DISEÑO DE UNA RED PARA LA EMPRESA...
-
Upload
truongmien -
Category
Documents
-
view
226 -
download
0
Transcript of DISEÑO DE UNA RED PARA LA EMPRESA...
1
DISEÑO DE UNA RED PARA LA EMPRESA COMPAÑÍA COMERCIAL
UNIVERSAL SURTITODO S.A. BASADA EN MIKROTIK
JORGE HERNAN LONDOÑO VELASQUEZ
UNIVERSIDAD CATOLICA DE PEREIRA
FACULTAD DE CIENCIAS BASICAS E INGENIERIA DE SISTEMAS
PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES
INFORME DE PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE
INGENIERA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2014
2
DISEÑO DE UNA RED PARA LA EMPRESA COMPAÑÍA COMERCIAL
UNIVERSAL SURTITODO S.A. BASADA EN MIKROTIK
JORGE HERNAN LONDOÑO VELASQUEZ
INFORME DE PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE
INGENIERO DE SISTEMAS Y TELECOMUNICACIONES
DIRECTOR
INGENIERO DANIEL FELIPE BLANDON GÓMEZ
UNIVERSIDAD CATOLICA DE PEREIRA
FACULTAD DE CIENCIAS BASICAS E INGENIERIA DE SISTEMAS
PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA 2014
3
DECLARACIÓN DE DERECHOS DE AUTOR
Como estudiante del programa de Ingeniería de Sistemas y Telecomunicaciones de
la Universidad Católica de Pereira, declaro que este proyecto es de iniciativa propia,
resultado de un estudio realizado, en el cual se vio la necesidad de diseñar una red,
con la tecnología Mikrotik, para Compañía Comercial Universal Surtitodo S.A.
Se Autoriza la utilización de este proyecto a la Universidad o a diferentes
estudiantes para ser utilizado como material de estudio y/o base para otros
proyectos.
4
DEDICATORIA
A mi hija (Susana), esposa (Diana Marcela) y familia a quienes les he robado de su
tiempo para que poder cumplir con mi sueño, por su sacrificio y espera, les dedico
el final de este proceso, ustedes son mi inspiración para convertirme en ingeniero y
seguir persiguiendo metas.
Para mi madre (Miriam) y padre (Fernando) con todo mi cariño y amor, por que
hicieron todo en la vida para que yo pudiera lograr mis sueños, por motivarme y
darme la mano cuando sentía que el camino se terminaba, a ustedes por siempre
mi corazón y mi agradecimiento.
5
AGRADECIMIENTOS
Agradezco muy especialmente el presente proyecto y fin de mi carrera a mi hija
Susana y esposa Diana, a mi madre Miriam, mi padre Fernando y a mi hermano
Julián por el esfuerzo que han realizado a lo largo de sus vidas para ofrecerme todas
las posibilidades de las que he disfrutado, así como la educación y valores que me
han inculcado desde pequeño hasta convertirme en adulto, sin olvidar su apoyo a
lo largo de todos los años de mi vida.
Hago extensible la presente dedicatoria al resto de mi familia más cercana.
A aquellas personas que no he nombrado por omisión, a ellos muchas gracias.
6
RESUMEN
La presente solución trata sobre la implementación de una nueva red para optimizar
y administrar los recursos informáticos de la Compañía Comercial Surtitodo S.A.,
bajo la tecnología mikrotik.
El proyecto inicia con el análisis de los problemas que presentaba la sede principal
y el impacto negativo por el mal manejo que se daba a los recursos informáticos.
Luego de tener una solución clara de lo que se deseaba hacer, se procedió a
investigar las herramientas necesarias, que se aplicarían en el desarrollo de este
proyecto.
Las herramientas utilizadas para la configuración de la red recogen todos los
requerimientos dados por la gerencia, en un dispositivo de bajo costo que ofrece
respuestas a las necesidades particulares de la compañía, entre estas brindar una
conexión más rápida y segura considerando aspectos económicos y tecnológicos.
Tras el análisis específico de cada particular se creó una red con diferentes
servicios: DHCP (Dynamic Host Configuration Protocol), NTP (Network Time
Protocol), VPN (Virtual Private Network) y SNMP (Simple Network Management
Protocol). También se aplicaron políticas de control para el ancho de banda, para el
bloqueo de programas P2P (Peer to Peer), bloqueo de mensajería, filtrado WEB y
navegación mediante Proxy.
La solución ha sido implementada utilizando Mikrotik RouterOS, que es el SO del
mikrotik RouterBOARD 751G, se tomó esta decisión debido a que estos equipos
brindan seguridad, flexibilidad y son más económicos que un Router comercial
convencional.
PALABRAS CLAVES: Redes Informáticas, Recursos Informáticos, Mikrotik,
Políticas de Control
7
ABSTRACT
The present solution treats on the implementation of a new network to optimize and
to administer the IT resources of the Commercial Company Surtitodo S.A., under the
technology mikrotik.
The project initiates with the analysis of the problems that was presenting the
principal headquarters and the negative impact for the evil I handle that it was given
to the IT resources. After having a clear solution of what wanted to do one proceeded
to investigate the necessary tools, which would be applied in the development of this
project.
The tools used for the configuration of the network gather all the requirements given
by the management, in a device of low cost that offers answers to the particular
needs of the company, between these offering a more rapid and sure connection
considering economic and technological aspects.
After the specific analysis of every individual a network was created with
diferentesservicios: DHCP (Dynamic Host Configuration Protocol), NTP (Network
Time Protocol), VPN (Virtual Deprive Your Your Network) and SNMP (Simple
Network Management Protocol). Also policies of control were applied for the
bandwidth by the use of programs P2P (Peer to Peer), I block of messenger
company, leaked WEB and navigation by means of Proxy.
The solution has been implemented using Mikrotik RouterOS, which is the SO of the
mikrotik RouterBOARD 751G, this decision took due to the fact that these
equipments offer safety, flexibility and are more economic than a commercial
conventional Router.
KEY WORDS: IT Networks, IT Resources, Mikrotik, Policies of Control
8
INTRODUCCIÓN
En el desarrollo de este trabajo se dio solución a un problema detectado en la
Compañía Comercial Universal Surtitodo S.A.
Desde el ingreso a la empresa en agosto de 2012, el autor de este trabajo noto
problemas de comunicación respecto a la transmisión de datos entre la sede
(Pereira) y la oficina principal en Medellín, el programa de ventas era un software
obsoleto, con base de datos en Access, y que solo permitía a los gerentes y
directivos ver el estado mensualmente.
La meta por tanto, se emprendió en el diseño de una nueva red, que soportara el
crecimiento y solucionara los problemas de conexión entre la sede principal y las
demás sedes del país, además que se hiciera con un bajo costo de implementación
para la compañía.
La nueva red se implementó con Mikrotik RouterOS, “…el mismo es un sistema
operativo y software de router; el cual convierte a una PC Intel o un Mikrotik
RouterBOARD en un router dedicado”. Se tomó la decisión de comprar y utilizar
esta solución, ya que estos equipos brindan seguridad, flexibilidad, son muy
económicos, y traen beneficios a la compañía, ya que la red es de un tamaño
considerable.
Esta red debe proveer un servicio total, por lo que se implementó una red virtual
privada (VPN por sus sigla en inglés) para interconectar la oficina situada en
Medellín con los almacenes de Pereira, esto proveyó una conexión más rápida y
segura considerando aspectos económicos y tecnológicos.
Mediante políticas de control de ancho de banda, por sub-redes y/o puesto de
trabajo, el acceso a programas P2P fue restringido en la red de administración por
solicitud de las directivas. También el filtrado total de los P2P será aplicado a las
redes de las áreas de Ventas y Producción
9
ÍNDICE
DECLARACIÓN DE DERECHOS DE AUTOR ......................................................... 3
DEDICATORIA ............................................................................................................. 4
AGRADECIMIENTOS .................................................................................................. 5
RESUMEN ..................................................................................................................... 6
ABSTRACT ................................................................................................................... 7
INTRODUCCIÓN .......................................................................................................... 8
ÍNDICE ........................................................................................................................... 9
ÍNDICE DE TABLAS .................................................................................................. 11
ÍNDICE DE FIGURAS ................................................................................................ 11
CAPÍTULO I: DESCRIPCION Y FORMULACION DEL PROBLEMA .................. 15
1.1. Situación Problema ................................................................................... 15
1.2. Planteamiento del Problema ................................................................... 16
1.2.1. Delimitación ............................................................................................ 16
1.3. Objetivos ..................................................................................................... 16
1.3.1. Objetivo General ...................................................................................... 16
1.3.2. Objetivos específicos ............................................................................... 16
1.4. Justificación. .............................................................................................. 17
1.5. Aporte teórico y práctico. ............................................................................ 18
1.5.1. Aporte Teórico ........................................................................................ 18
1.5.2. Aporte Práctico....................................................................................... 18
Capitulo II: MARCOS DE REFERENCIA................................................................ 20
2.1. Antecedentes ............................................................................................. 20
2.2. Marco teórico. ............................................................................................ 21
Modelos de Gestión Estándar ........................................................................ 32
o El Modelo de Gestión OSI .............................................................................. 32
o El Modelo de Comunicaciones ....................................................................... 33
o El Modelo de Información ............................................................................... 33
o El Modelo de Gestión en Internet .................................................................. 34
o Arquitectura de Gestión de Red en Internet ................................................. 34
o Tecnología de Gestión de Red: Las Plataformas de Gestión ..................... 35
SNMP. Protocolo Simple de Gestión de Red ............................................... 36
ASN.1. Notación de Sintaxis Abstracta 1 ...................................................... 37
3. HIPOTESIS .......................................................................................................... 38
4. DISEÑO Y PROCEDIMIENTO. ......................................................................... 38
4.1. Red anterior.................................................................................................. 38
4.2. Nueva Red Surtitodo ................................................................................... 40
4.3. Sub Red Administración ............................................................................. 43
4.4. Sub red Ventas. ........................................................................................... 45
4.5. Sub red Producción ..................................................................................... 47
10
4.6. Red Servidores ............................................................................................ 48 5. Análisis del nivel de seguridad de la información de la red de Surtitodo S.A. y Configuración del router Mikrotik RouterBoard 751 g .......................... 50
5.2. Debilidades de la red Surtitodo S.A....................................................... 51 5.3. ANÁLISIS DE LA SEGURIDAD IMPLEMENTADA POR PARTE DEL ROUTERBOARD MIKROTIK 751G EN SURTITODO S.A. ............................... 58
o Ingreso al Mikrotik ........................................................................................... 58
o Definición y configuración de las interfases. ................................................. 61
o Definición de Vlans .......................................................................................... 65
o Asignación de direcciones IP a las interfases .............................................. 69
o Configuración de los Pools de Direcciones IP .............................................. 71
5.3. Nat Masquerade Para Todas Las Redes .................................................. 74
o Configuración del Servidor DHCP ................................................................. 75
o Servidor - Cliente PPTP .................................................................................. 81
o Configuración Cliente PPTP ........................................................................... 83
o Control de ancho de banda ............................................................................ 88
o Limitación del trafico P2P ............................................................................... 91
o Firewall ............................................................................................................. 96
o Bloqueo del cliente MSN Live Messenger .................................................... 98
o Redireccionamiento de puertos ................................................................... 103
o Descartar conexiones inválidas ................................................................... 110
o Aceptar conexiones establecidas ................................................................ 111
6. ANÁLISIS DEL TRÁFICO DE RED SURTITODO S.A. ................................ 128
6.1. Análisis de Tráfico....................................................................................... 128 7. ANÁLISIS DE LAS SOLUCIONES COMERCIALES Y MIKROTIK PARA IMPLEMENTACIONES DE ROUTERS .................................................................. 131
7.1. ANALISIS DE LAS SOLUCIONES COMERCIALES............................ 131
7.2. Análisis general entre la solución Mikrotik y Comerciales ............. 134 8. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE GARANTICE LOS NIVELES DE SEGURIDAD NECESARIOS PARA LA TRANSMISIÓN DE DATOS ENTRE LAS DOS SEDES. ....................................................................... 135
8.1. NECESIDADES PARA LA INTERCONEXIÓN DE LAS DOS SEDES 135 8.2. DISEÑO DE LA INFRAESTRUCTURA DE RED MEDIANTE LA SOLUCIÓN MIKROTIK ENTRE LAS SEDES DE MEDELLIN Y PERERA ... 136
8.2.1. Infraestructura de la VPN entre Medellín y Pereira. ...................... 137
9. IMPLEMENTACION DEL DISEÑO DE RED ................................................. 138
9.1. CARACTERISTICAS DE LA VPN .......................................................... 139
10. RECURSOS ................................................................................................... 140
10.1. Miembros y responsabilidades. ........................................................ 140
10.2. Requerimientos de recursos ............................................................. 141
11. PRESUPUESTO ........................................................................................... 142
12. CRONOGRAMA ............................................................................................ 143
CONCLUSIONES ..................................................................................................... 144
11
REFERENCIAS......................................................................................................... 145
WEBGRAFIA ............................................................................................................ 146
ÍNDICE DE TABLAS
Tabla 1. Rango de Direcciones IP .................................................................................... 41
Tabla 2. Control de Ancho de Banda ............................................................................... 88
Tabla 3. Herramientas Detección de Vulnerabilidades ................................................... 118
Tabla 4. Shadow Security Scanner modo Full Scan ....................................................... 119
Tabla 5. Análisis SSS. Solo NetBIOS............................................................................. 120
Tabla 6. Análisis de solo FTP (Only FTP Scan) ............................................................. 121
Tabla 7. Análisis de solo HTTP (Only HTTP Scan) ........................................................ 121
Tabla 8. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)............................. 122
Tabla 9. Análisis herramienta Nessus. ........................................................................... 125
Tabla 10. Herramienta BW Meter 6.8.1. ......................................................................... 128
Tabla 11. Recursos Personas ........................................................................................ 140
Tabla 12. Requerimientos Hardware y Software ............................................................ 141
Tabla 13. Presupuesto ................................................................................................... 142
Tabla 14. Cronograma ................................................................................................... 143
ÍNDICE DE FIGURAS
Ilustración 1. Clases de Redes ................................................................................................ 25
Ilustración 2. Esquema de Red anterior Surtitodo S.A. ......................................................... 38
Ilustración 3. Nueva Red Surtitodo S.A. .................................................................................. 40
Ilustración 4. Red Administración ............................................................................................ 43
Ilustración 5. Medición Tráfico ................................................................................................. 44
Ilustración 6. Red Ventas ......................................................................................................... 45
Ilustración 7. Esquema VPN .................................................................................................... 46
Ilustración 8. Sub Red Producción .......................................................................................... 47
Ilustración 9. Sub Red Servidores ........................................................................................... 48
Ilustración 10. Ingreso al Mikrotik ............................................................................................ 59
Ilustración 11. Descarga de Plugins ........................................................................................ 59
Ilustración 12. Menú de Configuración .................................................................................... 60
Ilustración 13. Interfases .......................................................................................................... 61
Ilustración 14. Interfase Administración .................................................................................. 63
Ilustración 15. Interfase hotspot ............................................................................................... 63
12
Ilustración 16. Interfase Ventas ............................................................................................... 64
Ilustración 17. Interfase Producción ........................................................................................ 65
Ilustración 18. Vlan Ventas ....................................................................................................... 66
Ilustración 19. Vlan Administración ......................................................................................... 67
Ilustración 20. Vlan Producción ............................................................................................... 68
Ilustración 21. Lista de Vlan ..................................................................................................... 68
Ilustración 22. Dirección Ip Administración ............................................................................. 69
Ilustración 23. Dirección Ip Ventas .......................................................................................... 70
Ilustración 24. Dirección Ip Producción ................................................................................... 70
Ilustración 25. Dirección Ip Une ............................................................................................... 71
Ilustración 26. Lista de Direcciones ......................................................................................... 71
