A PUNTO)2.1 Diagrama de la topologa red3. CONFIGURACIN DE LAS NUBES3.1 Configuracin de las interfaces VBOXNET (Maquina Real)3.1.1 Interfaz VBOXNET03.1.2 Interfaz VBOXNET13.1.3 Verificar interfaces4. CONFIGURACION ROUTERS4.1 Configuracin inicial R2 (Nombre)4.2 Configuracin interfaces R24.3 Configuracin servicio Web seguro Certificado Digital R24.4 Configuracin inicial R3 (Nombre)4.5 Configuracin interfaces R34.6 Configuracin servicio Web seguro Certificado Digital R35. CONFIGURACIN Y DIRECCIONAMIENTO DE LAS INTERFACES (MAQUINAS)5.1 Equipo CentOS (Red DMZ)5.2 Equipo CentOS (Red LAN)5.3 Equipo Windows XP (SDM)5.4 Prueba de conectividad (Maquinas - - > Routers GW)6. ENRUTAMIENTO6.1 Configuracin enrutamiento R26.2 Configuracin enrutamiento R36.3 Prueba de conectividad (Redes no conocidas - Enrutamiento)7. INSTALACION Y CONFIGURACION SDM8. ACCESO AL SDM9. NATEO (ENMASCARAMIENTO)9.1 Router 29.2 Router 310. INSTALACION Y CONFIGURACION VPNs10.1 VPN en Router 210.2 VPN en Router 211.PRUEBA DEL TNEL VPN - (PUNTO A PUNTO)12.VOCABULARIOCONCLUSIONESBIBLIOGRAFIA


3/78

INTRODUCCIN

La implementacin y configuracin de una VPN (Red Privada Virtual) en un router cisco permite

que cualquier comunicacin transmitida por la conexin entre dos router teniendo como un origenuna red privada o pblica hacia cualquier destino viaja de manera cifrada y segura previniendo unataque de un intruso para obtener informacin importante y utilizarla para hacer dao. Una redprivada virtual nos brinda la posibilidad de conectar dos o ms sucursales o redes determinadas deuna empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnicoo administrativo la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder asu equipo domstico desde un sitio remoto; para hacerlo posible de manera segura es necesarioproporcionar los medios para garantizar la autentificacin, integridad y confidencialidad de toda lacomunicacin.

El objetivo principal de la realizacin de este trabajo es con el fin de implementar una solucinperimetrales en uno o varios routers que puede ser aplicable dentro de un entorno real, buscando ypropiciando la seguridad del ambiente productivo en las conexiones en Internet o redes privadas.Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obteneracceso a servicios de carcter privado, nicamente a personal autorizado, de una empresas, centrosde formacin, organizaciones, entre otros; cuando un usuario se conecta a un determinado serviciodesde una red remota privada hasta otra, las comunicaciones se hacen de manera segura yconfiable.


4/78

1. OBJETIVOS

1.1Objetivo General

Definir los pasos necesarios para la configuracin e implementacin de una VPN (Red PrivadaVirtual) en un Router Cisco estableciendo comunicaciones seguras para los usuarios entre lasredes existentes, logrando as la seguridad requerida en un entorno de red.

1.2Objetivos Especficos Configurar cada uno de los routers aplicando los procedimientos de acuerdo con el diseo

establecido, identificando cada uno de los requisitos necesarios para crear la VPN en cadauno de ellos logrando la conexin segura entre ambas redes.

Garantizar el funcionamiento de cada uno de los procesos ejecutados en dicha actividadpermitiendo as poder llevar a cabo esta implantacin en un entorno real asegurando losdatos y comunicaciones establecidas de cualquier tipo.

Realizar las pruebas necesarias y pertinentes a todo el proceso de configuracin paraobtener los resultados esperados de acuerdo al planteamiento que se hizo inicialmenteprevio a la ejecucin de la solucin perimetral con VPNs.


5/78

2. IMPLEMENTACIN CONEXIN REMOTA VPN(TUNEL PUNTO A PUNTO)

2.1DIAGRAMA DE LA TOPOLOGA RED

En el siguiente diagrama se puede observar cual es el planteamiento para llevar a cabo estasolucin perimetral. Para esta actividad se utilizo el software GNS3 ya que es un simulador graficoque nos permite hacer pruebas de diferentes tipos para luego llevarlas a un entorno real.

Esta topologa de red est compuesta por dos redes privadas, Red LAN y Red DMZ y una redpblica, Red WAN; cada una de las cuales est identificada con un direccionamiento especificocomo se puede observar en la imagen. Tambin est compuesta por dos Routers Cisco en loscuales se va a configurar la VPN, cada uno de ellos tiene configurada en las interfaces de red undireccionamiento privado (10.0.0.0/8). En la RED LAN existe una maquina virtual conectada aladaptador de red VBOXNET1 y se encuentra dentro del direccionamiento de red 192.168.120.0/24,este equipo tiene un servicio Web (HTTP - protocolo de transferencia de hipertexto) y un servidorSSH (intrprete de rdenes segura). En la RED DMZ (Zona Desmilitarizada) se encuentran dosmaquinas virtuales conectadas al adaptador de red VBOXNET0 y se encuentran dentro deldireccionamiento de red 192.168.150.0/24. Una de ellas es un equipo Windows XP (192.168.150.2)que es desde donde se va a administrar cada uno de los Routers por medio de Servidor Web, y elotro equipo es un CentOS (192.168.150.18) que es el servidor en donde se encuentran publicadoslos servicios de red (HTTP, HTTPS, FTP, SMTP, DNS, SSH, entre otros). Por ltimo la RED WANque est conectada al adaptador de red ETH1 y tiene la conexin a Internet (192.168.10.0), esta esla red que dar salida a las otras maquinas para navegar y desde donde se podrn visualizar losservicios publicados. La finalidad principal de esta implementacin es que al conectarse o estableceruna comunicacin de una red a otra viaje cifrado y de forma segura.


6/78

3. CONFIGURACION DE LAS NUBES

Cada una de las nubes, es un elemento que tiene GNS3, las cuales nos permiten representar cadauna de la redes y que las maquinas conectadas a cada una de las interfaces existentes puedan

comunicarse entre si y puedan salir a Internet. Como primer paso ingresamos a cada una de lasnubes dando doble clic sobre la misma; en ella debemos seleccionar y aadir la interfaz respectiva ala cual va a estar conectada:

C1 a la mquina virtual de la Red DMZ (vboxnet0) C2 a la interfaz eth1 de la Red WAN (Internet) C3 a la mquina virtual de la Red LAN (vboxnet1). Damos clic en Aceptar.


7/78

3.1CONFIGURACIN DE LAS INTERFACES VBOXNET (MAQUINA REAL)Es muy importante configurar estas interfaces en la mquina real y en la aplicacin Virtual Box yaque es por medio de estas que es posible la conectividad de las mquinas con cada uno de losrouters y entre redes.

