1

DISEÑO DE UNA RED PARA LA EMPRESA COMPAÑÍA COMERCIAL

UNIVERSAL SURTITODO S.A. BASADA EN MIKROTIK

JORGE HERNAN LONDOÑO VELASQUEZ

UNIVERSIDAD CATOLICA DE PEREIRA

FACULTAD DE CIENCIAS BASICAS E INGENIERIA DE SISTEMAS

PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

INFORME DE PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE

INGENIERA DE SISTEMAS Y TELECOMUNICACIONES

PEREIRA

2014

2

DISEÑO DE UNA RED PARA LA EMPRESA COMPAÑÍA COMERCIAL

UNIVERSAL SURTITODO S.A. BASADA EN MIKROTIK

JORGE HERNAN LONDOÑO VELASQUEZ

INFORME DE PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE

INGENIERO DE SISTEMAS Y TELECOMUNICACIONES

DIRECTOR

INGENIERO DANIEL FELIPE BLANDON GÓMEZ

UNIVERSIDAD CATOLICA DE PEREIRA

FACULTAD DE CIENCIAS BASICAS E INGENIERIA DE SISTEMAS

PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

PEREIRA 2014

3

DECLARACIÓN DE DERECHOS DE AUTOR

Como estudiante del programa de Ingeniería de Sistemas y Telecomunicaciones de

la Universidad Católica de Pereira, declaro que este proyecto es de iniciativa propia,

resultado de un estudio realizado, en el cual se vio la necesidad de diseñar una red,

con la tecnología Mikrotik, para Compañía Comercial Universal Surtitodo S.A.

Se Autoriza la utilización de este proyecto a la Universidad o a diferentes

estudiantes para ser utilizado como material de estudio y/o base para otros

proyectos.

4

DEDICATORIA

A mi hija (Susana), esposa (Diana Marcela) y familia a quienes les he robado de su

tiempo para que poder cumplir con mi sueño, por su sacrificio y espera, les dedico

el final de este proceso, ustedes son mi inspiración para convertirme en ingeniero y

seguir persiguiendo metas.

Para mi madre (Miriam) y padre (Fernando) con todo mi cariño y amor, por que

hicieron todo en la vida para que yo pudiera lograr mis sueños, por motivarme y

darme la mano cuando sentía que el camino se terminaba, a ustedes por siempre

mi corazón y mi agradecimiento.

5

AGRADECIMIENTOS

Agradezco muy especialmente el presente proyecto y fin de mi carrera a mi hija

Susana y esposa Diana, a mi madre Miriam, mi padre Fernando y a mi hermano

Julián por el esfuerzo que han realizado a lo largo de sus vidas para ofrecerme todas

las posibilidades de las que he disfrutado, así como la educación y valores que me

han inculcado desde pequeño hasta convertirme en adulto, sin olvidar su apoyo a

lo largo de todos los años de mi vida.

Hago extensible la presente dedicatoria al resto de mi familia más cercana.

A aquellas personas que no he nombrado por omisión, a ellos muchas gracias.

6

RESUMEN

La presente solución trata sobre la implementación de una nueva red para optimizar

y administrar los recursos informáticos de la Compañía Comercial Surtitodo S.A.,

bajo la tecnología mikrotik.

El proyecto inicia con el análisis de los problemas que presentaba la sede principal

y el impacto negativo por el mal manejo que se daba a los recursos informáticos.

Luego de tener una solución clara de lo que se deseaba hacer, se procedió a

investigar las herramientas necesarias, que se aplicarían en el desarrollo de este

proyecto.

Las herramientas utilizadas para la configuración de la red recogen todos los

requerimientos dados por la gerencia, en un dispositivo de bajo costo que ofrece

respuestas a las necesidades particulares de la compañía, entre estas brindar una

conexión más rápida y segura considerando aspectos económicos y tecnológicos.

Tras el análisis específico de cada particular se creó una red con diferentes

servicios: DHCP (Dynamic Host Configuration Protocol), NTP (Network Time

Protocol), VPN (Virtual Private Network) y SNMP (Simple Network Management

Protocol). También se aplicaron políticas de control para el ancho de banda, para el

bloqueo de programas P2P (Peer to Peer), bloqueo de mensajería, filtrado WEB y

navegación mediante Proxy.

La solución ha sido implementada utilizando Mikrotik RouterOS, que es el SO del

mikrotik RouterBOARD 751G, se tomó esta decisión debido a que estos equipos

brindan seguridad, flexibilidad y son más económicos que un Router comercial

convencional.

PALABRAS CLAVES: Redes Informáticas, Recursos Informáticos, Mikrotik,

Políticas de Control

7

ABSTRACT

The present solution treats on the implementation of a new network to optimize and

to administer the IT resources of the Commercial Company Surtitodo S.A., under the

technology mikrotik.

The project initiates with the analysis of the problems that was presenting the

principal headquarters and the negative impact for the evil I handle that it was given

to the IT resources. After having a clear solution of what wanted to do one proceeded

to investigate the necessary tools, which would be applied in the development of this

project.

The tools used for the configuration of the network gather all the requirements given

by the management, in a device of low cost that offers answers to the particular

needs of the company, between these offering a more rapid and sure connection

considering economic and technological aspects.

After the specific analysis of every individual a network was created with

diferentesservicios: DHCP (Dynamic Host Configuration Protocol), NTP (Network

Time Protocol), VPN (Virtual Deprive Your Your Network) and SNMP (Simple

Network Management Protocol). Also policies of control were applied for the

bandwidth by the use of programs P2P (Peer to Peer), I block of messenger

company, leaked WEB and navigation by means of Proxy.

The solution has been implemented using Mikrotik RouterOS, which is the SO of the

mikrotik RouterBOARD 751G, this decision took due to the fact that these

equipments offer safety, flexibility and are more economic than a commercial

conventional Router.

KEY WORDS: IT Networks, IT Resources, Mikrotik, Policies of Control

8

INTRODUCCIÓN

En el desarrollo de este trabajo se dio solución a un problema detectado en la

Compañía Comercial Universal Surtitodo S.A.

Desde el ingreso a la empresa en agosto de 2012, el autor de este trabajo noto

problemas de comunicación respecto a la transmisión de datos entre la sede

(Pereira) y la oficina principal en Medellín, el programa de ventas era un software

obsoleto, con base de datos en Access, y que solo permitía a los gerentes y

directivos ver el estado mensualmente.

La meta por tanto, se emprendió en el diseño de una nueva red, que soportara el

crecimiento y solucionara los problemas de conexión entre la sede principal y las

demás sedes del país, además que se hiciera con un bajo costo de implementación

para la compañía.