Ilustración 27. Pool Servidores ................................................................................................ 72
Ilustración 28. Pool Ventas ....................................................................................................... 72
Ilustración 29. Pool Produccion ............................................................................................... 73
Ilustración 30. Pool Administración ......................................................................................... 73
Ilustración 31. Lista Pool Direcciones ..................................................................................... 74
Ilustración 32. Net masquerade General ................................................................................ 74
Ilustración 33. Net masquerade Action ................................................................................... 75
Ilustración 34. DHCP Producción ............................................................................................ 76
Ilustración 35. DHCP Administración ...................................................................................... 77
Ilustración 36. DHCP Ventas ................................................................................................... 78
Ilustración 37. DHCP Network ................................................................................................. 78
Ilustración 38. DHCP Red Servers .......................................................................................... 79
Ilustración 39. DHCP Red Administración .............................................................................. 79
Ilustración 40. DHCP Red Ventas ........................................................................................... 80
Ilustración 41. DHCP Red Producción .................................................................................... 80
Ilustración 42. Perfil VPN .......................................................................................................... 81
Ilustración 43. Perfil VPN .......................................................................................................... 82
Ilustración 44. Interface VPN ................................................................................................... 83
Ilustración 45. Cliente PPTP .................................................................................................... 84
Ilustración 46. Configuración Nueva Red ............................................................................... 84
Ilustración 47. Conectarse a un área de trabajo .................................................................... 85
Ilustración 48. Usar mi conexión VPN ..................................................................................... 86
Ilustración 49. Dirección de conexión ...................................................................................... 86
Ilustración 50. Elegir conexión ................................................................................................. 87
Ilustración 51. Usuario y contraseña VPN .............................................................................. 87
Ilustración 52. Conexión VPN conectado ............................................................................... 88
Ilustración 53. Menú Colas ....................................................................................................... 89
Ilustración 54. Cola Administración ......................................................................................... 89
Ilustración 55. Cola Ventas ...................................................................................................... 90
Ilustración 56. Lista Cola .......................................................................................................... 90
Ilustración 57. Bloqueo P2P ..................................................................................................... 91
13
Ilustración 58. Bloqueo P2P-2.................................................................................................. 92
Ilustración 59. Mangle Rule ...................................................................................................... 92
Ilustración 60. Nueva Mangle Rule .......................................................................................... 93
Ilustración 61. Mangle Rule Conexión P2P ............................................................................ 93
Ilustración 62. Mangle P2P Bloqueado ................................................................................... 94
Ilustración 63. Lista bloqueo P2P ............................................................................................ 94
Ilustración 64. Cola P2P In ....................................................................................................... 95
Ilustración 65. Cola P2P Salida ............................................................................................... 96
Ilustración 66. Bloqueo P2P Producción ................................................................................. 97
Ilustración 67. Action: Drop ...................................................................................................... 97
Ilustración 68. Bloqueo P2P Ventas ........................................................................................ 98
Ilustración 69. Firewall Rule Drop ............................................................................................ 98
Ilustración 70. Bloqueo Messenger Puerto 1863 ................................................................... 99
Ilustración 71. Ilustración 101. Bloqueo Messenger Puerto 1863 - 2 ................................... 99
Ilustración 72. Bloqueo Messenger Puerto 5190 ................................................................. 100
Ilustración 73. Bloqueo Messenger Puerto 5190 - 2 ............................................................ 100
Ilustración 74. Bloqueo Messenger Puerto 6901 ................................................................. 101
Ilustración 75. Bloqueo Messenger Puerto 6901 - 2 ............................................................ 101
Ilustración 76. Bloqueo Messenger Puerto 6891-6900 ........................................................ 102
Ilustración 77. Bloqueo Messenger Puerto 6891-6900 - 2 .................................................. 102
Ilustración 78. Firewall Rule ................................................................................................... 103
Ilustración 79. Firewall Rule Drop .......................................................................................... 103
Ilustración 80. Redireccionar Puerto 80 ................................................................................ 104
Ilustración 81. Redireccionar Puerto 80 - 2........................................................................... 105
Ilustración 82. Redireccionar Puerto 110 .............................................................................. 105
Ilustración 83. Redireccionar Puerto 110 - 2 ........................................................................ 106
Ilustración 84. Redireccionar Puerto25 ................................................................................. 107
Ilustración 85. Redireccionar Puerto25 - 2............................................................................ 107
Ilustración 86. Redireccionar Puerto1723 ............................................................................. 108
Ilustración 87. Redireccionar Puerto1723 - 2 ....................................................................... 108
Ilustración 88. Firewall Rule Puerto 1723 ............................................................................. 109
Ilustración 89. Pestaña General Conexión Establecida....................................................... 110
Ilustración 90. Pestaña Accion Accept .................................................................................. 110
Ilustración 91. Descartar conexiones inválidas .................................................................... 111
Ilustración 92. Descartar conexiones inválidas - 2 ............................................................... 111
Ilustración 93. Aceptar Conexiones Establecidas ................................................................ 112
Ilustración 94. Aceptar Conexiones Establecidas - 2 ........................................................... 112
Ilustración 95. Aceptar Trafico UDP ...................................................................................... 113
Ilustración 96. Aceptar Trafico UDP - 2 ................................................................................. 113
Ilustración 97. Acepta icmp Limitados ................................................................................... 114
Ilustración 98. Acepta icmp Limitados - 2 ............................................................................. 114
Ilustración 99. Acepta icmp Limitados - 3 ............................................................................. 115
14
Ilustración 100. Descarta excesivos icmp ............................................................................. 115
Ilustración 101. Descarta excesivos icmp - 2 ....................................................................... 116
Ilustración 102. Descarta el resto de las conexiones externas ........................................... 117
Ilustración 103. Descarta el resto de las conexiones externas - 2 ..................................... 117
Ilustración 104. El orden de las políticas Firewall ................................................................ 118
Ilustración 105. Resultado SSS modo Full Scan ........................................................................... 119
Ilustración 106. DoS Checker ...................................................................................................... 123
Ilustración 107. f. DoS Checker Step 2 ..................................................................................... 124
Ilustración 108. DoS Checker Step 2 ........................................................................................... 124
Ilustración 109. Resultado Nmap................................................................................................ 127
Ilustración 110. Medición Realizada al servidor de Pereira ......................................................... 129
Ilustración 111. Medición realizada al Servidor de Medellín ....................................................... 130
Ilustración 112. Tomado de www.router-switch.com ................................................................. 131
Ilustración 113. Router 3COM 3033. .......................................................................................... 132
Ilustración 114. Características Router 3COM 3033 .................................................................... 133
15
CAPÍTULO I: DESCRIPCION Y FORMULACION DEL PROBLEMA
1.1. Situación Problema
Una vez se realizó el estudio en la Compañía Comercial Universal Surtitodo. S.A.
se observó algunos problemas que a continuación se mencionan:
Un solo servidor de archivos para todas las redes, este servidor pertenece al
área de Administración, lo que acarrea mucho tráfico de datos en esta red,
produciendo congestión y pérdida de datos.
Una sola impresora de red a la que las demás subredes envían sus
documentos, generando colas y congestión en esta área, además del
personal ajeno al área de administración.
Debido al exceso de trabajo la impresora se dañaba a menudo.
Las subredes de ventas y producción tienen computadores que están
conectados a través de switch, todas acceden al servidor de administración
y la impresora de la empresa a través del router principal.
Los switch de cada una de las áreas son idénticos, a ninguno se le puede
administrar sus puertos, por lo que no se le puede aplicar ningún tipo de
política de seguridad o generar alguna VLAN.
Los datos de ventas solo se pueden ver cuando los analistas de sistemas
realizan la toma de datos y centralizan la información en la sede principal los
primeros cinco días del mes.
Debido al poco control que tiene la red interna, no hay control sobre las
sedes, no se ven en directo los videos de las cámaras, si ocurre un evento
se debe esperar que el analista baje el video y lo envía a la sede central.
16
1.2. Planteamiento del Problema
¿Cómo se puede mejorar la red y el servicio de conexión e interconexión de
Compañía Comercial Universal Surtitodo S.A., de acuerdo a los requerimientos y
necesidades de la institución?
1.2.1. Delimitación
Compañía Comercial Universal Surtitodo S.A. actualmente cuenta con tres áreas
(Administración, Producción y ventas), y oficinas de ventas en Pereira. Se limita el
proyecto al estudio de estas áreas además de la interconexión del área de ventas
con el Almacén Surtitodo la 8va a través de una VPN.
1.3. Objetivos
1.3.1. Objetivo General
Documentar el diseño de una red de datos acorde a las necesidades de la compañía
comercial S.A., con la tecnología Mikrotik RouterOS
1.3.2. Objetivos específicos
Reunir información de la red actual, sus requisitos y expectativas para
aclarar e identificar cualquier problema en la red para establecer la
configuración del router mikrotik.
Documentar la configuración del router mikrotik para el diseño de la red y
el direccionamiento IP de la empresa
Implementar servicios para la sincronización de la hora y monitoreo de las
interfaces de los equipos activos.
17
Implementar una política interna de optimización de los recursos de
interconexión y seguridad de la red con la tecnología Mikrotik.
1.4. Justificación.
Esta solución junto con el cambio de sistema de ventas a SAP, beneficia a todos en
la compañía ya que las directivas tienen la información al día, lo que permite tener
las soluciones al alcance si se presenta algún problema.
El nuevo diseño permite compartir tanto archivos (documentos) como video, siendo
principalmente importante los videos de seguridad de los DVR cuando ocurre un
evento.
Se brinda mayor seguridad para proteger sus datos, asegurando la integridad,
confidencialidad y seguridad.
Debido a la necesidad de asegurar los datos de las sedes alternas con la principal
se creó una VPN, esto ha permitido la visualización de los datos de ventas en tiempo
real, stock de productos, acceder remotamente a los equipos para asistir en una
eventualidad, ahorrando en costos de desplazamiento de personal calificado, sino
la utilización de los mismos para que los gerentes y directores de estas sedes
tengan la información a la mano.
Para que el usuario pueda desempeñar su trabajo diariamente es indispensable que
pueda hacer uso de cada una de las herramientas que proporciona la empresa, para
ello es necesaria una gestión de red que permita comprobar y asegurar el
rendimiento óptimo de los recursos informáticos.
18
Esta herramienta ha permitido ajustar la gestión de red con los objetivos de la
compañía y afirmar las prioridades utilizadas para que coincidan con las aplicadas
para la administración de la firma, también ha permitido garantizar el rendimiento y
disponibilidad no solo de la información sino también de la tecnología.
1.5. Aporte teórico y práctico.
1.5.1. Aporte Teórico
La novedad de este proyecto se presenta el estudio, análisis y solución de una red
empresarial a bajo costo, la cual se puede posteriormente aplicar a otros almacenes
de la organización o en otros ambientes laborales.
El análisis de la tecnología basada en Mikrotik RouterOS proveerá los conceptos
necesarios para ser aplicados en cualquier clase de dominio con objetivos
comerciales y no comerciales.
La tecnología que presenta el sistema Mikrotik es desconocida y esta misma permite
gestionar la red según las necesidades del cliente
1.5.2. Aporte Práctico
El proyecto generara un impacto social dentro de la empresa, la red anterior no
satisfacía las necesidades de los usuarios y trabajadores, la nueva red soluciona
estos problemas permitiendo el desarrollo individual de cada empleado y así el de
la empresa presentando una mejora continua en los procesos y atención al cliente.
19
Las características colaborativas del mikrotik han potenciado el balance de las
cargas de red permitiendo la transmisión de datos entre las áreas de la compañía,
almacenes sucursales y la principal sin problemas, igualmente proporciona control
sobre el stock de mercancía y las ventas.
Los beneficios de la implementación del proyecto han permitido generar un
conocimiento que puede ser aplicado posteriormente a las otras sedes por parte del
departamento técnico.
20
Capitulo II: MARCOS DE REFERENCIA
2.1. Antecedentes
Actualmente son pocos los trabajos que se han documentado sobre este tipo de
soluciones.
Seguidamente se relacionan algunos ejemplos de proyectos que han utilizado la
tecnología Mikrotik
Quiroz Alberto (2011), Universidad Nacional Experimental de Táchira (UNET)
realizó un informe de pasantías de final de carrera titulado: “Actualización del
esquema de enrutamiento y direccionamiento IP de la red inalámbrica de Fundacite
Mérida en la zona Panamericana y Valle de Mocoties del Estado Mérida", el cual
tuvo como basamento la actualización del esquema de enrutamiento, aplicando
enrutamiento estático en una red inalámbrica mediante el uso de tecnología Mikrotik
basada en RouterOS y manejada con software libre bajo la distribución Ubuntu.
(Alberto, 2012)
Chancusig Omar (2012), universidad Técnica de Cotopaxi realizó un informe para
la obtención del título de ingeniero en informática y sistemas computacionales
titulado: ““DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL Y
BALANCEO DE CARGA, EN ROUTERS MIKROTIK CON CALIDAD DE SERVICIO
(QOS), PARA LA RED WLAN (Wireles Local Area Network) DE LOS SISTEMAS
DE COMUNICACIÓN LATACUNGA ” En relación al objetivo general que es diseñar
e implementar un sistema de control, balanceo de carga en Routers Mikrotik con
calidad de servicio (QOS), para la red wlan de los sistemas de comunicación
Latacunga con los específicos que es analizar la estructuración y configuración de
Routers Mikrotik. (Chancusig & Martínez, 2012)
Ramírez Javier (2013) realizo un informe para obtener el título de Ingeniero en
Tecnologías de la Información y Comunicación con el Proyecto: “Internet en la
21
ciudad de Querétaro” en el cual uno de los objetivos principales es Acercar a la
ciudadanía un servicio público gratuito del internet móvil y en sitios estratégicos que
permitan hacer uso del mismo como una herramienta de apoyo tecnológico a los
ciudadanos usando Tecnología Mikrotik RouterBOARD. (Ramírez, 2013)
2.2. Marco teórico.
Los conceptos tratados a continuación proporcionan una idea sobre las redes,
topología de una red, direccionamiento IP, protocolos, algoritmos de enrutamiento,
calidad de servicio y una breve descripción de las herramientas utilizadas para la
realización del proyecto
2.2.1. RouterBOARD Mikrotik
Es la plataforma de hardware hecho por Mikrotik, estos router son alimentados por
el sistema operativo RouterOS, basado en el Kernel de Linux 2.6, su facilidad de
uso, implementación y su relación costo beneficio lo hacen perfectos para las
grandes y medianas compañías ya que implementa funcionalidades como OSPF,
BGP o VPLS/MPLS. (CAPACITY, 2014)
Estudio exploratorio bibliográfico sobre el manual de referencia de Mikrotik y
normas internacionales
Esta red se implementara con Mikrotik RouterBoard 751g 2H.
El RouterOS es un sistema operativo y software que convierte a una PC en un router
dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso
inalámbrico, por lo que el aparato puede realizar casi cualquier cosa que la red
requiera, además posee funciones de servidor.
22
El RouterOS soporta diversos métodos de conexión VPN, para establecer una
conexión VPN segura sobre redes abiertas o internet. Estos métodos son:
IPSec
Túneles de punto a punto (OpenVPN, PPTP, PPPoE, L2TP)
Features Avanzados PPP (MLPPP, BCP)
Túneles simples (IPIP, EoIP)
Soporte túneles 6 a 4 (IPv6 sobre IPv4)
VLAN
VPN basado en MPLS
El software RouterOS se puede ejecutar desde disco IDE o memoria tipo Flash.
Principales Características
El sistema operativo es basado en el kernel de Linux 2.6 por lo que es muy
estable.
Puede ejecutarse desde discos IDE o módulos de memoria flash.
Diseño modular.
Módulos actualizables.
Interfaz gráfica amigable.
Características de Ruteo
Políticas de enrutamiento. Ruteo estático o dinámico.
Bridging, protocolo spanning tree, interfaces múltiples bridge, firewall en el
bridge.
Servidores y clientes: DHCP, PPPoE, PPTP, PPP, relay DHCP
Cache: web-proxy, DNS.
Gateway de HotSpot.
Lenguaje interno de scripts.
Características del RouterOS
Filtrado de paquetes por:
23
Origen, IP de destino.
Protocolos, puertos.
Contenidos (según conexiones P2P).
Puede detectar ataques de denegación de servicio (DoS)
Permite solamente cierto número de paquetes por periodo de tiempo.
Calidad de servicio (QoS)
Tipo de colas
RED
BFIFO
PFIFO
PCQ
Colas simples
Por origen/destino de red.
Dirección IP de cliente.
Interfase
Arboles de colas
Por protocolo.
Por puerto.
Por tipo de conexión.
Interfaces del RouterOS
Ethernet 10/100/1000 Mbit.
Inalámbrica (Atheros, Prism, CISCO/Airones)
Punto de acceso o modo de estación/cliente, WDS.