Para la configuracin de cada una de las interfaces nos dirigimos a la aplicacin de Virtual Box, en elpanel superior desplegamos la opcin Archivo Preferencias, nos aparece una ventana deconfiguracin y seleccionamos Red; all podemos observar que nicamente esta la VBOXNET0 ypara agregar la otra interfaz damos clic en el primer icono de la derecha y para configurar la

direccin en el tercer icono. Damos clic en Aceptar.


8/78

3.1.1 INTERFAZ VBOXNET0

En esta interfaz vamos a configurar una direccin IP que se encuentre dentro del rango de la RedDMZ (192.168.150.100/24), ya que esta va a permitir la conectividad para esta red, damos clic enAceptar.

3.1.2 INTERFAZ VBOXNET1

En esta interfaz vamos a configurar una direccin IP que se encuentre dentro del rango de la Red

LAN (192.168.120.100/24), ya que esta va a permitir la conectividad para esta red, damos clic enAceptar.


9/78

3.1.3 VERIFICAR INTERFACES

Para verificar que el direccionamiento IP efectivamente quedo bien configurado, nos dirigimos a unaterminal de comando de la maquina real y con el comando ifconfig podemos observar lasdirecciones con cada una de las interfaces.


10/78

4. CONFIGURACION ROUTERS

4.1 CONFIGURACION INICIAL R2 (NOMBRE)

Para arrancar y abrir la consola de cada uno de los Routers en GNS3, damos clic derecho sobre losmismos y seleccionamos Iniciar Console, inmediatamente nos aparece una interfaz de linea decomandos, Ahora vamos a entrar en modo privilegiado editando el comando en - enable ydespus a modo de configuracin con el comando configure terminal; estando all vamos aponer un nombre al Router con el comando hostname (R2).

4.2 CONFIGURACION INTERFACES R2

Estando en el modo de configuracion global, ingresamos a cada una de las interfaces con elcomando interface + nombre de la interfaz, despues con el comando no shudownencedemos la interfaz para su funcionamiento.

INTERFAZ FASTETHERNET0/0 (Direccion IP esttica Gateway red DMZ)

INTERFAZ FASTETHERNET0/1 (Direccion IP DHCP Red WAN (INTERNET))


11/78

INTERFAZ SERIAL0/0 (Direccion IP esttica)

Con el comando show ip interface brief, podemos verificas que el direccionamiento fueconfigurado correctamente y que las interfaces estn activas (up).

4.3CONFIGURACION SERVICIO WEB SEGURO CERTIFICADO DIGITAL R2Para la creacion de las VPNs en cada uno de los Routers, debemos configurar un servicio WEB(HTTPS - Protocolo seguro de transferencia de hipertexto) y un certificado para conectarnos enmodo seguro desde la la maquina Windows XP mensionada anteriormente con una aplicacinllamada SDM que permite la configuracion de Routers Cisco en una interfaz grafica.

Para ello vamos a ingresar al modo de configuracin global configure terminal y ejecutamos lossiguientes comandos:

IP HTTP SERVER: Este comando permite que el router acte como un servidorHTTP. IP HTTP SECURE-SERVER: Permite configurar que el servidor sea seguro (HTTPS),

genera el certificado para el servidor Web. IP HTTP AUTHENTICATION LOCAL: Especifica que la autenticacin ser local. IP HTTP TIMEOUT-POLICY IDLE 600 LIFE 86400 REQUEST 10000 : Especifica el tiempo

de vida y las peticiones. USERNAME ADMIN PRIVILEGE 15 PASSWORD ADMIN: Permite especificar y configurarel usuario y la contrasea (admin); este usuario y contrasea son las credenciales que

permitirn la conexin con cada uno de los Routers. LINE VTY 0 15: Permitir a los administradores conectarse al router estableciendo una sesin

va Telnet desde cualquier PC de una de las dos redes. LOGIN LOCAL: Permite habilitar las sesiones localmente. PRIVILEGE LEVEL 15: Implementado para establecer el privilegio VTY para activar el modo

al iniciar sesin.


12/78

END: Permite regresar al modo usuario y guardamos la configuracin con el comandoCopy running-config startup-config.

Con el comando show running-config, podremos visualizar todas las configuraciones hechasanteriormente, como el certificado que se genero para el servidor Web.


13/78


14/78


15/78

4.4 CONFIGURACION INICIAL R3 (NOMBRE)

Procedemos a entrar en modo privilegiado editando el comando en - enable y despus a modode configuracin con el comando configure terminal; estando all vamos a poner un nombre alRouter con el comando hostname (R2).

4.5 CONFIGURACION INTERFACES R3

Estando en el modo de configuracion global, ingresamos a cada una de las interfaces con elcomando interface + nombre de la interfaz, despues con el comando no shudownencedemos la interfaz para su funcionamiento.

INTERFAZ FASTETHERNET0/0 (Direccion IP esttica Gateway red LAN)

INTERFAZ SERIAL0/0 (Direccion IP esttica)


16/78

Con el comando show ip interface brief, podemos verificas que el direccionamiento fueconfigurado correctamente y que las interfaces estn activas (up).

4.6CONFIGURACION SERVICIO WEB SEGURO CERTIFICADO DIGITAL R3Cada uno de los Routers sera administrado desde la maquina Windows XP mensionadaanteriormente con una aplicacin llamada SDM que permite la configuracion de Routers Cisco enuna interfaz grafia.

Vamos a ingresar los mismos comandos ejecutados en el Router anterior estando en modo deconfiguracin global configure terminal:

IP HTTP SERVER: Este comando permite que el router acte como un servidorHTTP.

IP HTTP SECURE-SERVER: Permite configurar que el servidor sea seguro (HTTPS),genera el certificado para el servidor Web. IP HTTP AUTHENTICATION LOCAL: Especifica que la autenticacin ser local. IP HTTP TIMEOUT-POLICY IDLE 600 LIFE 86400 REQUEST 10000 : Especifica el tiempo

de vida y las peticiones. USERNAME ADMIN PRIVILEGE 15 PASSWORD ADMIN: Permite especificar y configurar

el usuario y la contrasea (admin); este usuario y contrasea son las credenciales quepermitirn la conexin con cada uno de los Routers.

LINE VTY 0 15: Permitir a los administradores conectarse al router estableciendo una sesinva Telnet desde cualquier PC de una de las dos redes.

LOGIN LOCAL: Permite habilitar las sesiones localmente. PRIVILEGE LEVEL 15: Implementado para establecer el privilegio VTY para activar el modoal iniciar sesin. END: Permite regresar al modo usuario y guardamos la configuracin con el comando

Copy running-config startup-config, damos ENTER para terminar de guardar.