La nueva red se implementó con Mikrotik RouterOS, “…el mismo es un sistema

operativo y software de router; el cual convierte a una PC Intel o un Mikrotik

RouterBOARD en un router dedicado”. Se tomó la decisión de comprar y utilizar

esta solución, ya que estos equipos brindan seguridad, flexibilidad, son muy

económicos, y traen beneficios a la compañía, ya que la red es de un tamaño

considerable.

Esta red debe proveer un servicio total, por lo que se implementó una red virtual

privada (VPN por sus sigla en inglés) para interconectar la oficina situada en

Medellín con los almacenes de Pereira, esto proveyó una conexión más rápida y

segura considerando aspectos económicos y tecnológicos.

Mediante políticas de control de ancho de banda, por sub-redes y/o puesto de

trabajo, el acceso a programas P2P fue restringido en la red de administración por

solicitud de las directivas. También el filtrado total de los P2P será aplicado a las

redes de las áreas de Ventas y Producción

9

ÍNDICE

DECLARACIÓN DE DERECHOS DE AUTOR ......................................................... 3

DEDICATORIA ............................................................................................................. 4

AGRADECIMIENTOS .................................................................................................. 5

RESUMEN ..................................................................................................................... 6

ABSTRACT ................................................................................................................... 7

INTRODUCCIÓN .......................................................................................................... 8

ÍNDICE ........................................................................................................................... 9

ÍNDICE DE TABLAS .................................................................................................. 11

ÍNDICE DE FIGURAS ................................................................................................ 11

CAPÍTULO I: DESCRIPCION Y FORMULACION DEL PROBLEMA .................. 15

1.1. Situación Problema ................................................................................... 15

1.2. Planteamiento del Problema ................................................................... 16

1.2.1. Delimitación ............................................................................................ 16

1.3. Objetivos ..................................................................................................... 16

1.3.1. Objetivo General ...................................................................................... 16

1.3.2. Objetivos específicos ............................................................................... 16

1.4. Justificación. .............................................................................................. 17

1.5. Aporte teórico y práctico. ............................................................................ 18

1.5.1. Aporte Teórico ........................................................................................ 18

1.5.2. Aporte Práctico....................................................................................... 18

Capitulo II: MARCOS DE REFERENCIA................................................................ 20

2.1. Antecedentes ............................................................................................. 20

2.2. Marco teórico. ............................................................................................ 21

Modelos de Gestión Estándar ........................................................................ 32

o El Modelo de Gestión OSI .............................................................................. 32

o El Modelo de Comunicaciones ....................................................................... 33

o El Modelo de Información ............................................................................... 33

o El Modelo de Gestión en Internet .................................................................. 34

o Arquitectura de Gestión de Red en Internet ................................................. 34

o Tecnología de Gestión de Red: Las Plataformas de Gestión ..................... 35

SNMP. Protocolo Simple de Gestión de Red ............................................... 36

ASN.1. Notación de Sintaxis Abstracta 1 ...................................................... 37

3. HIPOTESIS .......................................................................................................... 38

4. DISEÑO Y PROCEDIMIENTO. ......................................................................... 38

4.1. Red anterior.................................................................................................. 38

4.2. Nueva Red Surtitodo ................................................................................... 40

4.3. Sub Red Administración ............................................................................. 43

4.4. Sub red Ventas. ........................................................................................... 45

4.5. Sub red Producción ..................................................................................... 47

10

4.6. Red Servidores ............................................................................................ 48 5. Análisis del nivel de seguridad de la información de la red de Surtitodo S.A. y Configuración del router Mikrotik RouterBoard 751 g .......................... 50

5.2. Debilidades de la red Surtitodo S.A....................................................... 51 5.3. ANÁLISIS DE LA SEGURIDAD IMPLEMENTADA POR PARTE DEL ROUTERBOARD MIKROTIK 751G EN SURTITODO S.A. ............................... 58

o Ingreso al Mikrotik ........................................................................................... 58

o Definición y configuración de las interfases. ................................................. 61

o Definición de Vlans .......................................................................................... 65

o Asignación de direcciones IP a las interfases .............................................. 69

o Configuración de los Pools de Direcciones IP .............................................. 71

5.3. Nat Masquerade Para Todas Las Redes .................................................. 74

o Configuración del Servidor DHCP ................................................................. 75

o Servidor - Cliente PPTP .................................................................................. 81

o Configuración Cliente PPTP ........................................................................... 83

o Control de ancho de banda ............................................................................ 88

o Limitación del trafico P2P ............................................................................... 91

o Firewall ............................................................................................................. 96

o Bloqueo del cliente MSN Live Messenger .................................................... 98

o Redireccionamiento de puertos ................................................................... 103

o Descartar conexiones inválidas ................................................................... 110

o Aceptar conexiones establecidas ................................................................ 111

6. ANÁLISIS DEL TRÁFICO DE RED SURTITODO S.A. ................................ 128

6.1. Análisis de Tráfico....................................................................................... 128 7. ANÁLISIS DE LAS SOLUCIONES COMERCIALES Y MIKROTIK PARA IMPLEMENTACIONES DE ROUTERS .................................................................. 131

7.1. ANALISIS DE LAS SOLUCIONES COMERCIALES............................ 131

7.2. Análisis general entre la solución Mikrotik y Comerciales ............. 134 8. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE GARANTICE LOS NIVELES DE SEGURIDAD NECESARIOS PARA LA TRANSMISIÓN DE DATOS ENTRE LAS DOS SEDES. ....................................................................... 135

8.1. NECESIDADES PARA LA INTERCONEXIÓN DE LAS DOS SEDES 135 8.2. DISEÑO DE LA INFRAESTRUCTURA DE RED MEDIANTE LA SOLUCIÓN MIKROTIK ENTRE LAS SEDES DE MEDELLIN Y PERERA ... 136

8.2.1. Infraestructura de la VPN entre Medellín y Pereira. ...................... 137

9. IMPLEMENTACION DEL DISEÑO DE RED ................................................. 138

9.1. CARACTERISTICAS DE LA VPN .......................................................... 139

10. RECURSOS ................................................................................................... 140

10.1. Miembros y responsabilidades. ........................................................ 140

10.2. Requerimientos de recursos ............................................................. 141

11. PRESUPUESTO ........................................................................................... 142

12. CRONOGRAMA ............................................................................................ 143

CONCLUSIONES ..................................................................................................... 144

11

REFERENCIAS......................................................................................................... 145

WEBGRAFIA ............................................................................................................ 146

ÍNDICE DE TABLAS

Tabla 1. Rango de Direcciones IP .................................................................................... 41

Tabla 2. Control de Ancho de Banda ............................................................................... 88

Tabla 3. Herramientas Detección de Vulnerabilidades ................................................... 118