Síncronas: V35, E1, Frame Relay.
24
Asíncronas: Onboard serial.
ISDN.
xDSL.
Virtual Lan (VLAN).
Herramientas de manejo de red
Ping, traceroute.
Medidor de ancho de banda.
Contabilización de tráfico.
SNMP.
Torch.
Sniffer de paquetes.
Estas son las principales características del sistema operativo y software del
Mikrotik RouterBoard, elegido para la implementación de la red. (CAPACITY, 2014)
2.2.2. Direccionamiento IP
El direccionamiento IP es la forma como se identifica el destinatario del paquete que
se va a enviar a través de la red. Para identificar este destinatario se usa una
dirección IP con una longitud de 32 bits en IPv4 mientras que para IPv6, se usa una
dirección IP de 128 bits. La dirección IPv4 está formada por un identificador de red
(netID) y un identificador del host (host-ID). (Microsoft, 2005)
Las direcciones IP están divididas en clases para facilitar la búsqueda de equipos
en la red:
Clase A: Comprende el rango de direcciones desde 1.0.0.0 hasta 126.0.0.0.
Tiene reservado 7 bits para el net-ID y 24 bits para el host-ID. Se puede
formar 128 redes y alrededor de 16 millones de host por red.
25
Clase B: Su rango de direcciones va desde la dirección 128.0.0.0 hasta la
191.255.0.0. Distribuye 2 bits para la red, 14 bits para el netID y 16 bits para
el host-ID lo que permite crear una cantidad mayor de redes, más de 16000
y más de 65 host por red.
Clase C: Las redes disponibles para la clase C van desde la dirección IP
192.0.0.0 hasta la 223.255.255.0 dejando los 3 primeros bits para la red, 21
bits para el net ID y los 8 bits restantes para el host-ID. Esta distribución de
bits permite la creación de más de 2 millones de redes con 254 equipos cada
red.
Clase D: Reservada para servicios de multidifusión donde una estación envía
simultáneamente información a un grupo de estaciones.
Clase E: Destinada para hacer pruebas.
Las direcciones de red que inician en 127 son usadas para indicar el host local.
Ilustración 1. Clases de Redes
26
2.2.3. Enrutamiento
El enrutamiento de los datos a través de la red se realiza en la capa Internet del
modelo TCP/IP y consiste en hacer llegar los datos desde un origen hasta un
destino, haciendo pasar el paquete por diferentes elementos de red de ser
necesario.
Las decisiones de enrutamiento son tomadas por los routers a través de algoritmos
y tablas de enrutamiento donde se almacena información sobre la topología de la
red. (Microsoft, 2005)
Cuando un dispositivo de enrutamiento recibe el paquete, éste busca en su tabla de
enrutamiento para determinar si dicho paquete es para él o si debe redireccionarlo
al siguiente dispositivo. Si la dirección no existe en su tabla, la puede agregar de
forma dinámica si es su configuración lo permite, de lo contrario, la tabla sería
estática y no cambiaría al cambiar al topología de la red. (Microsoft, 2005)
Segmentación de redes
Una red grande se puede dividir en redes pequeñas llamadas segmentos de red.
El objetivo principal de segmentar una red es para poder aislar el tráfico, dividir el
dominio de colisión e incrementar el ancho de banda por segmento de red.
Se puede realizar segmentación de redes de forma física usando equipos como
repetidores, switch, routers y de forma lógica con redes virtuales (VLAN). (Microsoft,
2005)
2.2.4. Vlan.
Una Vlan es una agrupación lógica de dispositivos o usuarios que se pueden
agrupar por función, departamento o aplicación, sin importar la ubicación física del
segmento.
Sus principales características son:
27
o Funcionan en el nivel de capa 2 y capa 3 del modelo de referencia OSI.
o La comunicación entre VLAN es implementada por el enrutamiento de capa
3
o Proporcionan métodos para controlar los broadcast de la red
o El administrador de la red asigna usuarios a una VLAN
o Las VLAN pueden aumentar la seguridad de la red, definiendo cuales son los
nodos de red que se pueden comunicar entre sí.
Las Vlan permitan definir una nueva red por encima de la red física y, por lo tanto,
ofrece ventajas como mayor flexibilidad en la administración y cambios en la red, ya
que la arquitectura puede cambiarse usando los parámetros de los conmutadores,
aumenta la seguridad ya que la información se encapsula en un nivel adicional y
posiblemente se analiza, también disminuye el tráfico en la red. (Cisco, 2013)
2.2.5. Gestión de redes.
La Gestión de red se define como el conjunto de actividades dedicadas al control
y vigilancia de recursos de telecomunicación. Su principal objetivo es garantizar un
nivel de servicio en los recursos gestionados con el mínimo coste. (Hernando,
2002)
La Gestión de red debe responder a tres preguntas:
¿Qué objetivos se persiguen?
¿De qué recursos se dispone?
¿Cómo se van a cumplir los objetivos?
Los métodos de gestión de red deben ser puestos en práctica mediante la
organización de un Centro de Gestión de Red, que va a disponer de tres clases de
recursos:
Métodos de Gestión.
Recursos humanos.
Herramientas de apoyo.
28
Funcionalidad de los sistemas de gestión
Paradigma Gestor-Agente
La mayoría de las herramientas de apoyo de gestión de red se basan en el
paradigma Gestor-Agente.
Los sistemas de apoyo a la gestión poseen:
Una interfaz con el operador o el responsable de la red.
Una serie de componentes hardware y software entre los diferentes componentes
de la red.
Las características de estos componentes hardware y software permiten clasificar
las partes de un sistema de gestión de red en dos grupos:
Gestores. Son los elementos que interaccionan con los operadores humanos, y
desencadenan las acciones pertinentes para llevar a cabo las operaciones
solicitadas.
Agentes. Llevan a cabo las operaciones de gestión invocadas por los Gestores de
la red.
Los nodos de una red que posean un gestor se denominarán Nodos Gestores,
mientras que los nodos que tengan un agente se llamarán Nodos Gestionados.
La base del funcionamiento de los sistemas de apoyo a la gestión reside en el
intercambio de información de gestión entre nodos gestores y nodos gestionados.
Es lo que se llama Paradigma Gestor-Agente. (Hernando, 2002)
29
Monitorización
La monitorización es la parte de la gestión de red que se ocupa de la observación y
análisis del estado y el comportamiento de los recursos gestionados. Abarca cuatro
fases:
o Definición de la información de gestión que se va a monitorizar.
o Acceso a la información de monitorización. Las aplicaciones de
monitorización utilizan los servicios ofrecidos por un gestor para acceder a
los datos de monitorización mantenidos por un agente.
o Las comunicaciones entre gestores y agentes se realizan gracias a los
protocolos de gestión
o Diseño de políticas de monitorización. Se distinguen dos tipos de
comportamiento:
Sondeo. En este caso el gestor pregunta periódicamente a los agentes
por los datos de monitorización.
Informe de Eventos. Los agentes, por su propia iniciativa, informan a
los gestores.
o Procesado de la información de monitorización. Ésta es la etapa más
importante de la monitorización. (Hernando, 2002)
Control
La parte de control dentro de la gestión de redes es la encargada de modificar
parámetros e invocar acciones en los recursos gestionados.
Las Áreas Funcionales de Gestión
La ISO clasifica las tareas de los sistemas de gestión en cinco áreas funcionales:
o La Gestión de Configuración La Gestión de Configuración es el proceso de obtención de datos de la red y
utilización de los mismos para incorporar, mantener y retirar los diferentes
componentes y recursos que la integran. Consiste en la realización de tres tareas
fundamentales:
30
Recolección de datos sobre el estado de la red. Para ello generalmente se emplean
dos tipos de herramientas que funcionan de forma automática: las herramientas de
autodescubrimiento (auto-discovery) y las herramientas de autotopología (auto-
mapping). La primera lleva a cabo un sondeo periódico de la red para averiguar qué
elementos están activos y con qué características; la segunda averigua de qué
forma están interconectados los distintos elementos de la red. Toda esta
información se representa gráficamente mediante un mapa topológico. (Hernando,
2002)
o Cambio en la configuración de los recursos. Almacenamiento de los datos de configuración. Todos los datos obtenidos han de
ser almacenados para obtener el inventario de red. (Hernando, 2002)
o La Gestión de Prestaciones La Gestión de Prestaciones tiene como principal objetivo el mantenimiento del nivel
de servicio de la red.
La gestión de prestaciones basa sus tareas en la definición de unos indicadores de
funcionamiento. Es decir, es necesario fijar una serie de criterios que permitan
conocer cuál es el grado de utilización de un recurso. Los indicadores más utilizados
se clasifican en dos grandes grupos:
Parámetros de funcionamiento orientados al servicio. Miden el grado de satisfacción
del usuario al acceder a los recursos. Los más importantes son la disponibilidad, el
tiempo de respuesta y la tasa de error.
Parámetros de funcionamiento orientados a la eficiencia. Miden el grado de
utilización de los recursos. Básicamente son la productividad (throughput) y la
utilización.
La gestión de prestaciones consiste en realizar cuatro tareas básicas:
Recogida de datos.
31
Establecimiento de umbrales. Cuando se supera un determinado grado de
utilización de un recurso se dispara una alarma.
Modelado de la red. Se crea un modelo teórico para simular el comportamiento de
la red bajo determinadas circunstancias.
La Gestión de Fallos La Gestión de Fallos tiene como objetivo fundamental la localización y recuperación
de los problemas de la red. Abarca dos tareas principales:
Detección e identificación de los fallos.
Corrección del problema.
La Gestión de Seguridad El objetivo de la Gestión de Seguridad es ofrecer mecanismos que faciliten el
mantenimiento de políticas de seguridad. La Gestión de Seguridad se ocupa de los
siguientes puntos:
Identificación de la información a proteger y dónde se encuentra.
Identificación de los puntos de acceso a la información.
Protección de los puntos de acceso.
Mantenimiento de los puntos de acceso protegidos.
Evolución de los Sistemas de Gestión Las primeras redes tenían pocos nodos y cada uno de ellos tenía su propio
administrador. Cuando surgía algún problema que afectaba a más de un nodo, los
administradores correspondientes se ponían en contacto para solucionarlo. Este
modo de gestión de red se denomina Gestión Autónoma.
32
Con el crecimiento del número de nodos la solución anterior ya no es eficaz. Por
ello a principios de los ochenta aparecieron aplicaciones que posibilitaban la
supervisión remota de los nodos de las redes. Sin embargo, cada aplicación sólo
servía para redes que estuvieran compuestas por equipos de un mismo fabricante.
Ésta es la denominada Gestión Homogénea.
Con la evolución de las redes la heterogeneidad de los recursos se hizo mayor, por
lo que se desarrollaron sistemas de Gestión Heterogénea.
Más tarde fue necesario evolucionar haca los sistemas de Gestión Integrada, que
permiten la utilización de un único Centro de Gestión válido para llevar el control de
entornos heterogéneos. Para llegar a estos sistemas era necesaria una
estandarización previa de la gestión de red. En la actualidad existen tres modelos
fundamentales de gestión integrada:
Gestión de Red OSI Open Systems Interconnection (Interconexión de Sistemas
Abiertos). Definido por ISO, con el objetivo de lograr la gestión de los recursos del
modelo de referencia OSI.
Gestión Internet. Definido por la Internet Society para gestionar el modelo de
referencia TCP/IP.
Arquitectura TMN Telecommunications Management Network (Red de Gestión de
las Telecomunicaciones). Definida por la ITU-T. Más que un modelo de red, define
una estructura de red basada en los modelos anteriores. (Hernando, 2002)
Modelos de Gestión Estándar
o El Modelo de Gestión OSI
La Gestión de Sistemas OSI se basa en el uso de protocolos del nivel de aplicación
para el intercambio de información de gestión según el paradigma Gestor-Agente.
La Gestión de Sistemas OSI consta de cuatro modelos, que son:
33
Modelo de Comunicación.
Modelo de Información.
Modelo Funcional. En él se definen las funciones de gestión.
Modelo de Organización. En él se exponen las posibles subdivisiones de la
red en dominios de gestión. (Hernando, 2002)
o El Modelo de Comunicaciones
La Gestión de Sistemas OSI propugna el intercambio de información de gestión
mediante un protocolo de nivel de aplicación. Este protocolo se denomina CMIP
(Common Management Information Protocol), Protocolo Común de Información de
Gestión. CMIP proporciona el servicio CMIS (Common Management Information
Service), Servicio Común de Información de Gestión.
CMIS integra dos grandes grupos de servicios:
Servicios de Notificación. Únicamente hay un servicio de este tipo: M-EVENT-
REPORT, que permite a los agentes informar a los gestores de determinados
sucesos especiales en los objetos gestionados que mantienen. Permite una
gestión orientada a objetos.
Servicios de Operación. Hay seis servicios de operación, son usados por el
gestor para invocar operaciones de gestión a los agentes y para devolver los
resultados de esas operaciones a los gestores. Estos servicios son: M-GET, M-
SET, M-ACTION, M-CREATE, M-DELETE, M-CANCEL-GET.
CMIP es un protocolo orientado a conexión, lo que aporta mayor fiabilidad pero, por
otro lado, introduce una sobrecarga en las comunicaciones de gestión. (Hernando,
2002)
o El Modelo de Información
El modelo de información OSI se basa en el concepto de Objeto Gestionado, que
es la abstracción de recursos de comunicación o de procesado de información con
el propósito de su gestión. Del mismo modo, se define Clase de Objetos
34
Gestionados como el conjunto de objetos que tienen las mismas propiedades de
cara al sistema de gestión.
Para llevar a cabo la especificación de las clases de objetos gestionados en las
gestión OSI se utiliza la sintaxis GDMO (Guidelines for the Definition of Managed
Objects), Directrices para la Definición de Objetos Gestionados. GDMO se basa en
la utilización de unas plantillas. (Hernando, 2002)
o El Modelo de Gestión en Internet
En los setenta el número de nodos de Internet era muy reducido se gestionaba
Internet con las facilidades que ofrecía el protocolo ICMP, como el PING. Cuando
Internet avanzó en complejidad, multiplicando el número de nodos se empezó a
trabajar en tres soluciones diferentes, que se definieron en 1987:
SGMP (Simple Gateway Monitoring Protocol), Protocolo Simple de Monitorización
de Pasarelas. Sencillo Protocolo orientado fundamentalmente a la gestión de
pasarelas IP. Posteriormente pasaría a llamarse SNMP (Simple Network
Management Protocol), Protocolo Simple de Gestión de Red.
HEMS (High-Level Entity Management System), Sistema de Gestión de Entidades
de Alto Nivel. Nunca llegó a tener aplicación práctica.
CMOT (CMIP). Adopción de los estándares ISO como marco de gestión para
Internet sobre una torre de protocolos TCP/IP.
En 1990 el SNMP se convirtió en el estándar de las redes TCP/IP y de Internet. En
1992, se comenzó el trabajo para especificar una nueva versión de SNMP, la
SNMPv2; aunque hoy en día todavía continúan los trabajos de actualización.
(Hernando, 2002)
o Arquitectura de Gestión de Red en Internet
Los sistemas de gestión de Internet están formados por cuatro elementos básicos:
Gestores, Agentes, MIB y el protocolo de información de intercambio SNMP.
35
Existe un tipo de agente que permite la gestión de partes de la red que no comparten
el modelo de gestión de Internet. Son los llamados Agentes Proxy. Estos agentes
proxy proporcionan una funcionalidad de conversión del modelo de información y
del protocolo. (Hernando, 2002)
o Tecnología de Gestión de Red: Las Plataformas de Gestión
La utilización de modelos de gestión integrada obliga a todas las aplicaciones de
gestión a utilizar la misma infraestructura de comunicaciones y de información, las
denominadas Plataformas de Gestión de Red.
Una plataforma viene a ser el sistema operativo de las aplicaciones de gestión. Se
trata de un entorno de ejecución y, a menudo, de desarrollo, que ofrece una serie
de servicios a las aplicaciones de gestión a través de un conjunto de APIs.
Una plataforma de gestión típica está compuesta de cuatro elementos:
Una API de Gestión que puedan utilizar todas las aplicaciones de gestión,
independientemente del protocolo de gestión del recurso gestionado y de la red
empleada para acceder a los recursos.