17/78

Con el comando show running-config, podremos visualizar todas las configuraciones hechasanteriormente, como el certificado que se genero para el servidor Web.


18/78


19/78


20/78

5. CONFIGURACIN Y DIRECCIONAMIENTO DE LAS INTERFACES(MAQUINAS)

Cada uno de los adaptadores de red de las maquinas deben estar configurados en las interfaces

respectivas, ya sea en la VBOXNET (Redes Privadas) en ADAPTADOR PUENTE (Internet).

5.1 EQUIPO CENTOS (RED DMZ)

Para este caso, como se especifico anteriormente la maquina DMZ debe estar configurada con eladaptador de red VBOXNET0, es por ello que estando en la maquina procedemos a ponerla enAdaptador slo-anfitrin con el nombre vboxnet0 en el Adaptador 1 y damos clic en Aceptar.

Estando en la maquina nos dirigimos al men superior y seleccionamos Sistema Administracin Red, luego elegimos el adaptador de red que en este caso es eth0 y le ponemos la direccin IP alservidor (192.168.150.18) y el Gateway con el cual podr salir a otras redes locales y a Internet;damos clic en Aceptar.


21/78

Ahora estando en una consola de lnea de comandos, ejecutamos el comando /etc/init.d/networkrestart para reiniciar la interfaz de red, despus con el comando ifconfig verificamos queefectivamente la direccin IP fue asignada y por ultimo con route n visualizamos la puerta deenlace predeterminada (Gateway).


22/78

Como siguiente paso vamos a verificar el /etc/resolv.confque tiene la mquina para la resolucinde nombres de dominio, desde la consola ingresamos con el editor de textos vim.

Como se puede observar en la siguiente imagen, el equipo tiene como DNS a mi servidorjohana.com.

Anteriormente habamos dicho que esta mquina tiene algunos servicios instalados, es por ello quecon el comando netstat -antp podemos verificar todos los servicios que estn corriendo en elservidor.


23/78

5.2 EQUIPO CENTOS (RED LAN)

Como se especifico anteriormente la maquina LAN debe estar configurada con el adaptador de redVBOXNET1, es por ello que estando en la maquina procedemos a ponerla en Adaptador slo-anfitrin con el nombre vboxnet1 en el Adaptador 1 y damos clic en Aceptar.

Estando en la maquina nos dirigimos al men superior y seleccionamos Sistema Administracin

Red, luego elegimos el adaptador de red que en este caso es eth0 y le ponemos la direccin IP(192.168.120.2) y el Gateway con el cual podr salir a otras redes locales y a Internet; damos clic enAceptar.


24/78


25/78

Ejecutamos el comando /etc/init.d/network restartpara reiniciar la interfaz de red, despus conel comando ifconfigverificamos que efectivamente la direccin IP fue asignada y por ultimo conroute n visualizamos la puerta de enlace predeterminada (Gateway).

En esta mquina tambin vamos a verificar el /etc/resolv.confpara la resolucin de nombres dedominio, desde la consola ingresamos con el editor de textos vim.

Como se puede observar en la siguiente imagen, el equipo tiene como DNS a mi servidorjohana.com.


26/78

Anteriormente habamos dicho que esta mquina tiene algunos servicios instalados, es por ello quecon el comando netstat -antp podemos verificar todos los servicios que estn corriendo en elservidor.

5.3 EQUIPO WINDOWS XP (SDM)

Esta mquina se encuentra configurada en la red DMZ con el adaptador de red VBOXNET0, es porello que estando en la maquina procedemos a ponerla en Adaptador slo-anfitrin con el nombrevboxnet0 en el Adaptador 1 y damos clic en Aceptar.

Para la configuracin de la direccin IP, nos dirigimos a Inicio Panel de Control Conexiones de

Red, damos clic derecho en el Adaptador de Red y ponemos la direccin IP que se encuentre en elrango de red de la DMZ, colocamos el Gateway y como DNS el servidor donde se encuentranconfigurados todos los servicios; por ultimo damos clic en Aceptar.


27/78


28/78

Para verificar que efectivamente la direccin IP fue asignada, nos dirigimos a Inicio Todos losProgramas Accesorios Smbolo del Sistema, estando all ejecutamos el comando ipconfig/all y podemos observar toda la configuracin del a mquina.

5.4 PRUEBA DE CONECTIVIDAD (MAQUINAS - - > ROUTERS GW)

Con el comando ping, procedemos a probar la conectividad desde las tres maquinas hacia cadauno de los Routers.

MAQUINA - RED DMZ


29/78

MAQUINA - RED LAN

MAQUINA WINDOWS XP (SDM)


30/78

6. ENRUTAMIENTOPara el funcionamiento de esta implantacin de seguridad perimetral, debemos configurar en cadauno de los Routers RUTAS ESTATICAS que le permitan a cada uno conocer las redes que no tienedirectamente conectadas; con esto logramos que todas las redes tengan conectividad entre si y

puedan tener acceso a los diferentes servicio incluyendo navegar en Internet.

6.1 CONFIGURACION ENRUTAMIENTO R2

Estando en la consola del Router 2 ingresamos al modo de configuracin global, con el comando iproute + ruta a la cual quiere llegar anexamos la red que este Router no conozca(192.168.120.0/24) y una ruta por defecto para que pueda salir a la red WAN (Internet). Ahora con elcomando end regresamos nuevamente al modo usurario y ejecutamos el comando show iproute para verificar la tabla de enrutamiento; la letra C significa las redes que tiene directamenteconectadas, y la S las redes estticas.


31/78

6.2 CONFIGURACION ENRUTAMIENTO R3

Realizamos el mismo procedimiento que hicimos con el otro Router, anexamos las redes que esteRouter no conozca (192.168.150.0/24 192.168.10.0/24) y una ruta por defecto para que pueda salir

a la red WAN (Internet). Ahora con el comando end regresamos nuevamente al modo usurario yejecutamos el comando show ip route para verificar la tabla de enrutamiento.

6.3 PRUEBA DE CONECTIVIDAD (REDES NO CONOCIDAS - ENRUTAMIENTO)

Desde cada uno de los Routers, con el comando ping probemos que efectivamente tieneconectividad con las redes desconocidas, es decir, que toda la topologa de red este en conexin.


32/78

ROUTER 2 (RED DMZ RED WAN)

ROUTER 3 (RED LAN)


33/78

MAQUINA RED DMZ


34/78

MAQUINA RED LAN


35/78

MAQUINA WINDOWS XP (SDM)


36/78

7. INSTALACION Y CONFIGURACIN SDM(ADMINISTRADOR DE DISPOSITIVOS DE SEGURIDAD)

SDM (Security Device Manager), es una herramienta que nos permite acceder por medio de unainterfaz web a un Router Cisco para su configuracin en general; este software nos permitir hacer

las VPNs en cada Router con sus respectivos parmetros. Para la instalacin de este descargamosel instalador de la pgina oficial y damos doble clic en el ejecutable, inmediatamente nos aparece unasistente en el cual nos dan un mensaje de bienvenida con una breve descripcin y unarecomendacin, damos clic en Siguiente para empezar la instalacin.