Tabla 4. Shadow Security Scanner modo Full Scan ....................................................... 119

Tabla 5. Análisis SSS. Solo NetBIOS............................................................................. 120

Tabla 6. Análisis de solo FTP (Only FTP Scan) ............................................................. 121

Tabla 7. Análisis de solo HTTP (Only HTTP Scan) ........................................................ 121

Tabla 8. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)............................. 122

Tabla 9. Análisis herramienta Nessus. ........................................................................... 125

Tabla 10. Herramienta BW Meter 6.8.1. ......................................................................... 128

Tabla 11. Recursos Personas ........................................................................................ 140

Tabla 12. Requerimientos Hardware y Software ............................................................ 141

Tabla 13. Presupuesto ................................................................................................... 142

Tabla 14. Cronograma ................................................................................................... 143

ÍNDICE DE FIGURAS

Ilustración 1. Clases de Redes ................................................................................................ 25

Ilustración 2. Esquema de Red anterior Surtitodo S.A. ......................................................... 38

Ilustración 3. Nueva Red Surtitodo S.A. .................................................................................. 40

Ilustración 4. Red Administración ............................................................................................ 43

Ilustración 5. Medición Tráfico ................................................................................................. 44

Ilustración 6. Red Ventas ......................................................................................................... 45

Ilustración 7. Esquema VPN .................................................................................................... 46

Ilustración 8. Sub Red Producción .......................................................................................... 47

Ilustración 9. Sub Red Servidores ........................................................................................... 48

Ilustración 10. Ingreso al Mikrotik ............................................................................................ 59

Ilustración 11. Descarga de Plugins ........................................................................................ 59

Ilustración 12. Menú de Configuración .................................................................................... 60

Ilustración 13. Interfases .......................................................................................................... 61

Ilustración 14. Interfase Administración .................................................................................. 63

Ilustración 15. Interfase hotspot ............................................................................................... 63

12

Ilustración 16. Interfase Ventas ............................................................................................... 64

Ilustración 17. Interfase Producción ........................................................................................ 65

Ilustración 18. Vlan Ventas ....................................................................................................... 66

Ilustración 19. Vlan Administración ......................................................................................... 67

Ilustración 20. Vlan Producción ............................................................................................... 68

Ilustración 21. Lista de Vlan ..................................................................................................... 68

Ilustración 22. Dirección Ip Administración ............................................................................. 69

Ilustración 23. Dirección Ip Ventas .......................................................................................... 70

Ilustración 24. Dirección Ip Producción ................................................................................... 70

Ilustración 25. Dirección Ip Une ............................................................................................... 71

Ilustración 26. Lista de Direcciones ......................................................................................... 71

Ilustración 27. Pool Servidores ................................................................................................ 72

Ilustración 28. Pool Ventas ....................................................................................................... 72

Ilustración 29. Pool Produccion ............................................................................................... 73

Ilustración 30. Pool Administración ......................................................................................... 73

Ilustración 31. Lista Pool Direcciones ..................................................................................... 74

Ilustración 32. Net masquerade General ................................................................................ 74

Ilustración 33. Net masquerade Action ................................................................................... 75

Ilustración 34. DHCP Producción ............................................................................................ 76

Ilustración 35. DHCP Administración ...................................................................................... 77

Ilustración 36. DHCP Ventas ................................................................................................... 78

Ilustración 37. DHCP Network ................................................................................................. 78

Ilustración 38. DHCP Red Servers .......................................................................................... 79

Ilustración 39. DHCP Red Administración .............................................................................. 79

Ilustración 40. DHCP Red Ventas ........................................................................................... 80

Ilustración 41. DHCP Red Producción .................................................................................... 80

Ilustración 42. Perfil VPN .......................................................................................................... 81

Ilustración 43. Perfil VPN .......................................................................................................... 82

Ilustración 44. Interface VPN ................................................................................................... 83

Ilustración 45. Cliente PPTP .................................................................................................... 84

Ilustración 46. Configuración Nueva Red ............................................................................... 84

Ilustración 47. Conectarse a un área de trabajo .................................................................... 85

Ilustración 48. Usar mi conexión VPN ..................................................................................... 86

Ilustración 49. Dirección de conexión ...................................................................................... 86

Ilustración 50. Elegir conexión ................................................................................................. 87

Ilustración 51. Usuario y contraseña VPN .............................................................................. 87

Ilustración 52. Conexión VPN conectado ............................................................................... 88

Ilustración 53. Menú Colas ....................................................................................................... 89

Ilustración 54. Cola Administración ......................................................................................... 89

Ilustración 55. Cola Ventas ...................................................................................................... 90

Ilustración 56. Lista Cola .......................................................................................................... 90

Ilustración 57. Bloqueo P2P ..................................................................................................... 91

13

Ilustración 58. Bloqueo P2P-2.................................................................................................. 92

Ilustración 59. Mangle Rule ...................................................................................................... 92

Ilustración 60. Nueva Mangle Rule .......................................................................................... 93

Ilustración 61. Mangle Rule Conexión P2P ............................................................................ 93

Ilustración 62. Mangle P2P Bloqueado ................................................................................... 94

Ilustración 63. Lista bloqueo P2P ............................................................................................ 94

Ilustración 64. Cola P2P In ....................................................................................................... 95

Ilustración 65. Cola P2P Salida ............................................................................................... 96

Ilustración 66. Bloqueo P2P Producción ................................................................................. 97

Ilustración 67. Action: Drop ...................................................................................................... 97

Ilustración 68. Bloqueo P2P Ventas ........................................................................................ 98

Ilustración 69. Firewall Rule Drop ............................................................................................ 98

Ilustración 70. Bloqueo Messenger Puerto 1863 ................................................................... 99

Ilustración 71. Ilustración 101. Bloqueo Messenger Puerto 1863 - 2 ................................... 99

Ilustración 72. Bloqueo Messenger Puerto 5190 ................................................................. 100

Ilustración 73. Bloqueo Messenger Puerto 5190 - 2 ............................................................ 100

Ilustración 74. Bloqueo Messenger Puerto 6901 ................................................................. 101

Ilustración 75. Bloqueo Messenger Puerto 6901 - 2 ............................................................ 101

Ilustración 76. Bloqueo Messenger Puerto 6891-6900 ........................................................ 102

Ilustración 77. Bloqueo Messenger Puerto 6891-6900 - 2 .................................................. 102

Ilustración 78. Firewall Rule ................................................................................................... 103

Ilustración 79. Firewall Rule Drop .......................................................................................... 103

Ilustración 80. Redireccionar Puerto 80 ................................................................................ 104

Ilustración 81. Redireccionar Puerto 80 - 2........................................................................... 105