Un sistema de gestión de información, generalmente un gestor de bases de
datos relacionales, accesible por todas las aplicaciones.
Una interfaz de usuario común para todas las utilidades y aplicaciones.
Un conjunto de aplicaciones propias de la plataforma que ofrecen una
funcionalidad básica de gestión de red.
Las principales plataformas de gestión de red son:
SunNet Manager de Sun Microsystems.
OpenView de Hewlett-Packard.
NetView/6000 de IBM.
Polycenter de DEC.
Spectrum de Cabletron.
36
ISM de Bull. (Hernando, 2002)
SNMP. Protocolo Simple de Gestión de Red
En mayo de 1990 se publicó el RFC 1157, definiendo la versión 1 del SNMP (Simple
Network Management Protocol, Protocolo Simple de Gestión de Red). El SNMP
proporcionó una manera sistemática de supervisar y administrar una red
informática, convirtiéndose rápidamente en un estándar de facto para la
administración de redes.
En los RFC 1441 a 1452 se definió una versión mejorada del SNMP (SNMPv2) que
se volvió un estándar en Internet.
El modelo SNMP
El modelo SNMP de una red administrada consta de cuatro componentes:
Nodos administrados.
Estaciones administradas.
Información de administración.
Un protocolo de administración.
Los nodos administrados pueden ser hosts, enrutadores, puentes, impresoras u
otros dispositivos. Para ser administrado directamente por el SNMP, un nodo debe
ser capaz de ejecutar un proceso de administración SNMP, llamado agente SNMP.
Cada agente mantiene una base de datos local de variables que describen su
estado e historia y que afectan a su operación.
La administración de la red se hace desde estaciones administradoras, que son
ordenadores con un software de administración especial. La estación
administradora contiene uno o más procesos que se comunican con los agentes a
través de la red, emitiendo comandos y recibiendo respuestas.
El SNMP describe la información exacta de cada tipo de agente que tiene que
administrar la estación administradora y el formato con el que el agente tiene que
37
proporcionarle los datos. Cada dispositivo mantiene una o más variables que
describen su estado, estas variables se llaman objetos. El conjunto de todos los
objetos posibles de una red se da en la estructura de datos llamada MIB
(Management Information Base, Base de Información de Administración.
La estación administradora interactúa con los agentes usando el protocolo SNMP.
Este protocolo permite a la estación administradora consultar, y modificar, el estado
de los objetos locales de un agente.
A veces pueden ocurrir sucesos no planeados, como un congestionamiento o la
caída de una línea. Cada suceso significativo se define en un módulo MIB. Cuando
un agente nota que ha ocurrido un suceso significativo, de inmediato lo informa a
todas las estaciones administradoras de su lista de configuración. Este informe se
llama interrupción SNMP. Como la comunicación entre los nodos administrados y la
estación administradora no es confiable, la estación administradora debe sondear
ocasionalmente cada nodo. El modelo de sondeo a intervalos grandes con
aceleración al recibirse una interrupción se llama sondeo dirigido a interrupción.
(Hernando, 2002)
ASN.1. Notación de Sintaxis Abstracta 1
El corazón del modelo SNMP es el grupo de objetos administrados por los agentes
y leídos y escritos por la estación administradora. Para hacer posible la
comunicación multiproveedor, es esencial que estos objetos se definan de una
manera estándar.
Por esta razón, se requiere un lenguaje de definición de objetos estándar, así como
reglas de codificación. El lenguaje usado por el SNMP se toma del OSI y se llama
ASN.1 (Abstract Syntax Notation One), Notación de Sintaxis Abstracta uno.
Una sintaxis de transferencia ASN.1 define la manera en que los valores de los tipos
ASN.1 se convierten sin ambigüedad en secuencia de bytes para su transmisión (y
se decodifican sin ambigüedad en el otro terminal). La sintaxis de transferencia
usada por el ASN.1 se llama BER (Basic Encoding Rules), Reglas Básicas de
Codificación. (Hernando, 2002)
38
3. HIPOTESIS
¿El diseño y aplicación de una red para la compañía comercial universal Surtitodo
S.A. basada en mikrotik permitirá solucionar la problemática actual en cuanto a
conectividad y seguridad?
4. DISEÑO Y PROCEDIMIENTO.
4.1. Red anterior
Ilustración 2. Esquema de Red anterior Surtitodo S.A.
39
La red anterior se componía del router ISP, y un router gama baja marca El router
inalámbrico ENHWI-2AN3, donde se conectaban las subredes de administración,
ventas y producción.
El router en cuestión no es un router de alta productividad, por lo que genera
grandes problemas de congestión de datos, debido a que no puede administrar la
gran cantidad de volumen de información que transita por la red.
Los switch en cada una de las áreas son idénticos, ninguno posee la cualidad de
poder administrar sus puertos, al igual que están imposibilitados de generar VLAN
o cualquier otro tipo de política que se pueda generar en otro tipo de switch.
Debido a esta disposición de red y los constantes problemas que posee, al igual
que la pérdida de tiempo de los trabajadores en tener que desplazarse hasta otro
piso a buscar sus impresiones. Esta es una de las razones para reestructurar la red,
optimizar los recursos y mejorar la producción de la misma.
Luego de examinar la situación que se presenta se decide planificar toda una
reestructuración de la red nueva. Lo cual solucionará problemas de congestión al
igual que proveerá mayor productividad, esto generara grandes beneficios.
40
4.2. Nueva Red Surtitodo
Ilustración 3. Nueva Red Surtitodo S.A.
4.2.1. Direccionamiento IP
La empresa Surtitodo S.A. cuenta con el siguiente direccionamiento IP para sus
departamentos, se encuentran distribuidos de la siguiente manera:
Tabla de direcciones ip
41
ÁREA Rango IP
Desde Hasta
Servidores 192.168.01.5/24 192.168.01.254/24
Administración 192.168.10.5/24 192.168.10.254/24
Ventas 192.168.11.5/24 192.168.11.254/24
Producción 192.168.12.5/24 192.168.12.254/24
Pereira la 8va 192.168.13.5/24 192.168.13.254/24 Tabla 1. Rango de Direcciones IP
La nueva red planeada posee una nueva sub red de servidores. Además en esta
nueva reestructuración se interconectara las oficinas de ubicadas en la ciudad de
Medellín con las oficinas de ventas en la ciudad de Pereira.
Router Ppal
El router que se encuentra en las oficinas de Medellín es el Mikrotik RouterBoard
751g con sistema operativo Mikrotik RouterOS
Él router dará servicios a la red, en los cuales podemos contar el Servidor DHCP,
Firewall, Servidor PPPoE, Cliente PPPoE, Servidor PPTP, modelado de colas,
cliente NTP, Servidor NTP, Hotspot.
El servidor DCHP, nos brinda las direcciones de IP, Gateway, broadcast y DNS para
cada una de las subredes.
El firewall se utilizara para las siguientes actividades:
Bloqueo de cliente MSN live Messenger.
Bloqueo P2P para redes Producción y Ventas.
Redireccionamiento de puertos
o Puerto 80 WEB.
o Puerto 110 POP3.
o Puerto 25 SMTP.
o Puerto 1723 PPTP.
Descartar conexiones invalidas
42
Aceptar conexiones establecidas
Acepta trafico UDP.
Acepta paquetes de icmp limitados.
Descarta excesivos paquetes de icmp.
Descarta el resto de las conexiones externas
El servidor PPTP, será utilizado para interconectar las oficinas de Medellín y Pereira,
permitiendo el intercambio seguro de datos entre las sedes de Pereira y la oficina
principal ubicada en Medellín, además la posibilidad de asistir las eventualidades
remotamente.
El modelado de colas se utilizara para asignarle un determinado ancho de banda a
cada una de las sub redes. Al igual se utilizara el modelado de colas para el control
de ancho de banda para los clientes P2P.
El cliente NTP, se utilizara para sincronizar la hora de nuestro Mikrotik. El servidor
NTP se utilizara para que las computadoras de red estén sincronizadas.
El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al
navegar a través de Internet. Para ello se aplicaran las siguientes políticas:
Bloqueo de Pornografía.
Bloqueo páginas que brinden el servicio de Web Messenger.
Bloqueo del Live Messenger a través del proxy.
Bloqueo de páginas que brindan webmail.
Bloqueo de descarga directa de archivos MP3 y AVI.
Bloqueo de descarga directa de archivos RAR, ZIP, EXE.
43
4.3. Sub Red Administración
Ilustración 4. Red Administración
La nueva restructuración de la sub red de administración se debió al alto tráfico que
tenían entre todas las otras redes. Para medir esto se usó el programa BW Meter
Versión 6.8.1 (Tarapues, 2014), en modo free trial, durante 7 días de mediciones
con los siguientes resultados
44
Ilustración 5. Medición Tráfico
Esto era debido a que todos los datos de las demás sedes, 17 en total, llegaban a
esta área para la actuación del sistema, lo que congestionaba los demás servicios
ya que se contaba con un solo servidor.
A esta sub red sele cambio el Switch por uno de alta productividad marca Cisco
SRW224G4-K9-NA SF 300-24 de 24 puertos 10/100 Managed Switch y los datos
del nuevo sistema sap serán redirigidos al nuevo servidor data base destinado para
eso
Nuestra sub red poseerá un pool de impresoras de red para esta sola área. Esto
disminuirá el tráfico de impresión al igual que el tráfico de personal ajeno a
administración.
Así mismo se instalara un servidor de archivos propio de administración en el cual
se encontrara exclusivamente los archivos de esta área.
Las direcciones de ip, Gateway, broadcast y dns, serán asignados por el router
Mikrotik mediante dhcp. El rango de direcciones será desde 192.168.10.5/24 al
192.168.10.254/24. Se decidió dejar las direcciones desde el 192.168.10.2/24 al
45
192.168.10.1/24 fuera de este rango debido a que si en un futuro se desean instalar
más servidores para esta área.
Ya que dentro de esta área se encuentra la Gerencia, la misma autorizo la utilización
de los P2P para dicha área. El trafico P2P será modelado para que no ocupe gran
cantidad de ancho de banda.
4.4. Sub red Ventas.
Ilustración 6. Red Ventas
Las direcciones de ip, Gateway, broadcast y dns serán asignados por el router
Mikrotik mediante el DHCP. El rango de direcciones será desde 192.168.11.5/24 al
192.168.11.254/24. Se decidió dejar las direcciones desde el 192.168.11.2/24 al
192.168.11.4/24 fuera de ese rango para el caso de que se quiera instalar algún
otro tipo de dispositivo o servidor.
46
La red de ventas será conectada a través del switch al router mediante un backbone
de 1Gbit Ethernet. El cual será limitado mediante teoría de colas simples a 400Mbits
de subida y 300Mbit de bajada, se asignan estos valores debido a que los datos de
ventas deben estar actualizando constantemente, para mantener la información de
la empresa al día en todo momento.
Esta sub red contendrá a las pc’s de Pereira, dicha oficina será conectada a la
oficinas de Medellín mediante VPN. Se utilizara el protocolo PPTP para crear el
túnel.
El trafico P2P queda bloqueado para esta red.
Ilustración 7. Esquema VPN
47
4.5. Sub red Producción
Ilustración 8. Sub Red Producción
A la sub red de producción se le cambiara el switch que poseía, por uno de alta
productividad, que nos de la capacidad de administrar los puertos.
Esta red poseerá un pool de impresoras de red para esta sola área, esto disminuirá
el tráfico de impresión al igual que el personal ajeno al área de administración.
Así mismo se instalara un servidor de archivos propio de esta área, en el cual se
encontrara solo archivos de dicha área.
48
Las direcciones de ip, Gateway broadcast y dns, serán asignados por el router
Mikrotik mediante DHCP. El rango de direcciones será desde 192.168.12.5/24 al
192.168.12.254/24. Se decidió dejar las direcciones entre el rango 192.168.12.2/24
al 192.168.12.4/24 fuera de este rango en caso de que se quiera instalar algún otro
dispositivo o servidor para esta área.
La red de ventas será conectada a través del switch al router mediante un
backbone de 1Gbit Ethernet. El cual será limitado mediante teoría de colas simples
a 350M/bits de subida y 400M/bits de bajada.
Para esta sub red queda prohibido el trafico P2P.
4.6. Red Servidores
Ilustración 9. Sub Red Servidores
49
A la sub-red de Servidores se decidió cambiarle el switch que poseía para utilizar
un switch de alta productividad, que nos brinde la posibilidad de administrar puertos.
Nuestra sub-red poseerá un pool de impresoras de red para esta sola área. Esto
disminuirá el tráfico de impresión al igual que el tráfico de personal ajeno a
Administración.
Las direcciones ip, Gateway, Broadcast y dns, serán asignados por el router mikrotik
mediante DHCP. El Rango de direcciones será desde 192.168.1.5/24 al
192.168.1.254/24. Los números de ip asignados a los servidores serán asignado
mediante la dirección MAC de cada uno.
Así mismo se le instalará un servidor de archivos propio de administración en el cual
se encontrará exclusivamente los archivos de dicha área.
El servidor de SNMP se utilizara para la monitorización de la red.
50
5. Análisis del nivel de seguridad de la información de la red de Surtitodo
S.A. y Configuración del router Mikrotik RouterBoard 751 g
La seguridad de la información es de gran importancia actualmente y es un
concepto que muchas empresas no han tenido en cuenta, ya sea porque
desconocen las amenazas a las que se encuentran expuestas día a día o las
utilidades que traería este nuevo gasto. Debido a la ignorancia que se tiene
referente a estos temas, la inversión que hacen muchas compañías para ayudar a
minimizar el grado de vulnerabilidad dentro de una red es muy baja, quedando
insegura la información.
Usualmente las empresas toman conciencia de la seguridad informática tras recibir
un ataque que se ve reflejado en la pérdida, robo, alteración o secuestro de la
información.
Teniendo en cuenta lo anterior, la empresa se vio obligada a buscar medidas que
ayudaran a mitigar cualquier amenaza que pudiese afectar la integridad de la
información manejada por parte de ésta.
La empresa Surtitodo S.A., inició sus labores a mediados del año 1994 con sólo
cuatro computadores, sin contar con una arquitectura de red apropiada. Con el
pasar de los años se han ido agregando los dispositivos necesarios para su
operatividad dentro de una red local y salida a Internet, todo esto sin tener en
cuenta aspectos y políticas de seguridad que protejan la información que la
empresa maneja y almacena.
En este capítulo se hará un estudio de las vulnerabilidades presentes en la
infraestructura de red con la que cuenta actualmente ANPRA, mencionando sus
posibles soluciones. El estudio se divide en tres fases, en primer lugar se hará un
estudio de manera interna, mencionando las debilidades que tiene la red LAN de
la empresa, posteriormente, se hará un análisis del servidor de la empresa y los
servicios con los que cuenta ANPRA, y finalmente se hará un estudio de manera
externa al tráfico que genera y recibe la red para encontrar sí existe o no anomalías
que afecten la integridad de la información.
51
5.2. Debilidades de la red Surtitodo S.A.
El proyecto de proteger una red no garantiza un 100% de defensa frente a los
diversos ataques que puedan ser realizados hacia la compañía, por esta razón, ni
la cantidad de dinero que se invierta en seguridad, ni el tiempo que los ingenieros
gasten en supervisar la red podrán asegurarle a los administradores que la empresa
se encuentre totalmente protegida.
Actualmente se espera que las personas vinculadas a una empresa conozcan o
tengan conocimientos mínimos acerca de la seguridad informática, teniendo en
cuenta que uno de los activos importante de una compañía es la información. El
hecho de no tener claro el valor que tiene la información dentro de la organización,
es un factor que puede influir en la ocurrencia de los siguientes inconvenientes:
Alteración de los datos manejados dentro de la compañía.
Pérdida de información.
Divulgación de información personal.
Documentación de diseños y productos propios de la fábrica haciendo que
lleguen a manos equivocadas tanto de personas internas como de personas
externas a la compañía.
Todo lo anterior, sin tener en cuenta los problemas de seguridad a los que se
enfrenta la información que viaje a través de Internet. El desarrollo del estudio del
nivel de seguridad interno de la infraestructura de Surtitodo, se hará mediante un
análisis de las distintas vulnerabilidades dentro de la red, entrevistas con el personal
que labora en la compañía y desarrollo de actividades junto al ingeniero de
sistemas. Todo esto permitirá crear estrategias para concienciar a los empleados y
al mismo tiempo buscar soluciones a los diferentes inconvenientes que se puedan
encontrar.