En el siguiente asistente debemos aceptar la licencia del software, despus de leer detenidamenteseleccionamos la primera opcin y damos clic en Siguiente para continuar.


37/78


38/78

En este asistente nos dicen que est preparado para la instalacin y por consiguiente damos clic enInstalary esperamos a que termine el proceso de instalacin.


39/78

Ya finalizada la instalacin damos clic en Finalizarpara terminar el asistente.

NOTA IMPORTANTE: Para el funcionamiento del SDM y las VPNs en los Routers, debemos tenerpreviamente instalada la aplicacin JAVA 5.0 e Internet Explorer 6.0 ya que son requerimientos deesta aplicacin.


40/78

8. ACCESO AL SDM

ROUTER 2 (192.168.150.1)

En el escritorio se crea un acceso directo para acceder a la interfaz administrativa de cada uno delos Routers, para ello damos doble clic en el icono o clic derecho Abrir e inmediatamente nosaparece una ventana de cisco.

Esta ventana nos dice que el SDM se abrir con el explorador por defecto, como siguiente pasoespecificamos la direccin IP del Router (GW), en este caso la del Router que est conectado a laRed DMZ y damos clic en Iniciar.


41/78

Se abre el explorador mostrando una ventana que nos pide el usuario y contrasea configuradaanteriormente en el Router, editamos las credenciales requeridas y damos clic en Aceptar.

Para ms seguridad, si las credenciales son correctas, nos aparece otra ventana para autenticarnosnuevamente con el usuario y la contrasea y damos clic en SI.


42/78

Nos aparece una interfaz grafica de administracin del Router 2, la cual nos brinda informacinbsica del Router, damos clic en Configurar.

Aqu podemos encontrar varias opciones en las cuales podemos observar la configuracin hechaanteriormente en el Router, damos clic en Interfaces y configuraciones para visualizarnuevamente el estado de cada una y su direccionamiento IP.


43/78

Tambin podemos visualizar el enrutamiento hecho anteriormente.

ROUTER 3 (192.168.120.1)Nuevamente especificamos la direccin IP del Router (GW), en este caso la del Router que estconectado a la Red LAN y damos clic en Iniciar.

Se abre el explorador mostrando una ventana que nos pide el usuario y contrasea configuradaanteriormente en el Router, editamos las credenciales requeridas y damos clic en Aceptar.


44/78

Nos aparece otra ventana para autenticarnos nuevamente con el usuario y la contrasea y damosclic en SI.

Tambien aparece la interfaz grafica de administracin del Router 3, que nos brinda informacinbsica del Router, damos clic en Configurar.


45/78

Damos clic en Interfaces y configuraciones para visualizar nuevamente el estado de cada una y sudireccionamiento IP.

Ahora vamos a visualizar el enrutamiento hecho anteriormente.


46/78

9. NATEO (ENMASCARAMIENTO)

9.1 ROUTER 2

IMPORTANTE: El Router 2 es el que tiene la salida a Internet, ya que tiene directamente conectadauna interfaz en la red 192.168.10.0 (eth1), que es la de la red WAN.

La configuracin del Nateo, permitir que cada una de las maquinas tenga la salida a la red pblica ytengan acceso a Internet, es por ello que cada vez que los equipos requieran navegar la direccin IPprivada ser cambiada por la direccin IP publica que haya obtenido el Router (Enmascaramiento).

Nos dirigimos a la opcin NAT, seleccionamos NAT avanzada y damos clic en Iniciar la tareaseleccionadapara iniciar esta configuracin.

Nos parece una asistente para la configuracin, este primero nos da un mensaje de bienvenidadndonos una breve introduccin de lo que nos ofrece esta opcin. Despus de haberdetenidamente esto, damos clic en Siguiente.


47/78

En el prximo asistente debemos seleccionar la interfaz por la cual estamos directamenteconectados a Internet, tambin nos ofrecen una breve explicacin de lo que debemos hacer o tomaren cuenta, en este caso es la interfaz fastEthernet0/1 y damos Siguiente para continuar.


48/78

En este asistente debemos especificar todas las redes que deben salir a internet, tambin nos danuna breve explicacin, seleccionamos las dos redes que tenemos directamente conectadas y damosclic en Agregarredes ya que debemos anexar la red LAN.

Nos aparece una ventana en la cual debemos editar la direccin IP de la red con su respectivamascara, por ultimo damos clic en Aceptary al final podemos observar la tres redes seleccionadas,damos Siguiente para continuar con el asistente.


49/78

Para este caso no estamos implementando direcciones IP pblicas para servidores, por lo tantopasamos este asistente sin configurar nada dando Siguiente.


50/78

Por ltimo el asistente nos muestra un resumen de lo que hemos hecho y damos clic en Finalizar.

Aparece una ventana informando el estado de los comandos que se estn enviando al Routerdespus de haber hecho esta configuracin, cuando termina de cargar damos clic en Aceptar.


51/78

Al final podemos observar que el NAT fue realizado correctamente, dando informacin bsica eimportante del mismo.

9.2 ROUTER 3

Nuevamente nos dirigimos a la opcin NAT, seleccionamos NAT avanzada y damos clic enIniciar la tarea seleccionada para iniciar esta configuracin.


52/78

Aparece el asistente para la configuracin, este primero nos da un mensaje de bienvenida dndonosuna breve introduccin de lo que nos ofrece esta opcin. Despus de haber ledo detenidamenteesto, damos clic en Siguiente.

Aqu seleccionamos la interfaz por la cual saldremos a Internet, tambin nos ofrecen una breveexplicacin de lo que debemos hacer o tomar en cuenta, en este caso es la interfaz Serial0/0 ya quees la que est directamente conectada al otro Router que tiene la salida a Internet y damosSiguiente para continuar.


53/78

En el prximo especificamos las redes que deben salir a internet, tambin nos dan una breveexplicacin, seleccionamos la red 192.168.120.0 que tenemos directamente conectada y damos clicen Siguiente.

En este caso no estamos implementando direcciones IP pblicas para servidores, por lo tantopasamos este asistente sin configurar nada dando Siguiente.


54/78

Por ltimo el asiste nos muestra un resumen de lo que hemos hecho y damos clic en Finalizar.



55/78


56/78

10. INSTALACION Y CONFIGURACION VPNs

Para la implementacin de solucin perimetral vamos a crear un Tnel VPN desde cualquiera de losRouters utilizando un Clave Precompartida.