Ilustración 82. Redireccionar Puerto 110 .............................................................................. 105

Ilustración 83. Redireccionar Puerto 110 - 2 ........................................................................ 106

Ilustración 84. Redireccionar Puerto25 ................................................................................. 107

Ilustración 85. Redireccionar Puerto25 - 2............................................................................ 107

Ilustración 86. Redireccionar Puerto1723 ............................................................................. 108

Ilustración 87. Redireccionar Puerto1723 - 2 ....................................................................... 108

Ilustración 88. Firewall Rule Puerto 1723 ............................................................................. 109

Ilustración 89. Pestaña General Conexión Establecida....................................................... 110

Ilustración 90. Pestaña Accion Accept .................................................................................. 110

Ilustración 91. Descartar conexiones inválidas .................................................................... 111

Ilustración 92. Descartar conexiones inválidas - 2 ............................................................... 111

Ilustración 93. Aceptar Conexiones Establecidas ................................................................ 112

Ilustración 94. Aceptar Conexiones Establecidas - 2 ........................................................... 112

Ilustración 95. Aceptar Trafico UDP ...................................................................................... 113

Ilustración 96. Aceptar Trafico UDP - 2 ................................................................................. 113

Ilustración 97. Acepta icmp Limitados ................................................................................... 114

Ilustración 98. Acepta icmp Limitados - 2 ............................................................................. 114

Ilustración 99. Acepta icmp Limitados - 3 ............................................................................. 115

14

Ilustración 100. Descarta excesivos icmp ............................................................................. 115

Ilustración 101. Descarta excesivos icmp - 2 ....................................................................... 116

Ilustración 102. Descarta el resto de las conexiones externas ........................................... 117

Ilustración 103. Descarta el resto de las conexiones externas - 2 ..................................... 117

Ilustración 104. El orden de las políticas Firewall ................................................................ 118

Ilustración 105. Resultado SSS modo Full Scan ........................................................................... 119

Ilustración 106. DoS Checker ...................................................................................................... 123

Ilustración 107. f. DoS Checker Step 2 ..................................................................................... 124

Ilustración 108. DoS Checker Step 2 ........................................................................................... 124

Ilustración 109. Resultado Nmap................................................................................................ 127

Ilustración 110. Medición Realizada al servidor de Pereira ......................................................... 129

Ilustración 111. Medición realizada al Servidor de Medellín ....................................................... 130

Ilustración 112. Tomado de www.router-switch.com ................................................................. 131

Ilustración 113. Router 3COM 3033. .......................................................................................... 132

Ilustración 114. Características Router 3COM 3033 .................................................................... 133

15

CAPÍTULO I: DESCRIPCION Y FORMULACION DEL PROBLEMA

1.1. Situación Problema

Una vez se realizó el estudio en la Compañía Comercial Universal Surtitodo. S.A.

se observó algunos problemas que a continuación se mencionan:

Un solo servidor de archivos para todas las redes, este servidor pertenece al

área de Administración, lo que acarrea mucho tráfico de datos en esta red,

produciendo congestión y pérdida de datos.

Una sola impresora de red a la que las demás subredes envían sus

documentos, generando colas y congestión en esta área, además del

personal ajeno al área de administración.

Debido al exceso de trabajo la impresora se dañaba a menudo.

Las subredes de ventas y producción tienen computadores que están

conectados a través de switch, todas acceden al servidor de administración

y la impresora de la empresa a través del router principal.

Los switch de cada una de las áreas son idénticos, a ninguno se le puede

administrar sus puertos, por lo que no se le puede aplicar ningún tipo de

política de seguridad o generar alguna VLAN.

Los datos de ventas solo se pueden ver cuando los analistas de sistemas

realizan la toma de datos y centralizan la información en la sede principal los

primeros cinco días del mes.

Debido al poco control que tiene la red interna, no hay control sobre las

sedes, no se ven en directo los videos de las cámaras, si ocurre un evento

se debe esperar que el analista baje el video y lo envía a la sede central.

16

1.2. Planteamiento del Problema

¿Cómo se puede mejorar la red y el servicio de conexión e interconexión de

Compañía Comercial Universal Surtitodo S.A., de acuerdo a los requerimientos y

necesidades de la institución?

1.2.1. Delimitación

Compañía Comercial Universal Surtitodo S.A. actualmente cuenta con tres áreas

(Administración, Producción y ventas), y oficinas de ventas en Pereira. Se limita el

proyecto al estudio de estas áreas además de la interconexión del área de ventas

con el Almacén Surtitodo la 8va a través de una VPN.

1.3. Objetivos

1.3.1. Objetivo General

Documentar el diseño de una red de datos acorde a las necesidades de la compañía

comercial S.A., con la tecnología Mikrotik RouterOS

1.3.2. Objetivos específicos

Reunir información de la red actual, sus requisitos y expectativas para

aclarar e identificar cualquier problema en la red para establecer la

configuración del router mikrotik.

Documentar la configuración del router mikrotik para el diseño de la red y

el direccionamiento IP de la empresa

Implementar servicios para la sincronización de la hora y monitoreo de las

interfaces de los equipos activos.

17

Implementar una política interna de optimización de los recursos de

interconexión y seguridad de la red con la tecnología Mikrotik.

1.4. Justificación.

Esta solución junto con el cambio de sistema de ventas a SAP, beneficia a todos en

la compañía ya que las directivas tienen la información al día, lo que permite tener

las soluciones al alcance si se presenta algún problema.

El nuevo diseño permite compartir tanto archivos (documentos) como video, siendo

principalmente importante los videos de seguridad de los DVR cuando ocurre un

evento.

Se brinda mayor seguridad para proteger sus datos, asegurando la integridad,

confidencialidad y seguridad.

Debido a la necesidad de asegurar los datos de las sedes alternas con la principal

se creó una VPN, esto ha permitido la visualización de los datos de ventas en tiempo

real, stock de productos, acceder remotamente a los equipos para asistir en una

eventualidad, ahorrando en costos de desplazamiento de personal calificado, sino

la utilización de los mismos para que los gerentes y directores de estas sedes

tengan la información a la mano.

Para que el usuario pueda desempeñar su trabajo diariamente es indispensable que

pueda hacer uso de cada una de las herramientas que proporciona la empresa, para

ello es necesaria una gestión de red que permita comprobar y asegurar el

rendimiento óptimo de los recursos informáticos.

18

Esta herramienta ha permitido ajustar la gestión de red con los objetivos de la

compañía y afirmar las prioridades utilizadas para que coincidan con las aplicadas

para la administración de la firma, también ha permitido garantizar el rendimiento y

disponibilidad no solo de la información sino también de la tecnología.