Amenazas Internas
52
Es importante tener en cuenta que el éxito de una red segura empieza desde los
empleados de la misma compañía, por esta razón se hace de vital importancia
estudiar varios aspectos dentro de la empresa que podrían convertirla en vulnerable.
Se encontraron deficiencias en:
a. Hardening a base de datos.
b. Acceso dentro de la red LAN (libre acceso dentro de la red).
c. Sesiones de usuario (se encuentran sin clave).
d. Entrenamiento del personal (no existe concienciación).
e. Archivos y directorios (no hay restricción de uso).
f. Seguridad física.
g. Passwords (claves débiles).
h. Red Interna (el Internet inalámbrico permite que los visitantes utilicen la misma
i. subred de la empresa). j. Access Point (seguridad con WEP).
a. Hardening a Base de Datos
Hardening es una acción que se compone de varias actividades o un conjunto
de buenas prácticas y procedimientos tanto físicos como lógicos, que son
llevados a cabo por el administrador de un sistema operativo para reforzar y
aumentar el nivel de seguridad de los equipos y aplicaciones de una
compañía, con el propósito de hacerle más difícil la materialización de un
ataque de una persona con malas intenciones. Es importante recordar que
esta es una de las operaciones que se deben tener en cuenta para llegar a
un buen punto de seguridad dentro de la empresa; hacer Hardening no quiere
decir, que el sistema será 100% invulnerable a ataques, pero si ayudará a
minimizar los ataques a los que quedan expuestas día a día las bases de
datos.
Procedimientos Físicos
La seguridad de los datos comienza desde la protección de los
dispositivos que contienen la información vital de la empresa. Se podrá
crear una excelente seguridad lógica para proteger los datos sensibles de
la compañía, pero si no se tiene en cuenta un buen mecanismo o
procedimiento de seguridad física, la información estará vulnerable dentro
de las mismas instalaciones, debido a que personal no autorizado tendrá
53
acceso a aquellos equipos de almacenamiento de bases de datos donde
podrá modificar, extraer y destruir información almacenada, y así como
también por los daños que este personal podría hacer de manera física
como: desconexión, robo, destrucción o manipulación de los servidores.
Surtitodo, no contaba con un procedimiento o mecanismo de protección
física de los dispositivos de almacenamiento de información, dejando a la
empresa expuesta a cualquier manipulación por parte de personal no
autorizado dentro y fuera de la compañía.
Para una buena práctica de Hardening de seguridad física es
recomendable que se tomen las siguientes medidas:
Ubicar los servidores en salas cerradas donde sea de carácter
obligatorio registrar la entrada y salida de cualquier persona
Desconectar de Internet la red de Surtitodo mientras se esté instalando el sistema operativo al servidor de la empresa debido a que toda la red queda expuesta sin ninguna protección alguna.
No dejar las llaves puestas en las carcasas de los servidores.
Definir contraseñas del sistema operativo.
Definir el orden de inicio de la BIOS para que el servidor no pueda ser iniciado desde un Diskette o CD.
Eliminar unidades que no se necesiten en el servidor (unidad de
diskette, unidad de CD, etc.).
Procedimientos Lógicos
La seguridad lógica consiste en establecer medidas o procedimientos que
protejan el acceso a la información, de tal manera que solo sea manipulada
por personal autorizado. Después de descubrir las deficiencias con las que
cuenta la seguridad física dentro de Surtitodo, es importante tener en cuenta
que en general los daños sufridos en el interior de la empresa a nivel de
software o datos, son los determinantes en cuanto a la dinámica de la
54
empresa, debido a que afectan directamente la operación y el desempeño en
cuanto a productividad dentro de la organización.
Estos son algunos de los aspectos en los que se encontraron deficiencias y
las posibles soluciones que se plantean para las diversas vulnerabilidades:
1) Seguridad en la instalación del Sistema Operativo: Las carpetas que
manejen información vital para la empresa deben estar en un disco
diferente al disco donde se encuentre el sistema operativo instalado,
debido a que si existe alguna falla en el sistema la integridad de los datos
no se verá comprometida.
2) Contraseñas Fuertes: La contraseña establecida en el servidor de la
empresa, debe tener un alto grado de complejidad ya que en muchas
ocasiones es utilizado el ataque por fuerza bruta, el cual a pesar de ser
un mecanismo lento que deja rastros, es muy efectivo frente a
contraseñas débiles. Es necesario establecer políticas de bloqueo de
sesión por intentos fallidos y al mismo tiempo crear periodos de caducidad
permitiendo así, una renovación en la clave cada cierto tiempo.
Nota: Se pudo tener acceso a la cuenta del servidor utilizando como
usuario: Administrador, y como contraseña: admin.
3) Instalación, Configuración y Actualización de Software de seguridad:
antivirus, anti-spyware, anti-spam, Firewall, entre otros.
4) Permisos para la utilización de programas: la única restricción que existe
por medio de contraseña es el acceso a la base de datos, por lo que es
necesario la creación de perfiles dentro de la empresa para permitir o
restringir el acceso de ciertos programas o aplicaciones, limitando el libre
acceso a la información del sistema.
5) Controles de acceso externos e internos: se debe crear un control de
permisos y puertos para prevenir la instalación de tecnologías tanto
software como hardware que puedan comprometer la seguridad y el
rendimiento de la red.
b. Acceso dentro de la red LAN
55
La empresa Surtitodo cuenta con que trabaja en una única red para todas sus
dependencias (Gerencia, Logística y Ventas) y clientes que llegan a la
compañía, sin ningún tipo de control, generando así varios problemas y
amenazas hacia la red interna de la compañía como:
Tráfico indeseado en el canal de Internet utilizado por la empresa debido a que ninguna estación de trabajo tiene limitación para hacer uso del ancho de banda.
Acceso por parte de usuarios malintencionados a información que no corresponde a su dependencia (nómina, base de datos, lista de precios, lista de clientes, información sensible de la empresa, etc.).
Manipulación de la información con un propósito específico para propio beneficio (desvío de Fondos, alteración en la nómina etc.).
Comprometer toda la red al introducir un virus de forma accidental o de manera premeditada por parte de los usuarios.
Captura y monitoreo de todo el tráfico de la red utilizando programas de
Sniffer (Ethereal, Wireshark, TCP-dump, Snort, etc.) para encontrar
deficiencias en la red que puedan ser aprovechadas en un ataque.
Es importante no subestimar las capacidades de los empleados que tengan
acceso a la red, pues se desconoce el grado de conocimiento que ellos
pueden tener y del que pueden valerse para realizar un ataque contra la
empresa. Dada esta situación, es difícil para un administrador de red pensar
que los empleados puedan realizar ataques contra la empresa donde
laboran, sin embargo, es necesario tener en cuenta este tipo de aspectos
para realizar un buen trabajo de seguridad que ayude en caso de sufrir
cualquier problema de esta índole.
La configuración del router Mikrotik ayudara a reducir en gran magnitud los
inconvenientes que se puedan generar debido a la ausencia de control
interno y respaldar el tema de la confidencialidad de la información. Esto
permite mejorar el aprovechamiento del ancho de banda de la red haciendo
56
la conectividad más eficiente, permitirá o prohibirá el tráfico según las
condiciones establecidas dentro de la red Surtitodo.
c. Seguridad en sesiones de usuario
Se refiere al proceso de administrar en forma eficiente todas las cuentas de
usuarios que existan o que se encuentren habilitadas dentro de la empresa.
Para incrementar la seguridad de las cuentas de usuario se deben tomar ciertas
medidas y modificar ciertos aspectos como:
Las cuentas de invitado deben ser eliminadas de todos los computadores,
así como también todas aquellas cuentas que fueron creadas para propósitos
especiales o que pertenecen a empleados que ya no laboran dentro de la
empresa. Además, la cuenta de administrador debe ser renombrada para
evitar ataques directos a ella.
Las cuentas administrativas deben tener una copia de seguridad para evitar
la pérdida de información en caso de algún problema inesperado con la
cuenta real.
Se debe crear un conjunto de procedimientos referentes a la administración
de archivos, correos y acceso de personal que ya no labora en la empresa.
Se deben asignar permisos de manera obligatoria a los nuevos empleados
que operen dentro de la red Surtitodo, que sean supervisados por el
respectivo personal encargado para evitar la asignación de recursos a
personas que no deben tener acceso a ella.
Dar carácter obligatorio al uso de una contraseña en cada una de las
sesiones y establecer políticas que estén relacionadas con la seguridad en
el manejo de las contraseñas de las sesiones, estableciendo el periodo de
caducidad, tamaño de la contraseña, posibilidad de que esta no sea repetida.
57
d. Concientización y entrenamiento del personal
La parte más insegura de cualquier red interna es el usuario, por lo cual es
necesario adoptar procedimientos y prácticas para educar a la persona teniendo
en cuenta aspectos como:
Establecer buenos hábitos y prácticas de seguridad para disminuir el riesgo
de ser vulnerables ya sea contra ataques a la red, virus, códigos maliciosos,
spam, etc., debido a que no es suficiente diseñar un esquema de seguridad
si no se administra correctamente día a día.
Realizar un esquema sencillo, viable y efectivo que supla las necesidades
principales de la compañía, donde se establezcan buenas prácticas y se
documenten los procedimientos relacionados con la seguridad adoptando
mecanismos para comprobar que los empleados los sigan, ya que si se tiene
un esquema de seguridad robusto y complejo que sobredimensione las
necesidades principales de la empresa, podría ser que los empleados eviten
seguirlo de forma prudente.
Se debe entrenar a todo el personal de la empresa enfocándose en las
nuevas técnicas de seguridad adoptadas, para facilitar la unión entre los
trabajadores y el intercambio de sus destrezas, conocimientos, apoyo y
responsabilidad, que mejore la calidad de trabajo maximizando de esta
manera la utilización de las capacidades de los recursos humanos de
Surtitodo.
Se debe acondicionar los puestos de trabajo en que les proporciona a los
empleados la información, el conocimiento y los recursos requeridos, para
desempeñarse óptimamente en sus labores e inculcarles a cada uno la idea
de que es dueño de su propio trabajo.
58
5.3. ANÁLISIS DE LA SEGURIDAD IMPLEMENTADA POR PARTE DEL
ROUTERBOARD MIKROTIK 751G EN SURTITODO S.A.
Uno de los aspectos más importantes en este proyecto, abarca el estudio del nivel
de seguridad ofrecido por el Mikrotik RouterBoard 751G, y de esta forma encontrar
las vulnerabilidades de la empresa a partir de la seguridad implementada en la
infraestructura de red. El análisis se hizo estudiando las características y
mecanismos que la empresa utiliza para manejar la información sensible de la
organización.
Surtitodo cuenta con una infraestructura de red bastante importante ya que la
empresa paso de 250 empleados a 500 en los últimos 4 años debido a su
crecimiento exponencial, por lo que cuenta con 17 sucursales a nivel nacional.
Actualmente la protección está basada en la tecnología Mikrotik Router OS. Las
políticas que maneja el mikrotik son las siguientes:
Mikrotik RouterBoard 751g
La empresa Surtitodo S.A., como mecanismo de protección cuenta con el dispositivo
Mikrotik RouterBoard 751g, configurado de la siguiente manera:
o Ingreso al Mikrotik
Hay varias maneras para acceder a la administración del Mikrotik sin haber
configurado nada en un principio.
La primera es directamente desde la consola si se hizo alguna instalación, otro
método es utilizando una consola Telnet a través del el puerto serie o Ethernet por
MAC o ip, sino mediante la utilización del software winbox, el cual lo brinda los
desarrolladores de Mikrotik.
Debido a la flexibilidad, rapidez y ventajas que presenta la utilización de winbox
respecto a los otros métodos, éste será la manera con la cual realizaremos la
configuración de la red.
59
Ilustración 10. Ingreso al Mikrotik
En esta ventana nos deja introducir las direcciones Mac o ip del router Mikrotik al
cual estamos conectados. Hacemos clic en (…) esto hará que el software nos
devuelva las direcciones Mac de las interfases de red que posean un router Mikrotik
instalado. Seleccionamos la interfase y luego utilizaremos de Login: admin y como
Password: (nada). Al finalizar esta carga de datos hacemos clic en Connect.
Luego cuando el software se conecta al Mikrotik automáticamente empieza a
descargar los plugins instalados en el Mikrotik para poder administrarlos
remotamente.
Ilustración 11. Descarga de Plugins
60
Al finalizar la descarga de los plugins nos aparece la pantalla de configuración del
Mikrotik. En la cual a mano izquierda se encuentra el menú de configuración de
cada uno de los módulos instalados.
Ilustración 12. Menú de Configuración
En la barra superior del software nos encontramos con la barra de herramienta. En
la misma sobre mano izquierda posee las opciones de undo y redo. Sobre mano
derecha podemos encontrar dos iconos, el primero muestra la utilización del
Mikrotik y el segundo nos indica si la conexión que estamos realizando es segura
o no.
61
o Definición y configuración de las interfases.
Nos dirigimos al menú y elegimos INTERFASES. A continuación nos aparece la lista
de interfases que posee nuestro sistema. Hacemos doble clics sobre las interfases
y les vamos cambiando el nombre asignándole los nombres correspondientes a
cada una. En nuestro caso utilizaremos:
UNE para nuestra conexión dedicada con IP fijo con el otro proveedor.
Ventas: Será la interfase exclusiva de ventas.
Administración: Será la interfase exclusiva de Administración.
Producción: Será la interfase exclusiva de Producción.
Servers: Será la interfase para la granja de servidores.
Ilustración 13. Interfases
62
Interfase: UNE
Pestaña GENERAL:
o Name: UNE
o MTU: 1500
o ARP: Enable
Pestaña Ethernet:
100Mbps: Seleccionado
Auto negotiation: seleccionado
Full duplex: seleccionado.
Pestaña Status:
En esta ventana podemos ver el estatus la interfase actual.
Pestaña Traffic:
Vemos la gráfica de kbps enviados y recibidos por dicha interfase.
Vemos la gráfica de p/s enviados y recibidos por la interfase.
Interfase: Administración
Pestaña General:
o Name: Administracion
o MTU: 1500
o ARP: Enable
63
Ilustración 14. Interfase Administración
Interfase: Hotspot
Pestaña General:
o Name: Hotspot
o MTU: 1500
o ARP: Enable
Ilustración 15. Interfase hotspot
64
Interfase: Ventas
Pestaña General:
o Name: Ventas
o MTU: 1500
o ARP: Enable
Ilustración 16. Interfase Ventas
Interfase: Producción
1) Pestaña General:
o Name: Producción
o MTU: 1500
o ARP: Enable
65
Ilustración 17. Interfase Producción
o Definición de Vlans
Debido a las características departamentales de la firma debemos realizar 3 Vlans
para separar las áreas de
Administración.
Producción
Ventas
Para configurar las vlans debemos ir al menú interfases, se abrirá la ventana de
configuración de interfases. Hacemos clic sobre el icono (+) y se nos desplegara un
menú, elegimos la opción Vlan y entramos a la ventana de configuración de las
mismas.
Vlan Ventas
Pestaña General
66
o Name: Vlan_Ventas
o Type: Vlan
o MTU: 1500
o MAC: 00:0C29:76:88:25
o ARP: Enable
o Vlan ID: 1
o Interfase: Ventas
Ilustración 18. Vlan Ventas
Vlan Administración.
Pestaña General
o Name: Vlan_Administracion
o Type: Vlan
o MTU: 1500
o MAC: 00:0C29:76:88:25
o ARP: Enable
o Vlan ID: 1
o Interfase: Administracion
67
Ilustración 19. Vlan Administración
Vlan Producción.
Pestaña General
o Name: Vlan_Produccion
o Type: Vlan
o MTU: 1500
o MAC: 00:0C29:76:88:25
o ARP: Enable
o Vlan ID: 1
o Interfase: Producción
69
o Asignación de direcciones IP a las interfases
Con los nombres asignados a las interfases, debemos asignarle el IP a las mismas.