10.1 VPN EN ROUTER 2

Como primer paso, nos dirigimos a la opcin de VPN ubicada al lado izquierdo de la interfazadministrativa, nos ubicamos en la pestaa VPN sitio a sitio y por consiguiente seleccionamos laprimera opcin y damos clic en Iniciar la tares seleccionada.

Inmediatamente nos aparece un asistente, en el cual nos ofrecen informacin detallada acerca de dela accin que podemos tomar con respecto a la VPN, para este caso vamos seleccionar la segundaopcin para configurar paso a paso todos los parmetros requeridos, damos Siguiente paracontinuar.


57/78

En el prximo asistente nos piden informacin detallada acerca de la conexin VPN, debemosseleccionar la interfaz para esta conexin que para este caso es la serial0/0, tambin debemosespecificar la direccin IP para el par remoto, es decir, la interfaz del otro Router que estdirectamente conectado a este, editamos la clave precompartida para la autenticacin y por ultimodamos clic en Siguiente.


58/78

En el prximo asistente debemos especificar el algoritmo de cifrado que vamos a utilizar para laautenticacin y el intercambio de claves, para este caso vamos a editar nuevas polticas, para ellodamos clic en Agregar.

Nos aparece una ventana en la cual debemos especificar la Prioridad que tendr el algoritmo, elAlgoritmo de cifrado, Tipo de HASH, Autenticacin, el Grupo al cual va a pertenecer y laLongetividad para el algoritmo; terminado esto damos clic en Aceptar.


59/78

Verificamos que las polticas que editamos este seleccionada y damos clic en Siguiente paracontinuar.

Aqu debemos especificar los algoritmos de cifrado y autenticacin que se van a utilizar paraproteger los datos en el Tnel VPN. Para este caso vamos a editar uno nuevo dando clic enAgregar.


60/78

Nos aparece una ventana en la cual debemos especificar un Nombre para este nuevo Conjunto detransformacin, seleccionamos la opcin de Integridad de datos con cifrado (ESP), elegimos elAlgoritmo de Integridad y de Cifrado; ahora desplegamos las opciones avanzadas yseleccionamos el Modo y por ultimo damos clic en Aceptar.

Elegimos el conjunto que aadimos y damos clic en Siguiente para continuar.


61/78

En el prximo asistente debemos editar las direcciones de red del trafico que queremos proteger, esdecir, el trafico entre las redes estar protegido por esta conexin VPN, el resto de trfico no serseguro, para este caso pondremos las dos redes privadas. Debemos tener en cuenta que la Redlocal es donde estamos creando la VPN y la Red remota es la que est conectada al otro Router,terminado esto damos clic en Siguiente.

El siguiente asistente nos muestra un resumen detallado de la configuracin y damos clic en

Finalizar.


62/78


Como podemos observar en la siguiente imagen, el estado de la VPN est abajo, para que entre enfuncin lo activaremos cuando creemos el tnel en el otro Router,

10.2 VPN EN ROUTER 3

Seguiremos los mismos pasos que ejecutamos en la creacin de la VPN anterior en Router 2, yaque es muy importante resaltar que VPN en cada una de los Routers debe ser igual, es decir debenutilizar el mismo algoritmo para comunicarse entre si y poder entrar en funcionamiento.

Nos dirigimos a la opcin de VPN ubicada al lado izquierdo de la interfaz administrativa, nosubicamos en la pestaa VPN sitio a sitio y por consiguiente seleccionamos la primera opcin ydamos clic en Iniciar la tares seleccionada.


63/78

En el asistente nos ofrecen informacin detallada acerca de de la accin que podemos tomar conrespecto a la VPN, para este caso vamos seleccionar la segunda opcin para configurar paso a pasotodos los parmetros requeridos, damos Siguiente para continuar.


64/78

En el prximo asistente nos piden informacin detallada acerca de la conexin VPN, debemosseleccionar la interfaz para esta conexin que para este caso es la serial0/0, tambin debemosespecificar la direccin IP para el par remoto, es decir, la interfaz del otro Router que estdirectamente conectado a este, editamos la clave precompartida para la autenticacin y por ultimodamos clic en Siguiente.

En el prximo asistente debemos especificar el algoritmo de cifrado que vamos a utilizar para laautenticacin y el intercambio de claves, para este caso vamos a editar nuevas polticas, para ellodamos clic en Agregar.


65/78

Nos aparece una ventana en la cual debemos especificar la Prioridad que tendr el algoritmo, elAlgoritmo de cifrado, Tipo de HASH, Autenticacin, el Grupo al cual va a pertenecer y laLongetividad para el algoritmo; terminado esto damos clic en Aceptar.

Verificamos que las polticas que editamos este seleccionada y damos clic en Siguiente paracontinuar.


66/78

Aqu debemos especificar los algoritmos de cifrado y autenticacin que se van a utilizar paraproteger los datos en el Tnel VPN. Para este caso vamos a editar uno nuevo dando clic enAgregar.

Nos aparece una ventana en la cual debemos especificar un Nombre para este nuevo Conjunto detransformacin, seleccionamos la opcin de Integridad de datos con cifrado (ESP), elegimos elAlgoritmo de Integridad y de Cifrado; ahora desplegamos las opciones avanzadas yseleccionamos el Modo y por ultimo damos clic en Aceptar.


67/78

Elegimos el conjunto que aadimos y damos clic en Siguiente para continuar.

En el prximo asistente debemos editar las direcciones de red del trafico que queremos proteger, esdecir, el trafico entre las redes estar protegido por esta conexin VPN, el resto de trfico no serseguro, para este caso pondremos las dos redes privadas. Debemos tener en cuenta que la Redlocal es donde estamos creando la VPN y la Red remota es la que est conectada al otro Router,terminado esto damos clic en Siguiente.


68/78

El siguiente asistente nos muestra un resumen detallado de la configuracin y damos clic enFinalizar.



69/78

Recordemos que anteriormente el tnel estaba desactivado, por consiguiente nos dirigimos a laparte superior y damos clic en Probar Tnel.

A continuacin nos aparece una ventana para la Resolucin de problemas de VPN, damos clic en

Iniciar.

Despus aparece otra ventana en la cual debemos especificar nuevamente la direccin de red dedestino (Red remota 192.168.120.0) y damos clic en Continuar.


70/78

Aparece un mensaje de Alerta de SDM, despus de leerlo detenidamente nos preguntan sideseamos continuar y damos clic en SI.


71/78

Por ltimo sale una ventana informando que la resolucin de problemas se ha realizadocorrectamente.

Luego podemos observar que el estado del tnel ya se encuentra Hacia arriba para su

funcionamiento.