1.5. Aporte teórico y práctico.

1.5.1. Aporte Teórico

La novedad de este proyecto se presenta el estudio, análisis y solución de una red

empresarial a bajo costo, la cual se puede posteriormente aplicar a otros almacenes

de la organización o en otros ambientes laborales.

El análisis de la tecnología basada en Mikrotik RouterOS proveerá los conceptos

necesarios para ser aplicados en cualquier clase de dominio con objetivos

comerciales y no comerciales.

La tecnología que presenta el sistema Mikrotik es desconocida y esta misma permite

gestionar la red según las necesidades del cliente

1.5.2. Aporte Práctico

El proyecto generara un impacto social dentro de la empresa, la red anterior no

satisfacía las necesidades de los usuarios y trabajadores, la nueva red soluciona

estos problemas permitiendo el desarrollo individual de cada empleado y así el de

la empresa presentando una mejora continua en los procesos y atención al cliente.

19

Las características colaborativas del mikrotik han potenciado el balance de las

cargas de red permitiendo la transmisión de datos entre las áreas de la compañía,

almacenes sucursales y la principal sin problemas, igualmente proporciona control

sobre el stock de mercancía y las ventas.

Los beneficios de la implementación del proyecto han permitido generar un

conocimiento que puede ser aplicado posteriormente a las otras sedes por parte del

departamento técnico.

20

Capitulo II: MARCOS DE REFERENCIA

2.1. Antecedentes

Actualmente son pocos los trabajos que se han documentado sobre este tipo de

soluciones.

Seguidamente se relacionan algunos ejemplos de proyectos que han utilizado la

tecnología Mikrotik

Quiroz Alberto (2011), Universidad Nacional Experimental de Táchira (UNET)

realizó un informe de pasantías de final de carrera titulado: “Actualización del

esquema de enrutamiento y direccionamiento IP de la red inalámbrica de Fundacite

Mérida en la zona Panamericana y Valle de Mocoties del Estado Mérida", el cual

tuvo como basamento la actualización del esquema de enrutamiento, aplicando

enrutamiento estático en una red inalámbrica mediante el uso de tecnología Mikrotik

basada en RouterOS y manejada con software libre bajo la distribución Ubuntu.

(Alberto, 2012)

Chancusig Omar (2012), universidad Técnica de Cotopaxi realizó un informe para

la obtención del título de ingeniero en informática y sistemas computacionales

titulado: ““DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL Y

BALANCEO DE CARGA, EN ROUTERS MIKROTIK CON CALIDAD DE SERVICIO

(QOS), PARA LA RED WLAN (Wireles Local Area Network) DE LOS SISTEMAS

DE COMUNICACIÓN LATACUNGA ” En relación al objetivo general que es diseñar

e implementar un sistema de control, balanceo de carga en Routers Mikrotik con

calidad de servicio (QOS), para la red wlan de los sistemas de comunicación

Latacunga con los específicos que es analizar la estructuración y configuración de

Routers Mikrotik. (Chancusig & Martínez, 2012)

Ramírez Javier (2013) realizo un informe para obtener el título de Ingeniero en

Tecnologías de la Información y Comunicación con el Proyecto: “Internet en la

21

ciudad de Querétaro” en el cual uno de los objetivos principales es Acercar a la

ciudadanía un servicio público gratuito del internet móvil y en sitios estratégicos que

permitan hacer uso del mismo como una herramienta de apoyo tecnológico a los

ciudadanos usando Tecnología Mikrotik RouterBOARD. (Ramírez, 2013)

2.2. Marco teórico.

Los conceptos tratados a continuación proporcionan una idea sobre las redes,

topología de una red, direccionamiento IP, protocolos, algoritmos de enrutamiento,

calidad de servicio y una breve descripción de las herramientas utilizadas para la

realización del proyecto

2.2.1. RouterBOARD Mikrotik

Es la plataforma de hardware hecho por Mikrotik, estos router son alimentados por

el sistema operativo RouterOS, basado en el Kernel de Linux 2.6, su facilidad de

uso, implementación y su relación costo beneficio lo hacen perfectos para las

grandes y medianas compañías ya que implementa funcionalidades como OSPF,

BGP o VPLS/MPLS. (CAPACITY, 2014)

Estudio exploratorio bibliográfico sobre el manual de referencia de Mikrotik y

normas internacionales

Esta red se implementara con Mikrotik RouterBoard 751g 2H.

El RouterOS es un sistema operativo y software que convierte a una PC en un router

dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso

inalámbrico, por lo que el aparato puede realizar casi cualquier cosa que la red

requiera, además posee funciones de servidor.

22

El RouterOS soporta diversos métodos de conexión VPN, para establecer una

conexión VPN segura sobre redes abiertas o internet. Estos métodos son:

IPSec

Túneles de punto a punto (OpenVPN, PPTP, PPPoE, L2TP)

Features Avanzados PPP (MLPPP, BCP)

Túneles simples (IPIP, EoIP)

Soporte túneles 6 a 4 (IPv6 sobre IPv4)

VLAN

VPN basado en MPLS

El software RouterOS se puede ejecutar desde disco IDE o memoria tipo Flash.

Principales Características

El sistema operativo es basado en el kernel de Linux 2.6 por lo que es muy

estable.

Puede ejecutarse desde discos IDE o módulos de memoria flash.

Diseño modular.

Módulos actualizables.

Interfaz gráfica amigable.

Características de Ruteo

Políticas de enrutamiento. Ruteo estático o dinámico.

Bridging, protocolo spanning tree, interfaces múltiples bridge, firewall en el

bridge.

Servidores y clientes: DHCP, PPPoE, PPTP, PPP, relay DHCP

Cache: web-proxy, DNS.

Gateway de HotSpot.

Lenguaje interno de scripts.

Características del RouterOS

Filtrado de paquetes por:

23

Origen, IP de destino.

Protocolos, puertos.

Contenidos (según conexiones P2P).

Puede detectar ataques de denegación de servicio (DoS)

Permite solamente cierto número de paquetes por periodo de tiempo.

Calidad de servicio (QoS)

Tipo de colas

RED

BFIFO

PFIFO

PCQ

Colas simples

Por origen/destino de red.

Dirección IP de cliente.

Interfase

Arboles de colas

Por protocolo.

Por puerto.

Por tipo de conexión.

Interfaces del RouterOS

Ethernet 10/100/1000 Mbit.

Inalámbrica (Atheros, Prism, CISCO/Airones)

Punto de acceso o modo de estación/cliente, WDS.

Síncronas: V35, E1, Frame Relay.

24

Asíncronas: Onboard serial.

ISDN.

xDSL.

Virtual Lan (VLAN).