Para esto debemos ir al menú IP/Addresses
Interfase Administración:
Address: 192.168.10.1/24
Network: 192.168.10.0
Broadcast: 192.168.10.255
Interfase: Administración
Ilustración 22. Dirección Ip Administración
Interfase Ventas:
Address: 192.168.11.1/24
Network: 192.168.11.0
Broadcast: 192.168.11.255
Interfase: Ventas
70
Ilustración 23. Dirección Ip Ventas
Interfase Producción:
Address: 192.168.12.1/24
Network: 192.168.12.0
Broadcast: 192.168.12.255
Interfase: Producción
Ilustración 24. Dirección Ip Producción
71
Interfase UNE
Address: 192.168.0.1/24
Network: 192.168.0.0
Broadcast: 192.168.0.255
Interfase: UNE
Ilustración 25. Dirección Ip Une
La configuración quedo de la siguiente forma:
Ilustración 26. Lista de Direcciones
o Configuración de los Pools de Direcciones IP
Para crear los pool’s de direcciones ip’s que van a poseer los grupos de
administración, ventas, producción, y servers vamos al menú IP / POOL, donde
hacemos clic en el icono (+), en esta ventana creamos cada pool para cada uno de
los grupos, así:
72
Nombre: Pool Servers.
Rango ip: 192.168.1.5 al 192.168.1.254
Ilustración 27. Pool Servidores
Nombre: Pool Ventas.
Rango ip: 192.168.11.5 al 192.168.11.254
Ilustración 28. Pool Ventas
Nombre: Pool Produccion.
Rango ip: 192.168.12.5 al 192.168.12.254
73
Ilustración 29. Pool Produccion
Nombre: Pool Produccion.
Rango ip: 192.168.12.5 al 192.168.12.254
Ilustración 30. Pool Administración
Se ha elegido comenzar todos los rangos a partir de la ip x.x.x.5 para reservar
números ip en caso de instalar algún tipo de dispositivo en cada grupo.
74
Ilustración 31. Lista Pool Direcciones
5.3. Nat Masquerade Para Todas Las Redes
Para realizar el nat trasparente entre todas las redes debemos ir al menú
IP/FIREWALL, en esta ventana vamos a la pestaña NAT y hacemos clic sobre el
icono (+), en la nueva ventana de configuración para políticas NAT y la configuramos
de la siguiente manera:
Pestaña General
Chan: srcnat
Ilustración 32. Net masquerade General
Pestaña Action:
Action: masquerade
75
Ilustración 33. Net masquerade Action
o Configuración del Servidor DHCP
A continuación subiremos el servidor DHCP, para esto debemos ir al menú IP/DHCP
server.
En la nueva ventana hacemos clic en el icono (+) y creamos los servidores Dhcp
que necesitemos para las áreas ya creadas.
DHCP producción:
Nombre: DHCP Produccion
Interfase: Produccion
Adress Pool: Pool Produccion
76
Ilustración 34. DHCP Producción
DHCP Administración:
Nombre: DHCP Administración
Interfase: Administración
Address Pool: Pool Administración
77
Ilustración 35. DHCP Administración
La configuración para las demás áreas es similar, solo cambia el nombre de las
áreas
DHCP Ventas:
Nombre: DHCP Ventas.
Interfase: Ventas.
Addres Pool: Pool ventas.
78
Ilustración 36. DHCP Ventas
Una vez los servidores Dhcp estén configurados, hay que configurar las redes, en
la ventana DHCP Server hacemos clic en la pestaña Network y luego en el icono
(+) y subimos los datos de la red.
Ilustración 37. DHCP Network
Red Servers:
Address: 192.168.x.x/24
Gateway: 192.168.x.x
Dns Server: 190.168.x.x
79
Ilustración 38. DHCP Red Servers
Red Administración:
Address: 192.168.x.x/24
Gateway: 192.168.x.x
Dns Server: 190.168.x.x
Ilustración 39. DHCP Red Administración
Red Ventas:
Address: 192.168.x.x/24
80
Gateway: 192.168.x.x
Dns Server: 190.168.x.x
Ilustración 40. DHCP Red Ventas
Red Producción:
Address: 192.168.x.x/24
Gateway: 192.168.x.x
Dns Server: 190.168.x.x
Ilustración 41. DHCP Red Producción
81
o Servidor - Cliente PPTP
Configuración Servidor PTP:
Debido a que tenemos oficinas de ventas fuera de Medellín, surgió la necesidad de
realizar una VPN entre Medellín y Pereira.
Debemos ir al menú PPP, se nos abrirá la ventana de configuración de conexiones
PPPx. Luego hacemos clic en la pestaña PROFILES. A continuación hacemos clic
en icono (+). Con la nueva ventana de profiles abierta la configuramos de la
siguiente manera:
Name: Profile_VPN
Local Address: Pool_Ventas
Remote Address: Pool_Ventas
Use compresión: Default
Use Vj Compression: Default
User Encryption: Yes
Change TCP MMS: Yes
Ilustración 42. Perfil VPN
82
Con el profile ya generado para VPN debemos crear el usuario que utilizara dicho
profile. Para ello vamos al menú PPP, hacemos clic en la pestaña SECRESTS.
Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de la
siguiente manera:
Name: vpn
Password: vpn
Service: pptp
Profile: Profile_VPN
Ilustración 43. Perfil VPN
Finalmente debemos subir el servidor PPTP. Para hacer esto nos dirigimos al menú
PPP, en la pestaña Interfase hacemos clic sobre el botón PPTP Server y
configuramos de la siguiente forma:
Enable (tildado)
Max MTU: 1460
83
Max MRU: 1460
Keepalive Timeout: 30
Default Profile: Profile_VPN
Mschap1 y mschap2 (tildados)
Ilustración 44. Interface VPN
o Configuración Cliente PPTP
Se utilizara la conexión vpn del Windows 8.1 para el ejemplo.
Vamos a panel de control, Centro de Redes y Recursos Compartidos.
84
Ilustración 45. Cliente PPTP
Vamos a Configurar una nueva conexión o red
Ilustración 46. Configuración Nueva Red
En la nueva ventana elegimos conectarse a un área de trabajo, configurar una
conexión de acceso telefónico o VPN a su área de trabajo y damos clic en el boton
siguiente.
85
Ilustración 47. Conectarse a un área de trabajo
En la nueva ventana seleccionamos usar mi conexión a internet VPN
86
Ilustración 48. Usar mi conexión VPN
Damos la dirección ip, y el nombre con que queremos nombrar la conexión y damos
clic en el botón Crear.
Ilustración 49. Dirección de conexión
Una vez creada la conexión damos clic en acceso a internet y después en
Conexiones, Surtitodo.
87
Ilustración 50. Elegir conexión
Una vez damos clic en la conexión VPN, nos solicitara el nombre de usuario y la
clave de conexión, y hacemos clic en Aceptar
Ilustración 51. Usuario y contraseña VPN
Si todos los datos están bien nos mostrara la conexión de esta manera:
88
Ilustración 52. Conexión VPN conectado
o Control de ancho de banda
Asignación de ancho de banda por sub-red
Debido al mal uso de los anchos de banda por parte de los usuarios se decidió
agregarle políticas al router para poder controlar dicho problema.
Para los distintos grupos de usuarios se asignara el ancho de banda de la siguiente
manera:
CONTROL DE ANCHO DE BANDA POR AREA
AREA SUBIDA
M/Bits
BAJADA
M/Bits
Administración 250 300
Producción 400 300
Ventas 350 400
Tabla 2. Control de Ancho de Banda
Para esto debemos ir al menú QUEUES, allí se abre una ventana de configuración:
89
Ilustración 53. Menú Colas
Hacemos clic en el icono (+) de la pestaña simple QUEUES, se abre una nueva
pestaña para configurar la nueva cola.
Cola Administración:
Pestaña general:
Name: Queue_Administracion
Target_Address: 192.168.X.X/24
Max Limit: 250M (upload), 300 M (download)
Ilustración 54. Cola Administración
90
Cola Ventas:
Pestaña general:
Name: Queue_Ventas
Target_Address: 192.168.X.X/24
Max Limit: 350M (upload), 400 M (download)
Ilustración 55. Cola Ventas
La configuración de las colas quedo de la siguiente manera:
Ilustración 56. Lista Cola
91
o Limitación del trafico P2P
Por políticas de la Gerencia la única área autorizada que puede utilizar el p2p es el
área de administración, por lo que debemos modelar la cola de tráfico para que no
consuma todo el ancho de banda.
Debemos ir al menú IP / FIREWALL, una vez ahí hacemos clic sobre la pestaña
mangle y a continuación sobre el botón (+)
En esta ventana configuramos lo siguiente:
Chain: prerouting
P2P: all-p2p
Ilustración 57. Bloqueo P2P
Después hacemos clic en la pestaña Action, allí la configuración es la siguiente:
Action: mark_connection
New Connection Mark: tipeamos conexión_p2p
Passthrough (tildado)
92
Ilustración 58. Bloqueo P2P-2
Después volvemos a la ventana mangle y hacemos clic nuevamente en el botón (+)
para crear una nueva regla. Lo configuramos así:
Chain: prerouting
Connection Mark: conexión_p2p (la que ya habíamos creado)
Ilustración 59. Mangle Rule
Enseguida vamos a la pestaña Action, en la misma configuraremos de esta forma:
Action: Mark Packet
93
New Packet Mark: tecleamos p2p
Ilustración 60. Nueva Mangle Rule
Una vez hecho esto creamos las políticas para marcar los paquetes p2p y así
bloquearlos en las otras redes:
Vamos al menú IP/FIREWALL, hacemos clic en la pestaña mangle y luego en (+)
En la nueva ventana nos situamos en la pestaña General y configuramos de la
siguiente manera:
Chaing: prerouting
Connection Mark: conexión_p2p
Ilustración 61. Mangle Rule Conexión P2P
94
Luego vamos a la pestaña Action y la configuramos así:
Action: mark packet
Packet mark: digitamos p2p_bloqueado
Pass Though: tildado
Ilustración 62. Mangle P2P Bloqueado
Así quedan configuradas las nuevas reglas:
Ilustración 63. Lista bloqueo P2P
Nos dirigimos la menú QUEUES, en la ventana que aparece, crearemos cuatro
nuevas colas para la política p2p. Hacemos clic sobre pestaña queue tree. Luego
en el botón (+).
95
La configuración de la cola de entrada es la siguiente:
Name: Qeue_p2p_in
Parent: global-in
Packet Mark: p2p
Queue Type: default
Priority: 8
Max Limit: 256k
Ilustración 64. Cola P2P In
Hacemos clic en el botón (+) y generamos una nueva cola
Configuramos la cola de salida así:
Name: Queue_p2p_out
Parent: global-out
Packet Mark: p2p
Queue type: default
Priority: 8
Max Limit: 256k
96
Ilustración 65. Cola P2P Salida
o Firewall
Bloqueo de los P2P para redes de ventas y producción
Debido a las políticas implementadas por gerencia solamente en el área de
administración se podrá utilizar los P2P. Para ello la configuración para bloquear
dicho tráfico es la siguiente.
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el
icono (+). A continuación configuramos de la siguiente manera:
Pestaña general:
• Chain: forward
• P2P: all-p2p
• Out. Interface: Producción
97
Ilustración 66. Bloqueo P2P Producción
Pestaña Action:
• Action: drop
Ilustración 67. Action: Drop
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el
icono (+). A continuación configuramos de la siguiente manera:
Pestaña general:
• Chain: forward
• P2P: all-p2p
• Out. Interface: Ventas
98
Ilustración 68. Bloqueo P2P Ventas
Pestaña Action:
• Action: drop
Ilustración 69. Firewall Rule Drop
o Bloqueo del cliente MSN Live Messenger
Ya que los empleados de la empresa suelen perder demasiado tiempo utilizando el
MSN Live Messenger, la firma decidió bloquear dicho programa. Para ello se
establecieron las siguientes políticas de firewall.
99
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el
icono (+). A continuación configuramos de la siguiente manera:
Primera política de firewall:
Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 1863
Ilustración 70. Bloqueo Messenger Puerto 1863
Pestaña General:
o Action: Drop
Ilustración 71. Ilustración 101. Bloqueo Messenger Puerto 1863 - 2
100
Segunda política de Firewall:
Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 5190
Ilustración 72. Bloqueo Messenger Puerto 5190
Pestaña Action
o Action: Drop
Ilustración 73. Bloqueo Messenger Puerto 5190 - 2
101
Tercera política de Firewall:
Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 6901
Ilustración 74. Bloqueo Messenger Puerto 6901
Pestaña Action:
o Action: Drop
Ilustración 75. Bloqueo Messenger Puerto 6901 - 2
Cuarta política de Firewall:
Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 6891-6900
102
Ilustración 76. Bloqueo Messenger Puerto 6891-6900
Pestaña Action:
o Action: Drop
Ilustración 77. Bloqueo Messenger Puerto 6891-6900 - 2
Quinta política de firewall:
Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Address: X.X.X.X
103
Ilustración 78. Firewall Rule
Pestaña Action:
o Action: Drop
Ilustración 79. Firewall Rule Drop
Finalizada dicha configuración ningún usuario podrá conectarse al MSN Live
Messenger. Para que el bloqueo sea completo debemos utilizar una política en el
Web- Proxy que instalaremos más adelante.
o Redireccionamiento de puertos
A continuación debemos redireccionar puertos para que el tráfico que se genere
hacia adentro de la red obtenga las respuestas deseadas. Por ejemplo que nuestro
servidor web muestre las páginas correspondientes, que el servidor de SMTP y
POP3 puedan enviar y recibir mails etc.
104
Puerto 80 WEB
Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip:
192.168.X.X debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.
Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana
la configuramos de la siguiente manera.
Pestaña General:
Chain:dstnat
Dst. Address: X.X.X.X
Protocol: 6 (tcp)
Dst. Port: 80
Ilustración 80. Redireccionar Puerto 80
Pestaña Action:
Action: dst-nat
To Addresses: X.X.X.X
To Port: 80
105
Ilustración 81. Redireccionar Puerto 80 - 2
Puerto 110 POP3
Para redireccionar el puerto 110 desde el exterior a nuestro servidor pop3 ip:
192.168.X.X debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.
Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana
la configuramos de la siguiente manera.
Pestaña General:
Chain: dstnat
Dst. Address: X.X.X.X
Protocol: 6 (tcp)
Dst. Port: 110
Ilustración 82. Redireccionar Puerto 110
106
Pestaña Action:
Action: dst-nat
To Addresses: 192.168.X.X
To Port: 110
Ilustración 83. Redireccionar Puerto 110 - 2
Puerto 25 SMTP
Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip:
192.168.1.2 debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.
Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana
la configuramos de la siguiente manera.
Pestaña General:
Chain:dstnat
o Dst. Address: X.X.X.X
o Protocol: 6 (tcp)
o Dst. Port: 25
107
Ilustración 84. Redireccionar Puerto25
Pestaña Action:
Action: dst-nat
o To Addresses: 192.168.X.X
o To Port: 25
Ilustración 85. Redireccionar Puerto25 - 2
Puerto 1723 PPTP
Para aceptar conexiones al puerto 1723 desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
108
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera.
La primera política es para aceptar el tráfico al puerto 1723 tcp
Pestaña General:
Chain: input
Protocol 6 (tcp)
Dst. Port: 1723
Ilustración 86. Redireccionar Puerto1723
Pestaña Action:
Action: accept
Ilustración 87. Redireccionar Puerto1723 - 2
109
La segunda política es para aceptar todo el tráfico al puerto 1723 UDP
Pestaña General:
Chain: input
Protocol 17 (udp)
Dst. Port: 1723
Ilustración 88. Firewall Rule Puerto 1723
Por ultimo aceptaremos todas las comunicaciones que estén establecidas.
Pestaña General:
Chain: input
Connection State: established
110
Ilustración 89. Pestaña General Conexión Establecida
Pestaña Action:
Action: accept
Ilustración 90. Pestaña Accion Accept
o Descartar conexiones inválidas
Para descartar las conexiones inválidas desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera:
111
Pestaña General:
Chain: input
Connection State: Invalid
Ilustración 91. Descartar conexiones inválidas
Pestaña Action:
Action: drop
Ilustración 92. Descartar conexiones inválidas - 2
o Aceptar conexiones establecidas
Para aceptar las conexiones establecidas desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
112
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera
Pestaña General:
Chain: input
Connection State: established
Ilustración 93. Aceptar Conexiones Establecidas
Pestaña Action:
Action: accept
Ilustración 94. Aceptar Conexiones Establecidas - 2
113
Acepta Trafico UDP
Para aceptar las conexiones UDP establecidas desde el exterior debemos realizar
los siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera
Pestaña General:
Chain: input
Protocol: 17 (udp)
Ilustración 95. Aceptar Trafico UDP
Pestaña Action:
Action: Accept
Ilustración 96. Aceptar Trafico UDP - 2
114
Acepta icmp Limitados
Para aceptar icmp limitados desde el exterior debemos realizar los siguientes pasos.
Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER RULES. Luego hacer
clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera
Pestaña General:
Chain: input
Protocol: 1 (icmp)
Ilustración 97. Acepta icmp Limitados
Pestaña Extra:
Rate: 50 / 5
Burst: 2
Ilustración 98. Acepta icmp Limitados - 2
115
Pestaña Action:
Action: accept
Ilustración 99. Acepta icmp Limitados - 3
Descarta excesivos icmp
Para descartar excesivos icmp desde el exterior debemos realizar los siguientes
pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER RULES. Luego
hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera
Pestaña General:
Chain: input
Protocol: 1 (icmp)
Ilustración 100. Descarta excesivos icmp
116
Pestaña Action:
Action: Drop
Ilustración 101. Descarta excesivos icmp - 2
Descarta el resto de las conexiones externas
Para descartar el resto de las conexiones desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
RULES. Luego hacer clic en el icono (+).
Pestaña General:
Chain: input
In. Interface: UNE.
117
Ilustración 102. Descarta el resto de las conexiones externas
Pestaña Action:
Action: drop
Ilustración 103. Descarta el resto de las conexiones externas - 2
118
El orden de las políticas se ven en la siguiente gráfica.
Ilustración 104. El orden de las políticas Firewall
5.4. Análisis del Mikrotik Router OS de la empresa Surtitodo S.A. por medio
del uso de herramientas de detección de vulnerabilidades
El uso de herramientas especializadas en el estudio y análisis de vulnerabilidades
presentes en una red, ayudan en la ardua tarea de reconocer las deficiencias con
las que cuenta la seguridad actual implementada en Surtitodo., a continuación se
hará un análisis al dispositivo Mikrotik de la empresa utilizando las siguientes
herramientas para encontrar que deficiencias podrían afectar su funcionamiento:
HERRAMIENTA VERSION FECHA INICIO FECHA FINAL
Shadow Security Scanner
7.131 01/12/2014 04/12/2014
Nessus 3.2.0 03/12/2014 03/12/2014
Nmap 4.60 03/12/2014 03/12/2014 Tabla 3. Herramientas Detección de Vulnerabilidades
119
1) Shadow Security Scanner (SSS)
Esta herramienta detecta por medio del escáner de puertos vulnerabilidades
presentes es servicios como: FTP, SSH, Telnet, SMTP, DNS, HTTP, POP3,
Windows Media Service, NetBIOS, SSL, TCP/IP y UDP. Realiza un análisis muy
detallado descubriendo las vulnerabilidades presentes y sus posibles soluciones.
Se realizó un análisis de vulnerabilidades al servidor de la empresa ANPRA,
mediante los diferentes tipos de escáner con los que cuenta la herramienta: Full
Scan, Only NetBIOS Scan, Only FTP Scan, Only HTTP Scan, SANS/FBI TOP 20
Scan y DoS Checker.
a. Análisis Total (Full Scan)
Por medio de esta opción se escanean todos los puertos (1 – 65355) y posibles
vulnerabilidades del servidor de la empresa ANPRA.
General
Dirección IP 190.29.XXX.XXX
Equipo HP Hayabusa
Inicio Escaneo 02/12/2014
02:15:00 p. m.
Final escaneo 03/12/2014
09:10:00 a. m.
Tabla 4. Shadow Security Scanner modo Full Scan
.
Reporte:
Ilustración 105. Resultado SSS modo Full Scan
120
El riesgo mostrado en la figura, hace referencia al protocolo simple de transferencia
de correo. La empresa Surtitodo, al momento de instalar el servidor de correo,
habilito el SMTP con su configuración por defecto, este reporte se hizo antes de la
configuración del SMTP en el mikrotik, una vez detectado el problema se corrigió.
b. Análisis de Solo NetBIOS (Only NetBIOS)
Se realiza el escaneo de las posibles vulnerabilidades presentes en el protocolo de
transferencia de archivos (FTP) del mikrotik a través del puerto 21.
General
Dirección 190.29.XXX.XXX
Nombre del Equipo HP Hayabusa
Inicio escaneo 04/12/2014
11:15:33 a. m.
Finalización escaneo
04/12/2014 11:16:05
a. m.
Vulnerabilidades Ninguna
Estadísticas
Maquina 190.29.XXX.XXX
Estado Escaneo 100%
Puertos Auditados 0
Puertos TCP 0 Tabla 5. Análisis SSS. Solo NetBIOS
No se encontró ninguna vulnerabilidad presente en la ejecución del escáner
NetBIOS del mikrotik.
c. Análisis de solo FTP (Only FTP Scan)
121
Se realiza el escaneo de las posibles vulnerabilidades presentes en el protocolo de
transferencia de archivos (FTP) del mikrotik a través del puerto 21.
Reporte:
General
Dirección 190.29.XXX.XXX
Nombre del Equipo HP Hayabusa
Inicio escaneo 04/12/2014 11:34:00 a. m.
Finalización escaneo 04/12/2014 11:35:01 a. m.
Puertos TCP 21 FTP
Vulnerabilidades Ninguna
Estadísticas
Maquina 190.29.XXX.XXX
Estado Escaneo 100%
Puertos Auditados 0
Puertos TCP 0
Puertos UDP 0 Tabla 6. Análisis de solo FTP (Only FTP Scan)
No se encontró vulnerabilidad presente en la ejecución del escáner Only FTP.
d. Análisis de solo HTTP (Only HTTP Scan)
Se realiza el análisis de las posibles vulnerabilidades presentes en el protocolo de
transferencia de Hipertexto (HTTP) del mikrotik de la empresa Surtitodo.
General Inicio escaneo 04/12/2014 11:41:13 a. m.
Finalización escaneo
04/12/2014 11:41:44 a. m.
Vulnerabilidades Ninguna
Estadísticas
Estado Escaneo 100%
Puertos Auditados 0
Puertos TCP 0
Puertos UDP 0 Tabla 7. Análisis de solo HTTP (Only HTTP Scan)
122
El análisis realizado con la herramienta Only http Scan no encontró ninguna
vulnerabilidad para ser explotada en el mikrotik de la empresa Surtitodo S.A.
e. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)
Se realiza el escaneo de las posibles vulnerabilidades presentes en el Top 20 de
SANS/FBI del computador 190.29.XXX.XXX correspondiente al Mikrotik de la
empresa Surtitodo.
Reporte:
General
Dirección 190.29.XXX.XXX
Nombre del Equipo HP Hayabusa
Inicio escaneo 04/12/2014 11:43:09 a. m.
Finalización escaneo 04/12/2014 11:44:01 a. m.
Puertos TCP 21 FTP
25 SMTP
Vulnerabilidades Ninguna
Estadísticas
Maquina 190.29.XXX.XXX
Estado Escaneo 100%
Puertos Auditados 0
Puertos TCP 2
Puertos UDP 0 Tabla 8. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)
El análisis realizado con la herramienta SANS/FBI Top 20 Scan encontró dos
puertos abiertos sin ninguna vulnerabilidad para ser explotada en el servidor que
corresponde a la empresa Surtitodo.
f. DoS Checker
Shadow Security Scanner cuenta con un módulo de pruebas de resistencia ante
ataques de denegación de servicios (DoS), solo es necesario ingresar a la función
DoS Checker para poder visualizar los iconos correspondientes a los servicios
disponibles que pueden ser atacados desde esta herramienta.
123
1. HTTP (Hypertext Transfer Protocol)
2. SMTP (Simple Mail Transfer Protocol)
3. FTP (File Transfer Protocol)
4. POP3 (Post Office Protocol)
5. IMAP (Internet Message Access Protocol)
Al momento de elegir uno de estos servicios es necesario ingresar la dirección IP
del computador a atacar, además de los datos como puerto, retardo y tamaño de
los paquetes, el programa comienza a atacar el servicio, indicando en la ventana el
estado del ataque (Running) demostrando que el servicio aún está corriendo sobre
el computador, si llegado el caso ocurre una denegación de servicios, en el estado
del ataque cambia a (Down) indicando que el servicio está abajo.
Ilustración 106. DoS Checker
Al realizarse el análisis Total (Full Scan) fueron detectados 2 puertos TCP
disponibles en el Mikrotik, el puerto 21 correspondiente a FTP (Protocolo de
Transferencia de archivos) y el puerto 25 correspondiente a SMTP (Protocolo
Simple de Transferencia de Correo), por tanto se realizaron pruebas con DoS
Checker a los puertos 21 y 25 durante un tiempo considerable obteniendo los
siguientes resultados:
124
Ilustración 107. f. DoS Checker Step 2
Se ejecutó el DoS Checker tratando de crear una denegación de servicios al servicio
SMTP, pero luego de casi 13 horas de envío de paquetes el estado del servidor está
funcionando, indicando que no hubo éxito en el intento de denegación de servicios.
Ilustración 108. DoS Checker Step 2
Se ejecutó el DoS Checker tratando de crear una denegación de servicios al servicio
FTP, pero luego de 2 horas de envío de paquetes el estado del servidor está
funcionando, indicando que no hubo éxito en el intento de denegación de servicios.
Nota: En los resultados obtenidos del estudio realizado anteriormente por cada una
de las herramientas y el análisis que se hace a partir de ellas, aportan como
conclusión que la red aparenta una seguridad aceptable. Se puede observar
claramente que cada una de ellas califica las deficiencias encontradas en (Alto,
Medio, Bajo o Ninguno), en el caso de la red correspondiente a la empresa
125
Surtitodo, solo fue encontrado un problema con riesgo bajo mediante la herramienta
Shadow Security Scanner, mientras que con las demás herramientas no se detectó
ningún tipo de vulnerabilidad.
2) Nessus
Es una herramienta que realiza un análisis de los puertos del computador objetivo,
contiene una gran lista de plugins los cuales se actualizan periódicamente para
realizar las pruebas de vulnerabilidad y buscar cuales puertos se encuentran
abiertos y cuáles de ellos pueden ser explotados.
Se realizó un análisis con la herramienta Nessus al Mikrotik de la empresa Surtitodo,
fueron analizados todos los puertos y se obtuvieron los siguientes resultados:
Reporte del analizador (Scan)
Escaneo
Computador 190.29.XXX.XXX
Inicio 04/12/2014 11:35:16
Fin 04/12/2014 11:53:25 Tiempo Total Ejecución 00:18:09
Descripción El servicio SMTP está Activo en el Puerto 25 este servicio es blanco de SPAM, como recomendación se debe desactivar si no se utiliza
Solución Deshabilitar el servicio si no se utiliza o filtrar el trafico entrante a este puerto
Tabla 9. Análisis herramienta Nessus.
El análisis realizado con la herramienta Nessus no encontró ninguna vulnerabilidad
para ser explotada en el Mikrotik que corresponde a la empresa Surtitodo.
3) Nmap
Además de obtener la lista de puertos abiertos al ejecutar Nmap, con este software
se puede obtener información adicional como: el nombre de DNS, listado de
sistemas operativos posibles y direcciones MAC.
126
Hora de ejecución del escaneo:
Hora de inicio: 15:53
Hora de finalización: 16:20
Tiempo de total de ejecución de la herramienta: 00:27
Análisis intensivo (Intense Scan)
Para realizar un análisis intensivo se utiliza el siguiente comando con las variables
Nmap –T Aggressive –A –v 190.29.XXX.XXX
-T, comando para elegir la plantilla de tiempo que se desea, se puede
especificar cualquiera de estas opciones paranoid, sneaky, polite, normal,
aggressive an insane, (sigiloso, amable, normal, agresivo y loco)
respectivamente.
Aggressive, esta plantilla de tiempo hace que los sondeos no sean
demorados se utiliza cuando la red es rápida y fiable, mientras que con el
uso de plantillas como paranoid se consume menos recursos del sistema y
ancho de banda, aumentando el tiempo de los sondeos, por otra parte si se
utiliza la plantilla insane se realiza un sondeo muy rápido, consumiendo gran
recurso del sistema y al mismo tiempo sacrificando fiabilidad por velocidad.
-A, Habilita la detección de SO (Sistema Operativo) y de versión del mismo.
-v, Muestra el número de la versión del sistema operativo.
127
Ilustración 109. Resultado Nmap
La herramienta detecta dos puertos TCP, el puerto 21 correspondiente al servicio
FTP se encuentra cerrado y el puerto 25 correspondiente al servicio SMTP se
encuentra abierto, SMTP y los clientes. El cual fue redireccionado y administrado
para ser controlado por el Mikrotik RouterBoard 751g.
128
6. ANÁLISIS DEL TRÁFICO DE RED SURTITODO S.A.
Para una buena comunicación entre las dos sedes es necesario que exista un ancho
de banda adecuado que permita el envío y recepción de paquetes sin ninguna
dificultad. Se estudiará el tráfico de red que tiene la empresa Surtitodo, analizando
el comportamiento de los paquetes, para establecer un informe que demuestre la
manera en que es aprovechado el ancho de banda y definir si cumple con las
necesidades que requiere la interconexión entre las dos sedes.
6.1. Análisis de Tráfico
El análisis que se presenta en este proyecto, corresponde al tráfico generado entre el servidor de SAP ubicado en la principal de Medellín y La sede de Pereira, la semana del 16 al 26 de diciembre de 2014 por parte de la red de Surtitodo del Almacén la 8va de Pereira, se utilizaron varias herramientas confiables para observar la desviación de valores que podría haber una de otra y obtener resultados aceptables. Se utilizó la herramienta BW meter por las gráficas que se obtienen fáciles de analizar de todo el tráfico.
Herramienta Versión Inicio Final
BW Meter 6.8.1 17/12/2014 26/12/2014 Tabla 10. Herramienta BW Meter 6.8.1.
El programa BW meter, muestra la cantidad de archivos que se enviaron (upload)
de color verde y la cantidad de archivos que se recibieron (Download) de color rojo,
entre las fechas correspondientes al 16 de diciembre hasta el 26 de diciembre de
2014.
129
Medición Realizada al servidor de Pereira.
Ilustración 110. Medición Realizada al servidor de Pereira
En la figura se puede apreciar lo siguiente:
La mayor transferencia se realizó el día 24 de diciembre 2014, con 5635,11
archivos de Descargados y 3414,28 de enviados, para un total de 9049,40 MB
datos de transferencia ese día.
La hora con mayor de transferencia de datos fue el día 24 de diciembre de 2014
de 1 a 2 de la tarde con un total de 830,14 Mb descargados y 621,09 Mb
enviados, para un total de 1451,23 MB ese día.
La menor transferencia se hizo el día 22 de diciembre a las 9 am con 0,14 Mb
descargados y 0,17 Mb enviados para un total de 0,31 Mb a esa hora.
El reporte de trafico semanal, la cantidad total de archivos descargados fue de
27013,89 Mb y enviados 7586,99 Mb, para un total de 34600,88 Mb transferidos
entre los días 17 y 26 de diciembre de 2014.
130
Medición realizada al Servidor de Medellín
Ilustración 111. Medición realizada al Servidor de Medellín
En la figura se puede apreciar lo siguiente:
La mayor transferencia se realizó el día 24 de diciembre 2014, con 107,1 Gb
archivos de Descargados y 85,4 Gb de enviados, para un total de 192,4 Gb datos
de transferencia ese día.
La hora con mayor de transferencia de datos fue el día 24 de diciembre de 2014
a las 2 pm con un total de 15,8 Gb descargados y 15,5 Gb enviados, para un
total de 31,3 Gb ese día.
La menor transferencia se hizo el día 22 de diciembre a las 8 am con 0,5 Gb
descargados y 0,0299 Gb enviados para un total de 0,5 Gb a esa hora.
El reporte de trafico semanal, la cantidad total de archivos descargados fue de
517,3 Gb y enviados 192,6 Gb, para un total de 709,9 Gb transferidos entre los
días 17 y 26 de diciembre de 2014.
131
7. ANÁLISIS DE LAS SOLUCIONES COMERCIALES Y MIKROTIK PARA
IMPLEMENTACIONES DE ROUTERS
7.1. ANALISIS DE LAS SOLUCIONES COMERCIALES.
El análisis que se hará a continuación está enfocado al aspecto económico y a las
características más importantes de los dispositivos de enrutamiento de 2 empresas
reconocidas como CISCO y 3COM.