72/78

11.PRUEBA DEL TNEL VPN - (PUNTO A PUNTO)

Para probar que efectivamente las comunicaciones entre las redes existentes se estn haciendo deforma segura, vamos a utilizar la herramienta WIRESHARK, la cual es una herramienta que nos

permite capturar todo el trfico transmitido dentro de una determinada comunicacin; estaherramienta viene incluida en el GNS3. Para abrirla damos clic derecho sobre el enlace WAN entrelos dos Routers y seleccionamos Capturar, al instante nos aparece una ventana en la cualdebemos elegir el origen que para este caso ser R2, damos clic en Aceptar.

Hecho lo anterior, vamos a realizar la prueba conectndonos de manera segura desde la Red LAN alsitio Web seguro de la Red DMZ (192.168.150.18), pero esta prueba se puede hacer con cualquierade los servicio, haciendo ping de una red a otra, entre otras opciones.

Cuando efectivamente hayamos ingresado a la pgina Web segura de la DMZ, debemos dar clic enel icono Actualizar que se encuentra en el panel superior de la aplicacin. Como podemosobservar las comunicacin fue transmitida de marea segura, es decir, no arroja ningn tipo deinformacin que pueda ser utilizada para hacer algn dao informtico que perjudique a otros; estimplementando el protocolo ESP, cada una de las lneas representan las peticiones y las respuestasque el Cliente hace al Servidor.


73/78


74/78

12.VOCABULARIO

VPN: Una Red Privada Virtual, es una tecnologa de red que permite una extensin de lared local sobre una red pblica o no controlada, como por ejemplo Internet. es una forma

segura de conectarse a una privada red de rea local en una ubicacin remota, utilizando elInternet o cualquier red pblica no segura para el transporte de los paquetes de datos de lared privada, el uso de cifrado . El VPN usa la autenticacin de negar el acceso a usuarios noautorizados, y cifrado para evitar que usuarios no autorizados de la lectura de los paquetesde red privada. El VPN puede ser utilizada para enviar cualquier tipo de trfico de la red deforma segura, incluyendo voz, video o datos.

Tcnicamente, el protocolo VPN encapsula red de transferencia de datos utilizando unmtodo criptogrfico seguro entre dos o ms dispositivos de red que no estn en la mismared privada , para mantener los datos privados, ya que pasa a travs de los nodos deconexin de un local de o red de rea amplia .

JAVA: Es un lenguaje de programacin orientado a objetos, es la tecnologa subyacenteque permite el uso de programas punteros, como herramientas, juegos y aplicaciones denegocios; Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menosque Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro yfiable.

NAT: (Network Address Translation - Traduccin de Direccin de Red), es unmecanismo utilizado porenrutadores IP para intercambiar paquetes entre dos redes que seasignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real lasdirecciones utilizadas en los paquetes transportados. Tambin es necesario editar lospaquetes para permitir la operacin de protocolos que incluyen informacin de direccionesdentro de la conversacin del protocolo. Su uso ms comn es permitir utilizar direccionesprivadas para acceder a Internet.

GNS3: Es un simulador grfico de red que te permite disear topologas de red complejas yponer en marcha simulaciones sobre ellos. Este tipo de emulador ser til para: Ser utilizadocomo plataforma de entrenamiento, utilizando software del mundo real, permitir a la gentefamiliarizarse con dispositivos Cisco, siendo Cisco el lder mundial en tecnologas de redes,

probar y experimentar las funciones del Cisco IOS, verificar configuraciones rpidamenteque sern implementadas en routers reales y es muy importante tener en cuenta que esteemulador no puede reemplazar a un router real, es simplemente una herramientacomplementaria para los administradores de redes Cisco.
http://es.wikipedia.org/wiki/Red_de_computadorashttp://es.wikipedia.org/wiki/Red_localhttp://es.wikipedia.org/wiki/Internethttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Local_Area_Network&usg=ALkJrhgbWmm8GgU77JftXoA_u2EHPhrtPwhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Internet&usg=ALkJrhjCsJUc2qxEnKOdojZZ3ZCWWjriDAhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Encryption&usg=ALkJrhjfzLvgUwF1-Yb2IP3poMjXf3h2RQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Encapsulation_%28networking%29&usg=ALkJrhiuI_Q5tpzeQbV04IkO69TEQFNJMQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Data_transfer&usg=ALkJrhi5qQfFgo-Mps24M9Pw9idmfy4wgwhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Host_%28network%29&usg=ALkJrhjZA-oElPR7uxslZDKJozOZycaIQAhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Private_network&usg=ALkJrhh-a8xgk-PiWnJ1PYxsgY44M8SZrQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Local_area_network&usg=ALkJrhjlqQs-SufUYYLAQIjT3gt2TdOjcwhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Wide_area_network&usg=ALkJrhjLFFQN4P56eihL5TWEXanOvNIXCwhttp://es.wikipedia.org/wiki/Lenguaje_de_programaci%C3%B3nhttp://es.wikipedia.org/wiki/Orientado_a_objetoshttp://es.wikipedia.org/wiki/Enrutadorhttp://es.wikipedia.org/wiki/Direcci%C3%B3n_IPhttp://es.wikipedia.org/wiki/Protocolohttp://es.wikipedia.org/wiki/Internethttp://es.wikipedia.org/wiki/Internethttp://es.wikipedia.org/wiki/Protocolohttp://es.wikipedia.org/wiki/Direcci%C3%B3n_IPhttp://es.wikipedia.org/wiki/Enrutadorhttp://es.wikipedia.org/wiki/Orientado_a_objetoshttp://es.wikipedia.org/wiki/Lenguaje_de_programaci%C3%B3nhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Wide_area_network&usg=ALkJrhjLFFQN4P56eihL5TWEXanOvNIXCwhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Local_area_network&usg=ALkJrhjlqQs-SufUYYLAQIjT3gt2TdOjcwhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Private_network&usg=ALkJrhh-a8xgk-PiWnJ1PYxsgY44M8SZrQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Host_%28network%29&usg=ALkJrhjZA-oElPR7uxslZDKJozOZycaIQAhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Data_transfer&usg=ALkJrhi5qQfFgo-Mps24M9Pw9idmfy4wgwhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Encapsulation_%28networking%29&usg=ALkJrhiuI_Q5tpzeQbV04IkO69TEQFNJMQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Encryption&usg=ALkJrhjfzLvgUwF1-Yb2IP3poMjXf3h2RQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Internet&usg=ALkJrhjCsJUc2qxEnKOdojZZ3ZCWWjriDAhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dvpn%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Local_Area_Network&usg=ALkJrhgbWmm8GgU77JftXoA_u2EHPhrtPwhttp://es.wikipedia.org/wiki/Internethttp://es.wikipedia.org/wiki/Red_localhttp://es.wikipedia.org/wiki/Red_de_computadoras


75/78

SDM: Es el anagrama abreviado de Cisco Router and Security Device Manager. Unaherramienta de management basada en web desarrollada por Cisco. No es simplemente unainterfaz web. Es una herramienta java accesible a travs de un web browser. Estaherramienta soporta un rango extremadamente amplio de routers Cisco IOS: Desde losrouters de la familia 8xx, hasta los de la serie 73xx. En la actualidad se entrega preinstalado

en todos los routers de servicios integrados nuevos de las series850, 870, 1800, 2800 y3800. Adicionalmente puede ser instalado en una terminal de administracin y ser utilizadodesde esa terminal.