Herramientas de manejo de red

Ping, traceroute.

Medidor de ancho de banda.

Contabilización de tráfico.

SNMP.

Torch.

Sniffer de paquetes.

Estas son las principales características del sistema operativo y software del

Mikrotik RouterBoard, elegido para la implementación de la red. (CAPACITY, 2014)

2.2.2. Direccionamiento IP

El direccionamiento IP es la forma como se identifica el destinatario del paquete que

se va a enviar a través de la red. Para identificar este destinatario se usa una

dirección IP con una longitud de 32 bits en IPv4 mientras que para IPv6, se usa una

dirección IP de 128 bits. La dirección IPv4 está formada por un identificador de red

(netID) y un identificador del host (host-ID). (Microsoft, 2005)

Las direcciones IP están divididas en clases para facilitar la búsqueda de equipos

en la red:

Clase A: Comprende el rango de direcciones desde 1.0.0.0 hasta 126.0.0.0.

Tiene reservado 7 bits para el net-ID y 24 bits para el host-ID. Se puede

formar 128 redes y alrededor de 16 millones de host por red.

25

Clase B: Su rango de direcciones va desde la dirección 128.0.0.0 hasta la

191.255.0.0. Distribuye 2 bits para la red, 14 bits para el netID y 16 bits para

el host-ID lo que permite crear una cantidad mayor de redes, más de 16000

y más de 65 host por red.

Clase C: Las redes disponibles para la clase C van desde la dirección IP

192.0.0.0 hasta la 223.255.255.0 dejando los 3 primeros bits para la red, 21

bits para el net ID y los 8 bits restantes para el host-ID. Esta distribución de

bits permite la creación de más de 2 millones de redes con 254 equipos cada

red.

Clase D: Reservada para servicios de multidifusión donde una estación envía

simultáneamente información a un grupo de estaciones.

Clase E: Destinada para hacer pruebas.

Las direcciones de red que inician en 127 son usadas para indicar el host local.

Ilustración 1. Clases de Redes

26

2.2.3. Enrutamiento

El enrutamiento de los datos a través de la red se realiza en la capa Internet del

modelo TCP/IP y consiste en hacer llegar los datos desde un origen hasta un

destino, haciendo pasar el paquete por diferentes elementos de red de ser

necesario.

Las decisiones de enrutamiento son tomadas por los routers a través de algoritmos

y tablas de enrutamiento donde se almacena información sobre la topología de la

red. (Microsoft, 2005)

Cuando un dispositivo de enrutamiento recibe el paquete, éste busca en su tabla de

enrutamiento para determinar si dicho paquete es para él o si debe redireccionarlo

al siguiente dispositivo. Si la dirección no existe en su tabla, la puede agregar de

forma dinámica si es su configuración lo permite, de lo contrario, la tabla sería

estática y no cambiaría al cambiar al topología de la red. (Microsoft, 2005)

Segmentación de redes

Una red grande se puede dividir en redes pequeñas llamadas segmentos de red.

El objetivo principal de segmentar una red es para poder aislar el tráfico, dividir el

dominio de colisión e incrementar el ancho de banda por segmento de red.

Se puede realizar segmentación de redes de forma física usando equipos como

repetidores, switch, routers y de forma lógica con redes virtuales (VLAN). (Microsoft,

2005)

2.2.4. Vlan.

Una Vlan es una agrupación lógica de dispositivos o usuarios que se pueden

agrupar por función, departamento o aplicación, sin importar la ubicación física del

segmento.

Sus principales características son:

27

o Funcionan en el nivel de capa 2 y capa 3 del modelo de referencia OSI.

o La comunicación entre VLAN es implementada por el enrutamiento de capa

3

o Proporcionan métodos para controlar los broadcast de la red

o El administrador de la red asigna usuarios a una VLAN

o Las VLAN pueden aumentar la seguridad de la red, definiendo cuales son los

nodos de red que se pueden comunicar entre sí.

Las Vlan permitan definir una nueva red por encima de la red física y, por lo tanto,

ofrece ventajas como mayor flexibilidad en la administración y cambios en la red, ya

que la arquitectura puede cambiarse usando los parámetros de los conmutadores,

aumenta la seguridad ya que la información se encapsula en un nivel adicional y

posiblemente se analiza, también disminuye el tráfico en la red. (Cisco, 2013)

2.2.5. Gestión de redes.

La Gestión de red se define como el conjunto de actividades dedicadas al control

y vigilancia de recursos de telecomunicación. Su principal objetivo es garantizar un

nivel de servicio en los recursos gestionados con el mínimo coste. (Hernando,

2002)

La Gestión de red debe responder a tres preguntas:

¿Qué objetivos se persiguen?

¿De qué recursos se dispone?

¿Cómo se van a cumplir los objetivos?

Los métodos de gestión de red deben ser puestos en práctica mediante la

organización de un Centro de Gestión de Red, que va a disponer de tres clases de

recursos:

Métodos de Gestión.

Recursos humanos.

Herramientas de apoyo.

28

Funcionalidad de los sistemas de gestión

Paradigma Gestor-Agente

La mayoría de las herramientas de apoyo de gestión de red se basan en el

paradigma Gestor-Agente.

Los sistemas de apoyo a la gestión poseen:

Una interfaz con el operador o el responsable de la red.

Una serie de componentes hardware y software entre los diferentes componentes

de la red.

Las características de estos componentes hardware y software permiten clasificar

las partes de un sistema de gestión de red en dos grupos:

Gestores. Son los elementos que interaccionan con los operadores humanos, y

desencadenan las acciones pertinentes para llevar a cabo las operaciones

solicitadas.

Agentes. Llevan a cabo las operaciones de gestión invocadas por los Gestores de

la red.

Los nodos de una red que posean un gestor se denominarán Nodos Gestores,

mientras que los nodos que tengan un agente se llamarán Nodos Gestionados.

La base del funcionamiento de los sistemas de apoyo a la gestión reside en el

intercambio de información de gestión entre nodos gestores y nodos gestionados.

Es lo que se llama Paradigma Gestor-Agente. (Hernando, 2002)

29

Monitorización

La monitorización es la parte de la gestión de red que se ocupa de la observación y

análisis del estado y el comportamiento de los recursos gestionados. Abarca cuatro

fases:

o Definición de la información de gestión que se va a monitorizar.

o Acceso a la información de monitorización. Las aplicaciones de

monitorización utilizan los servicios ofrecidos por un gestor para acceder a

los datos de monitorización mantenidos por un agente.

o Las comunicaciones entre gestores y agentes se realizan gracias a los

protocolos de gestión

o Diseño de políticas de monitorización. Se distinguen dos tipos de

comportamiento:

Sondeo. En este caso el gestor pregunta periódicamente a los agentes

por los datos de monitorización.