CISCO Systems.
Cisco es una empresa creada en el año de 1984 por un grupo de científicos de la
Universidad de Stamford, California (USA). Dentro de su amplia gama de productos
se seleccionó un Router que puede suplir con las necesidades de Surtitodo.
Ilustración 112. Tomado de www.router-switch.com
Este Router es la nueva serie que reemplaza a la serie Cisco2600, con mejoras en
la disponibilidad, fiabilidad y desempeño. Estas son algunas de sus características:
132
o Dos puertos 10/100 Fast Ethernet integrados.
o Hardware de encriptación.
o QoS (calidad de servicio).
o Protocolos de interconexión de datos Ethernet y FastEthernet.
(http://www.router-switch.com/, 2014)
El consto del Router es de 998 dólares,
Router 3COM
3COM es una compañía de gran trayectoria que provee soluciones de networking a
nivel mundial, está enfocada en brindar una excelente calidad a bajo costo. En su
variedad de dispositivos se encontró un Router que se ajusta a las necesidades de
Surtitodo,
Ilustración 113. Router 3COM 3033.
Este router cuenta con las siguientes características:
o 4 puertos de Switching 10/100
o Seguridad y control avanzado, VPN, Firewall y Encriptación
o Integración de voz y datos: QoS, Routing Multicast
o Memoria DRAM de 64 MB
o Memoria flash de 8 MB
134
7.2. Análisis general entre la solución Mikrotik y Comerciales
Los productos ofrecidos por Cisco, 3Com, entre otras compañías, son muy
funcionales y eficientes pero su alto costo de adquisición puede ser un problema
para las PYMES, debido al elevado costo de implementación para suplir las
necesidades. En algunas ocasiones la inversión es innecesaria pues no se utiliza
toda la capacidad que ofrece un Router, y en otras no se puede modificar la
programación para satisfacer las necesidades del usuario por el hecho de utilizar
una herramienta patentada y comercial, por esta razón está creciendo día a día el
planteamiento de nuevas tecnologías brindan la seguridad y conexión que el usuario
requiere.
La razón por la cual se escogió el Mikrotik RouterBoard para llevar a cabo este
proyecto es que cuenta con todas las características que la empresa Surtitodo
necesita para obtener una conexión segura entre dos o más sedes ubicadas dentro
del país. A diferencia de las soluciones estudiadas, Mikrotik brinda todas las
herramientas que las demás ofrecen y mucho más pero de manera gratuita la cual
puede ser descargada desde su sitio Web.
El dispositivo más costoso es el Cisco, aunque existen herramientas comerciales
más económicas como es el caso del Router 3Com, el cual ofrece todas las
funciones que Surtitodo necesita, pero aún sigue siendo costosa la implementación
de esta herramienta dentro de la infraestructura de red de la empresa.
Aunque las soluciones comerciales muestran una gran variedad de herramientas
que podrían brindarle a las compañías seguridad y confiabilidad en su
infraestructura de red, se observa según las opciones estudiadas anteriormente que
el factor económico es un impedimento para que las pequeñas y medianas
empresas adquieran estos tipos de dispositivos; motivo que se convierte en factor
importante en la selección de la solución a implementar, por lo cual se decidió utilizar
el Router Mikrotik RoterBoard 751g para el desarrollo de este proyecto.
135
8. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE GARANTICE LOS
NIVELES DE SEGURIDAD NECESARIOS PARA LA TRANSMISIÓN DE
DATOS ENTRE LAS DOS SEDES.
Después de haber finalizado con el estudio de las características de la red de
Surtitodo, se inicia la etapa del diseño de la infraestructura que comunique las dos
sedes ubicadas en la ciudad de Pereira y Medellín. En este capítulo se diseñará una
estructura de red que cumpla con las necesidades de comunicación existentes en
la compañía.
8.1. NECESIDADES PARA LA INTERCONEXIÓN DE LAS DOS SEDES
La sede en Medellín realiza la producción de la mercancía, la que se registra y se
le da código para salir a los almacenes del país, para salir a la venta.
Se crea una propuesta basada en lo siguiente:
Establecer un dispositivo de enrutamiento en cada una de las sedes de tal
manera que la información pueda ser compartida por ambas. Cada dispositivo
de enrutamiento se creara a partir de la utilización del Router Mikrotik, que
minimicen los gastos de inversión en dispositivos comerciales.
Crear mediante los Routers Mikrotik una Red Privada Virtual (VPN) entre
Medellín-Pereira con todos los requerimientos de seguridad, que sustituyan el
uso de una conexión punto a punto debido a los altos costos de implementación
de estos servicios.
136
8.2. DISEÑO DE LA INFRAESTRUCTURA DE RED MEDIANTE LA
SOLUCIÓN MIKROTIK ENTRE LAS SEDES DE MEDELLIN Y PERERA
La conexión se hizo a partir de la implementación de los routers Mikrotik en cada
una de las sedes que tiene la empresa Surtitodo. Se creó cada una de las redes
locales privadas en las dos sedes junto a las características de conexión y seguridad
de cada subred.
137
8.2.1. Infraestructura de la VPN entre Medellín y Pereira.
VPN
La seguridad que se implementó en la conexión de las dos sedes depende de la
estructura de la VPN debido a que será el medio por medio por donde se
comuniquen Surtitodo Medellín con Surtitodo Pereira y viceversa.
Pereira
Proceso NAT, cuando el servidor de la empresa Surtitodo-Pereira se quiera
comunicar con el servidor de la empresa Surtitodo-Medellín, el paquete que sale
del servidor de Pereira será direccionado por la VPN. Este paquete tomará la
dirección 192.29.XXX.XXX reemplazando la dirección original del servidor
XXX.XXX.XXX.XXX./24. Solo se permitirá ingresar a la VPN todo lo que venga
de la red LAN interna de la empresa.
Cuando la empresa Surtitodo-Pereira hace uso de Internet, los paquetes viajan
con la dirección XXX.XXX.XXX.XXX; correspondiente a su dirección Pública. Si
se desea utilizar la Red Privada Virtual para establecer la comunicación con la
sede ubicada en Medellín, los paquetes viajan con la dirección
XXX.XXX.XXX.XXX.
Cableado, se utilizara cables UTP categoría 5e entre la conexión de servidor-
Router, Router-ISP. La longitud de cada uno de los cables será
aproximadamente de 1.5 metros y todos estos dispositivos se ubicaran en el
centro de telecomunicaciones.
138
9. IMPLEMENTACION DEL DISEÑO DE RED
En este capítulo se mostrará la infraestructura de red montada entre las dos sedes,
además se dará a conocer todas las etapas que se realizaron para la ejecución del
proyecto, desde los dispositivos que se utilizaron hasta las características de
configuración y las distintas actividades que se llevaron a cabo para la
implementación del diseño propuesto a la empresa Surtitodo. La implementación
del proyecto se divide en tres etapas, la primera etapa hace referencia a la
planeación y compra de los dispositivos necesarios para la implementación del
proyecto junto a la configuración del Router Mikrotik, la etapa intermedia abarca las
pruebas que se realizaron durante la configuración de los dispositivos, y finalmente
la última etapa que comprende la implementación de los dispositivos y la puesta en
marcha de la infraestructura entre las dos sedes.
De acuerdo al diseño realizado y la implementación del proyecto, la infraestructura
final que se implementó entre las dos sedes de Surtitodo, donde se brinda seguridad
en la conexión entre las 2 sedes por medio de una Red Privada Virtual (VPN)
establecida entre los dos Router Mikrotik RouterBoard 751g y las características en
su configuración que le brindan integridad y autenticación a la información que viaja
a través de ella.
Finalmente la única información que podrá acceder a la VPN será la que tenga como
salida la interface Ethernet 1 en cada uno de los Router Mikrotik, que corresponde
a la interface a la que se encuentran conectados al Mikrotik Surtitodo Pereira y el
Mikrotik Surtitodo-Medellín en cada sede.
139
9.1. CARACTERISTICAS DE LA VPN
La configuración de la VPN se hace con la dirección de los dos servidores
funcionando en cada una de las sedes ubicadas en la ciudad de Medellín y Pereira,
estableciendo medidas que proporcionan seguridad en la comunicación y acceso a
los recursos ofrecidos en cada uno de los servidores de la compañía ubicados a
distancia.
La arquitectura de protocolos que manejan la seguridad en la VPN se llama PPTP,
la cual proporciona la seguridad de la comunicación mediante técnicas de
encriptación, autenticación y llaves de administración que brindan a la conexión
integridad en su comunicación.
La arquitectura PPTP utiliza dos componentes los cuales son soportados por
Surtitodo:
El protocolos existentes en el servicio de Acceso Remoto de NT 4.0 Server (PAP
y CHAP), además, puede existir una seguridad adicional establecida por el
proveedor de servicios ISP.
PPTP hace uso de la seguridad que da el protocolo PPP. La autentificación MS-
CHAP se utiliza para validar las credenciales del usuario remoto contra dominios
NT.
La autentificación de usuarios se realiza a través de los protocolos existentes en el
Servicio de Acceso Remoto de NT 4.0 Server (PAP y CHAP). PPTP hace uso de la
seguridad que da el protocolo PPP. La autentificación MS-CHAP se utiliza para
validar las credenciales del usuario remoto contra dominios NT. Sólo los usuarios
con permiso para ello pueden realizar la conexión. Una vez que se comprueba que
el usuario tiene permiso para iniciar una sesión, se genera una "llave" de 40 bits a
partir de la clave del usuario (que en el entorno Microsoft SIEMPRE viaja ya
encriptada por la red) que es utilizada para encriptar a su vez los datos del usuario
(encriptación RC-4). (Microsoft, 2003)
Además, puede defenderse a la red privada de un uso malintencionado habilitando
el filtrado PPTP del mikrotik. En este caso, el mikrotik solamente acepta y enruta
paquetes enviados por usuarios validados. Esto evita que cualquier otro tipo de
paquete ajeno pueda ser introducido en la red privada.
140
10. RECURSOS
La siguiente sección define los recursos necesarios, personas, hardware y software
10.1. Miembros y responsabilidades.
Nombre Actividad Responsabilidad
Ivan Tarapues
Conexión y configuración
Mikrotik RouterBOARD
751g
Hacer la conexión y
configuración del mikrotik
en Medellín.
Jorge Londoño
Conexión y configuración
Mikrotik RouterBOARD
751g
Hacer la conexión y
configuración del mikrotik
en los almacenes de
Armenia, Cartago y
Pereira.
Jorge Londoño Seguridad
Verificar que todas las
funciones de seguridad
impuestas se cumplan a
cabalidad para los
usuarios.
Jorge Londoño Interfase con otras redes
Hacer uso de la VPN,
para probar la
interconexión con las
demás sedes.
Tabla 11. Recursos Personas
141
10.2. Requerimientos de recursos
El hardware y el software requerido es el siguiente:
Acción Cantidad Recurso
Conexión por Winbox
6 Mikrotik RouterBoard
751G
1 Windows XP, Windows 7,
Windows 8
6 PC Pentium Core 2 Duo,
1 Gb RAM
Interfase con otras redes 1
PC Pentium Core 2 Duo,
1 Gb RAM
1 VPN
seguridad 6
Mikrotik RouterBoard
751G
Tabla 12. Requerimientos Hardware y Software
142
11. PRESUPUESTO
ITEM CANT. Vlr. UNI $ IVA $ VALOR $
Mikrotik RouterBoard
RB751G – 2HnD 4 270.000 43.200 1.252.800
Cisco SRW224G4-
K9-NA SF 300-24 de
24 puertos 10/100
4 1.512.000 288.000 7.200.000
Transportes y
salidas de campo 4 33.180 6.320 158.000
Materiales y
suministros 250.000
Material Bibliográfico
y fotocopias 250.000
Varios e imprevistos 200.000
VALOR TOTAL 9.310.800
Tabla 13. Presupuesto
144
CONCLUSIONES
Se recopilo la información necesaria para identificar los problemas que tenía la
estructura de la red anterior y así poder mejorarla.
Se diseñó e implementó una infraestructura de red en la empresa Compañía
Comercial Universal Surtitodo S.A., que cumple con las características de
seguridad necesarias para el intercambio de información entre las dos sedes.
Estas sedes se unieron por medio de la VPN creada mediante los Routers
Mikrotik RouterBoard 751g lo cual permitió obtener una relación costo/beneficio
favorable a la compañía.
Surtitodo al mejorar su estructura su red informática, gano en eficiencia, lo que
ha permitido ser mucho más competitiva. Dentro de las opciones se eligió el
sistema Mikrotik debido al óptimo desempeño que podía brindar en la
infraestructura de red y a la variedad de herramientas útiles que podía ofrecer
en comparación a las otras Soluciones.
Al aplicar el balanceo de carga se limitó equilibradamente el consumo de
internet a través de las colas simples que pertenecen al sistema RouterOS de
mikrotik, por lo tanto el balanceo es persistente si aplicamos calidad al momento
de liminar tanto el ancho de subida como el de bajada para mantener un
estándar de consumo.
La implementación de las políticas de seguridad permitieron salvaguardar la
información garantizando la confidencialidad, integridad y disponibilidad de los
datos.
El diseño y aplicación de la nueva red ha permitido a las directivas no perder de
vista la actividad del negocio.
Con el mikrotik RouterBoard 751g y su sistema operativo RouterOS se pudo dar
una solución a bajo costo, para la conectividad y seguridad que se necesitaba.
Debido a las pocas referencias de primer nivel para la configuración del router
mikrotik, se usaron como lineamientos los manuales y foros que existen en la
web.
145
REFERENCIAS
Alberto, Q. (1 de julio de 2012). http://www.saber.ula.ve/. Obtenido de
http://www.saber.ula.ve/dspace/bitstream/123456789/37249/1/tesis_red_fundacite.pdf
CAPACITY. (09 de 04 de 2014). blog.capacityacademy.com. Obtenido de
http://blog.capacityacademy.com/2014/04/09/que-es-mikrotik-routeros/
Chancusig, O. E., & Martínez, L. S. (2012). http://repositorio.utc.edu.ec/.
Cisco. (31 de 07 de 2013). www.cisco.com. Obtenido de
http://www.cisco.com/cisco/web/support/LA/7/73/73461_3.html
CISCO. (26 de 11 de 2014). www.cisco.com. Obtenido de
http://www.cisco.com/c/en/us/products/switches/small-business-300-series-managed-
switches/index.html
CISCO_CCNA/Exploration3intSpanish. (s.f.). http://karimevc.wordpress.com. Obtenido de
http://karimevc.wordpress.com/dominio-de-broadcast-y-colisiones/
Hernando, R. (7 de 07 de 2002). http://www2.rhernando.net/. Obtenido de
http://www2.rhernando.net/modules/tutorials/doc/redes/Gredes.html
http://inkalinux.com/. (2 de 1 de 2014). http://inkalinux.com/. Obtenido de
http://inkalinux.com/foros/showthread.php?135-Instalar-Configurar-Manual-Mikrotik-
RouterBoard-Basico-Avanzado
http://www.router-switch.com/. (25 de 12 de 2014). http://www.router-switch.com/cisco2811-p-
180.html. Obtenido de http://www.router-switch.com/cisco2811-p-180.html
inkalinux. (2 de 1 de 2014). http://inkalinux.com/. Obtenido de
http://inkalinux.com/foros/showthread.php?135-Instalar-Configurar-Manual-Mikrotik-
RouterBoard-Basico-Avanzado
Microsoft. (10 de Abril de 2003). http://support.microsoft.com/kb/550769/es.
Microsoft. (01 de 01 de 2005). http://msdn.microsoft.com/es-es/. Obtenido de
http://msdn.microsoft.com/es-es/library/cc785246(v=ws.10).aspx
Microsoft. (01 de 01 de 2005). http://msdn.microsoft.com/es-es/. Obtenido de
http://msdn.microsoft.com/es-es/library/cc787434%28v=ws.10%29.aspx
mikrotik. (2006). http://www.mikrotik.com/testdocs/ros/2.9/guide/basic.php.
Ramírez, J. (09 de 2013). http://www.uteq.edu.mx/. Obtenido de
http://www.uteq.edu.mx/tesis/ITIC/0298.pdf