ALGORITMO: Es un conjunto prescrito de instrucciones o reglas bien definidas, ordenadasy finitas que permite realizar una actividad mediante pasos sucesivos que no generen dudasa quien deba realizar dicha actividad, siguiendo los pasos sucesivos se llega a un estadofinal y se obtiene una solucin.

IKE:(Internet Key Exchange),permite la creacin de conexiones de seguridad que utilizaDH para el intercambio de claves y PSK, PKI o Kerberos para la autenticacin de las partes.Permite negociar el cifrado simtrico y la firma de mensajes.

IPSEC: (Internet Protocol security), es un conjunto de protocolos cuya funcin es asegurarlas comunicaciones sobre el Protocolo de Internet (IP) autenticando o cifrando cada paqueteIP en un flujo de datos, tambin incluye protocolos para el establecimiento de claves decifrado. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otrosprotocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de lacapa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, yaque puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los

protocolos de capa de transporte ms usados.

Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capassuperiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningncambio, mientras que para usar SSL y otros protocolos de niveles superiores, lasaplicaciones tienen que modificar su cdigo.

ESP: (Encapsulating Security Payload), proporciona autenticidad de origen, integridad yproteccin de confidencialidad de un paquete. ESP tambin soporta configuraciones de slocifrado y slo autenticacin, pero utilizar cifrado sin autenticacin est altamente

desaconsejado porque es inseguro; ESP opera directamente sobre IP.

3DES: Es un algoritmo de cifrado de datos triple (Triple TDEA o DEA), cifrado en bloque ,que se aplica el cifrado de datos estndar (DES) algoritmo de cifrado tres veces para cadabloque de datos. Triple DES fue diseado para proporcionar un mtodo relativamente simplede aumentar el tamao de la clave de DES para protegerse contra ataques.
http://es.wikipedia.org/wiki/Protocolo_de_Internethttp://es.wikipedia.org/wiki/Autenticarhttp://es.wikipedia.org/wiki/Criptograf%C3%ADahttp://es.wikipedia.org/wiki/Paquete_de_datoshttp://es.wikipedia.org/wiki/Paquete_de_datoshttp://es.wikipedia.org/wiki/IKEhttp://es.wikipedia.org/wiki/IKEhttp://es.wikipedia.org/wiki/Modelo_OSIhttp://es.wikipedia.org/wiki/Transport_Layer_Securityhttp://es.wikipedia.org/wiki/TLShttp://es.wikipedia.org/wiki/SSHhttp://es.wikipedia.org/wiki/TCPhttp://es.wikipedia.org/wiki/UDPhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3D3DES%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Block_cipher&usg=ALkJrhj782T9hVo-7Uu7pAQ9Vko8F3YRlAhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3D3DES%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Data_Encryption_Standard&usg=ALkJrhiDIVg9BPHJQdlEvzWwK1qVAjkL7Qhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3D3DES%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Data_Encryption_Standard&usg=ALkJrhiDIVg9BPHJQdlEvzWwK1qVAjkL7Qhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3D3DES%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Block_cipher&usg=ALkJrhj782T9hVo-7Uu7pAQ9Vko8F3YRlAhttp://es.wikipedia.org/wiki/UDPhttp://es.wikipedia.org/wiki/TCPhttp://es.wikipedia.org/wiki/SSHhttp://es.wikipedia.org/wiki/TLShttp://es.wikipedia.org/wiki/Transport_Layer_Securityhttp://es.wikipedia.org/wiki/Modelo_OSIhttp://es.wikipedia.org/wiki/IKEhttp://es.wikipedia.org/wiki/IKEhttp://es.wikipedia.org/wiki/IKEhttp://es.wikipedia.org/wiki/Paquete_de_datoshttp://es.wikipedia.org/wiki/Paquete_de_datoshttp://es.wikipedia.org/wiki/Paquete_de_datoshttp://es.wikipedia.org/wiki/Criptograf%C3%ADahttp://es.wikipedia.org/wiki/Autenticarhttp://es.wikipedia.org/wiki/Protocolo_de_Internet


76/78

SHA: (Secure Hash Algorith), es un sistema de funciones hash (funcin o mtodo para

generarclaves o llaves que representen de manera casi unvoca a un documento, registro,archivo, etc., resumir o identificar un dato a travs de la probabilidad) criptogrficas.

HMAC: (Hash-basado en el cdigo de autenticacin de mensajes), es una construccinespecfica para el clculo de un cdigo de autenticacin de mensajes (MAC) la participacinde una funcin hash criptogrfica en combinacin con un secreto clave . Como con cualquierMAC, puede ser utilizado para verificar simultneamente la integridad de los datos y laautenticidad de un mensaje .

HDLC: (High-Level Data Link Control, control de enlace sncrono de datos), es unprotocolo de comunicaciones de propsito general punto a punto y multipunto, que opera anivel de enlace de datos. Proporciona recuperacin de errores en caso de prdida de

paquetes de datos, fallos de secuencia y otros, por lo que ofrece una comunicacinconfiable entre el transmisor y el receptor.

MD5: (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), es unalgoritmo de reduccin criptogrfico de 128 bits ampliamente usado.