Informe de Eventos. Los agentes, por su propia iniciativa, informan a

los gestores.

o Procesado de la información de monitorización. Ésta es la etapa más

importante de la monitorización. (Hernando, 2002)

Control

La parte de control dentro de la gestión de redes es la encargada de modificar

parámetros e invocar acciones en los recursos gestionados.

Las Áreas Funcionales de Gestión

La ISO clasifica las tareas de los sistemas de gestión en cinco áreas funcionales:

o La Gestión de Configuración La Gestión de Configuración es el proceso de obtención de datos de la red y

utilización de los mismos para incorporar, mantener y retirar los diferentes

componentes y recursos que la integran. Consiste en la realización de tres tareas

fundamentales:

30

Recolección de datos sobre el estado de la red. Para ello generalmente se emplean

dos tipos de herramientas que funcionan de forma automática: las herramientas de

autodescubrimiento (auto-discovery) y las herramientas de autotopología (auto-

mapping). La primera lleva a cabo un sondeo periódico de la red para averiguar qué

elementos están activos y con qué características; la segunda averigua de qué

forma están interconectados los distintos elementos de la red. Toda esta

información se representa gráficamente mediante un mapa topológico. (Hernando,

2002)

o Cambio en la configuración de los recursos. Almacenamiento de los datos de configuración. Todos los datos obtenidos han de

ser almacenados para obtener el inventario de red. (Hernando, 2002)

o La Gestión de Prestaciones La Gestión de Prestaciones tiene como principal objetivo el mantenimiento del nivel

de servicio de la red.

La gestión de prestaciones basa sus tareas en la definición de unos indicadores de

funcionamiento. Es decir, es necesario fijar una serie de criterios que permitan

conocer cuál es el grado de utilización de un recurso. Los indicadores más utilizados

se clasifican en dos grandes grupos:

Parámetros de funcionamiento orientados al servicio. Miden el grado de satisfacción

del usuario al acceder a los recursos. Los más importantes son la disponibilidad, el

tiempo de respuesta y la tasa de error.

Parámetros de funcionamiento orientados a la eficiencia. Miden el grado de

utilización de los recursos. Básicamente son la productividad (throughput) y la

utilización.

La gestión de prestaciones consiste en realizar cuatro tareas básicas:

Recogida de datos.

31

Establecimiento de umbrales. Cuando se supera un determinado grado de

utilización de un recurso se dispara una alarma.

Modelado de la red. Se crea un modelo teórico para simular el comportamiento de

la red bajo determinadas circunstancias.

La Gestión de Fallos La Gestión de Fallos tiene como objetivo fundamental la localización y recuperación

de los problemas de la red. Abarca dos tareas principales:

Detección e identificación de los fallos.

Corrección del problema.

La Gestión de Seguridad El objetivo de la Gestión de Seguridad es ofrecer mecanismos que faciliten el

mantenimiento de políticas de seguridad. La Gestión de Seguridad se ocupa de los

siguientes puntos:

Identificación de la información a proteger y dónde se encuentra.

Identificación de los puntos de acceso a la información.

Protección de los puntos de acceso.

Mantenimiento de los puntos de acceso protegidos.

Evolución de los Sistemas de Gestión Las primeras redes tenían pocos nodos y cada uno de ellos tenía su propio

administrador. Cuando surgía algún problema que afectaba a más de un nodo, los

administradores correspondientes se ponían en contacto para solucionarlo. Este

modo de gestión de red se denomina Gestión Autónoma.

32

Con el crecimiento del número de nodos la solución anterior ya no es eficaz. Por

ello a principios de los ochenta aparecieron aplicaciones que posibilitaban la

supervisión remota de los nodos de las redes. Sin embargo, cada aplicación sólo

servía para redes que estuvieran compuestas por equipos de un mismo fabricante.

Ésta es la denominada Gestión Homogénea.

Con la evolución de las redes la heterogeneidad de los recursos se hizo mayor, por

lo que se desarrollaron sistemas de Gestión Heterogénea.

Más tarde fue necesario evolucionar haca los sistemas de Gestión Integrada, que

permiten la utilización de un único Centro de Gestión válido para llevar el control de

entornos heterogéneos. Para llegar a estos sistemas era necesaria una

estandarización previa de la gestión de red. En la actualidad existen tres modelos

fundamentales de gestión integrada:

Gestión de Red OSI Open Systems Interconnection (Interconexión de Sistemas

Abiertos). Definido por ISO, con el objetivo de lograr la gestión de los recursos del

modelo de referencia OSI.

Gestión Internet. Definido por la Internet Society para gestionar el modelo de

referencia TCP/IP.

Arquitectura TMN Telecommunications Management Network (Red de Gestión de

las Telecomunicaciones). Definida por la ITU-T. Más que un modelo de red, define

una estructura de red basada en los modelos anteriores. (Hernando, 2002)

Modelos de Gestión Estándar

o El Modelo de Gestión OSI

La Gestión de Sistemas OSI se basa en el uso de protocolos del nivel de aplicación

para el intercambio de información de gestión según el paradigma Gestor-Agente.

La Gestión de Sistemas OSI consta de cuatro modelos, que son:

33

Modelo de Comunicación.

Modelo de Información.

Modelo Funcional. En él se definen las funciones de gestión.

Modelo de Organización. En él se exponen las posibles subdivisiones de la

red en dominios de gestión. (Hernando, 2002)

o El Modelo de Comunicaciones

La Gestión de Sistemas OSI propugna el intercambio de información de gestión

mediante un protocolo de nivel de aplicación. Este protocolo se denomina CMIP

(Common Management Information Protocol), Protocolo Común de Información de

Gestión. CMIP proporciona el servicio CMIS (Common Management Information

Service), Servicio Común de Información de Gestión.

CMIS integra dos grandes grupos de servicios:

Servicios de Notificación. Únicamente hay un servicio de este tipo: M-EVENT-

REPORT, que permite a los agentes informar a los gestores de determinados

sucesos especiales en los objetos gestionados que mantienen. Permite una

gestión orientada a objetos.

Servicios de Operación. Hay seis servicios de operación, son usados por el

gestor para invocar operaciones de gestión a los agentes y para devolver los

resultados de esas operaciones a los gestores. Estos servicios son: M-GET, M-

SET, M-ACTION, M-CREATE, M-DELETE, M-CANCEL-GET.