WIRESHARK: Es un analizador de protocolos utilizado para realizar anlisis y solucionarproblemas en redes de comunicaciones, para desarrollo de software y protocolos, y comouna herramienta didctica para educacin. Cuenta con todas las caractersticas estndar de

un analizador de protocolos. es software libre, y se ejecuta sobre la mayora de sistemasoperativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, entre otros.
http://es.wikipedia.org/wiki/Funci%C3%B3n_hashhttp://es.wikipedia.org/wiki/Funci%C3%B3n_%28programaci%C3%B3n%29http://es.wikipedia.org/wiki/Clave_%28criptograf%C3%ADa%29http://es.wikipedia.org/wiki/Documentohttp://es.wikipedia.org/wiki/Registrohttp://es.wikipedia.org/wiki/Archivo_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Datohttp://es.wikipedia.org/wiki/Probabilidadhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Message_authentication_code&usg=ALkJrhhRyAIe1jeUm1_GIBGdZdxQCIuEKghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Cryptographic_hash_function&usg=ALkJrhgAIgljQHpvWArzLcCPywHj191gmghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Cryptographic_key&usg=ALkJrhh0LgqnhvQH9u9dCoHtA6bqEccpHghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Data_integrity&usg=ALkJrhhvVjDh_dWcT9A-rM2U5ardEeZbFQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Authentication&usg=ALkJrhi2GzY6FkwpdDNnWFnPM3xFag5RWghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Cleartext&usg=ALkJrhi0u2W7gOb3X4kNB2NdjynBZ9Uv2Qhttp://es.wikipedia.org/wiki/Protocolohttp://es.wikipedia.org/wiki/Capa_enlace_de_datoshttp://es.wikipedia.org/wiki/Algoritmohttp://es.wikipedia.org/wiki/Bithttp://es.wikipedia.org/wiki/Analizador_de_protocoloshttp://es.wikipedia.org/wiki/Softwarehttp://es.wikipedia.org/wiki/Protocolohttp://es.wikipedia.org/wiki/Software_librehttp://es.wikipedia.org/wiki/Linuxhttp://es.wikipedia.org/wiki/Solaris_%28sistema_operativo%29http://es.wikipedia.org/wiki/FreeBSDhttp://es.wikipedia.org/wiki/FreeBSDhttp://es.wikipedia.org/wiki/Solaris_%28sistema_operativo%29http://es.wikipedia.org/wiki/Linuxhttp://es.wikipedia.org/wiki/Software_librehttp://es.wikipedia.org/wiki/Protocolohttp://es.wikipedia.org/wiki/Softwarehttp://es.wikipedia.org/wiki/Analizador_de_protocoloshttp://es.wikipedia.org/wiki/Bithttp://es.wikipedia.org/wiki/Algoritmohttp://es.wikipedia.org/wiki/Capa_enlace_de_datoshttp://es.wikipedia.org/wiki/Protocolohttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Cleartext&usg=ALkJrhi0u2W7gOb3X4kNB2NdjynBZ9Uv2Qhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Authentication&usg=ALkJrhi2GzY6FkwpdDNnWFnPM3xFag5RWghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Data_integrity&usg=ALkJrhhvVjDh_dWcT9A-rM2U5ardEeZbFQhttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Cryptographic_key&usg=ALkJrhh0LgqnhvQH9u9dCoHtA6bqEccpHghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Cryptographic_hash_function&usg=ALkJrhgAIgljQHpvWArzLcCPywHj191gmghttp://translate.googleusercontent.com/translate_c?hl=es&prev=/search%3Fq%3Dhmac%26hl%3Des%26biw%3D1024%26bih%3D649%26prmd%3Divns&rurl=translate.google.com&sl=en&u=http://en.wikipedia.org/wiki/Message_authentication_code&usg=ALkJrhhRyAIe1jeUm1_GIBGdZdxQCIuEKghttp://es.wikipedia.org/wiki/Probabilidadhttp://es.wikipedia.org/wiki/Datohttp://es.wikipedia.org/wiki/Archivo_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Registrohttp://es.wikipedia.org/wiki/Documentohttp://es.wikipedia.org/wiki/Clave_%28criptograf%C3%ADa%29http://es.wikipedia.org/wiki/Funci%C3%B3n_%28programaci%C3%B3n%29http://es.wikipedia.org/wiki/Funci%C3%B3n_hash


77/78

CONCLUSIONES

La SEGURIDAD PERIMETRAL nos permite la integracin de elementos y sistemas, tantoelectrnicos como mecnicos, para la proteccin de permetros fsicos, deteccin de de

intrusos en sistemas informticos especialmente sensibles. Existen mltiples maneras deproteger y evitar que nuestro sistema sea vulnerado, entre ellos se encuentra las VPNs, loque corresponde a la necesidad de conectarse desde un lugar remoto a una red privada oconfiable por un canal inseguro garantizando la seguridad de los datos y la comunicacin engeneral.

Existen mltiples herramientas en el mercado que ayudan a preservar la seguridadperimetral de una Organizacin, estas se pueden encontrar en Hardware y Software, paraeste caso se implemento en un sistema de emulacin pero que puede ser llevado a unentorno real en donde pueda prestar varios beneficios a muchas personas segn sean susnecesidades.

Como una conclusin en general, con este trabajo se ha determinado que la utilizacin deuna VPN en un entrono empresarial es muy indispensable, ya que los administradores dered requieren de un medio seguro por el cual se puedan conectar a su sistema desde unlugar remoto porque no siempre habr la necesidad o la oportunidad de estar dentro de lared privada o segura para poder trabajar y cumplir las labores de administracin.


78/78

BIBLIOGRAFIA

o http://es.wikipedia.org/wiki/Network_Address_Translationo http://es.wikipedia.org/wiki/Secure_Hash_Algorithmo http://es.wikipedia.org/wiki/MD5o http://es.wikipedia.org/wiki/Wiresharko http://en.wikipedia.org/wiki/Virtual_private_networko http://es.wikipedia.org/wiki/High-Level_Data_Link_Controlo http://en.wikipedia.org/wiki/HMACo http://en.wikipedia.org/wiki/Triple_DESo http://es.wikipedia.org/wiki/IPseco http://guimi.net/monograficos/G-Redes_de_comunicaciones/G-RCnode63.htmlo http://es.wikipedia.org/wiki/Gns3
http://es.wikipedia.org/wiki/Network_Address_Translationhttp://es.wikipedia.org/wiki/Secure_Hash_Algorithmhttp://es.wikipedia.org/wiki/MD5http://en.wikipedia.org/wiki/Virtual_private_networkhttp://es.wikipedia.org/wiki/High-Level_Data_Link_Controlhttp://en.wikipedia.org/wiki/HMAChttp://en.wikipedia.org/wiki/Triple_DEShttp://es.wikipedia.org/wiki/IPsechttp://guimi.net/monograficos/G-Redes_de_comunicaciones/G-RCnode63.htmlhttp://es.wikipedia.org/wiki/Gns3http://es.wikipedia.org/wiki/Gns3http://guimi.net/monograficos/G-Redes_de_comunicaciones/G-RCnode63.htmlhttp://es.wikipedia.org/wiki/IPsechttp://en.wikipedia.org/wiki/Triple_DEShttp://en.wikipedia.org/wiki/HMAChttp://es.wikipedia.org/wiki/High-Level_Data_Link_Controlhttp://en.wikipedia.org/wiki/Virtual_private_networkhttp://es.wikipedia.org/wiki/MD5http://es.wikipedia.org/wiki/Secure_Hash_Algorithmhttp://es.wikipedia.org/wiki/Network_Address_Translation

implementaciÓn_conexiÓn remota vpn_tÚnel punto a punto_38110

Documents