CMIP es un protocolo orientado a conexión, lo que aporta mayor fiabilidad pero, por

otro lado, introduce una sobrecarga en las comunicaciones de gestión. (Hernando,

2002)

o El Modelo de Información

El modelo de información OSI se basa en el concepto de Objeto Gestionado, que

es la abstracción de recursos de comunicación o de procesado de información con

el propósito de su gestión. Del mismo modo, se define Clase de Objetos

34

Gestionados como el conjunto de objetos que tienen las mismas propiedades de

cara al sistema de gestión.

Para llevar a cabo la especificación de las clases de objetos gestionados en las

gestión OSI se utiliza la sintaxis GDMO (Guidelines for the Definition of Managed

Objects), Directrices para la Definición de Objetos Gestionados. GDMO se basa en

la utilización de unas plantillas. (Hernando, 2002)

o El Modelo de Gestión en Internet

En los setenta el número de nodos de Internet era muy reducido se gestionaba

Internet con las facilidades que ofrecía el protocolo ICMP, como el PING. Cuando

Internet avanzó en complejidad, multiplicando el número de nodos se empezó a

trabajar en tres soluciones diferentes, que se definieron en 1987:

SGMP (Simple Gateway Monitoring Protocol), Protocolo Simple de Monitorización

de Pasarelas. Sencillo Protocolo orientado fundamentalmente a la gestión de

pasarelas IP. Posteriormente pasaría a llamarse SNMP (Simple Network

Management Protocol), Protocolo Simple de Gestión de Red.

HEMS (High-Level Entity Management System), Sistema de Gestión de Entidades

de Alto Nivel. Nunca llegó a tener aplicación práctica.

CMOT (CMIP). Adopción de los estándares ISO como marco de gestión para

Internet sobre una torre de protocolos TCP/IP.

En 1990 el SNMP se convirtió en el estándar de las redes TCP/IP y de Internet. En

1992, se comenzó el trabajo para especificar una nueva versión de SNMP, la

SNMPv2; aunque hoy en día todavía continúan los trabajos de actualización.

(Hernando, 2002)

o Arquitectura de Gestión de Red en Internet

Los sistemas de gestión de Internet están formados por cuatro elementos básicos:

Gestores, Agentes, MIB y el protocolo de información de intercambio SNMP.

35

Existe un tipo de agente que permite la gestión de partes de la red que no comparten

el modelo de gestión de Internet. Son los llamados Agentes Proxy. Estos agentes

proxy proporcionan una funcionalidad de conversión del modelo de información y

del protocolo. (Hernando, 2002)

o Tecnología de Gestión de Red: Las Plataformas de Gestión

La utilización de modelos de gestión integrada obliga a todas las aplicaciones de

gestión a utilizar la misma infraestructura de comunicaciones y de información, las

denominadas Plataformas de Gestión de Red.

Una plataforma viene a ser el sistema operativo de las aplicaciones de gestión. Se

trata de un entorno de ejecución y, a menudo, de desarrollo, que ofrece una serie

de servicios a las aplicaciones de gestión a través de un conjunto de APIs.

Una plataforma de gestión típica está compuesta de cuatro elementos:

Una API de Gestión que puedan utilizar todas las aplicaciones de gestión,

independientemente del protocolo de gestión del recurso gestionado y de la red

empleada para acceder a los recursos.

Un sistema de gestión de información, generalmente un gestor de bases de

datos relacionales, accesible por todas las aplicaciones.

Una interfaz de usuario común para todas las utilidades y aplicaciones.

Un conjunto de aplicaciones propias de la plataforma que ofrecen una

funcionalidad básica de gestión de red.

Las principales plataformas de gestión de red son:

SunNet Manager de Sun Microsystems.

OpenView de Hewlett-Packard.

NetView/6000 de IBM.

Polycenter de DEC.

Spectrum de Cabletron.

36

ISM de Bull. (Hernando, 2002)

SNMP. Protocolo Simple de Gestión de Red

En mayo de 1990 se publicó el RFC 1157, definiendo la versión 1 del SNMP (Simple

Network Management Protocol, Protocolo Simple de Gestión de Red). El SNMP

proporcionó una manera sistemática de supervisar y administrar una red

informática, convirtiéndose rápidamente en un estándar de facto para la

administración de redes.

En los RFC 1441 a 1452 se definió una versión mejorada del SNMP (SNMPv2) que

se volvió un estándar en Internet.

El modelo SNMP

El modelo SNMP de una red administrada consta de cuatro componentes:

Nodos administrados.

Estaciones administradas.

Información de administración.

Un protocolo de administración.

Los nodos administrados pueden ser hosts, enrutadores, puentes, impresoras u

otros dispositivos. Para ser administrado directamente por el SNMP, un nodo debe

ser capaz de ejecutar un proceso de administración SNMP, llamado agente SNMP.

Cada agente mantiene una base de datos local de variables que describen su

estado e historia y que afectan a su operación.

La administración de la red se hace desde estaciones administradoras, que son

ordenadores con un software de administración especial. La estación

administradora contiene uno o más procesos que se comunican con los agentes a

través de la red, emitiendo comandos y recibiendo respuestas.

El SNMP describe la información exacta de cada tipo de agente que tiene que

administrar la estación administradora y el formato con el que el agente tiene que

37

proporcionarle los datos. Cada dispositivo mantiene una o más variables que

describen su estado, estas variables se llaman objetos. El conjunto de todos los

objetos posibles de una red se da en la estructura de datos llamada MIB

(Management Information Base, Base de Información de Administración.

La estación administradora interactúa con los agentes usando el protocolo SNMP.

Este protocolo permite a la estación administradora consultar, y modificar, el estado

de los objetos locales de un agente.

A veces pueden ocurrir sucesos no planeados, como un congestionamiento o la

caída de una línea. Cada suceso significativo se define en un módulo MIB. Cuando

un agente nota que ha ocurrido un suceso significativo, de inmediato lo informa a

todas las estaciones administradoras de su lista de configuración. Este informe se

llama interrupción SNMP. Como la comunicación entre los nodos administrados y la

estación administradora no es confiable, la estación administradora debe sondear

ocasionalmente cada nodo. El modelo de sondeo a intervalos grandes con

aceleración al recibirse una interrupción se llama sondeo dirigido a interrupción.

(Hernando, 2002)

ASN.1. Notación de Sintaxis Abstracta 1

El corazón del modelo SNMP es el grupo de objetos administrados por los agentes

y leídos y escritos por la estación administradora. Para hacer posible la

comunicación multiproveedor, es esencial que estos objetos se definan de una

manera estándar.

Por esta razón, se requiere un lenguaje de definición de objetos estándar, así como

reglas de codificación. El lenguaje usado por el SNMP se toma del OSI y se llama

ASN.1 (Abstract Syntax Notation One), Notación de Sintaxis Abstracta uno.

Una sintaxis de transferencia ASN.1 define la manera en que los valores de los tipos

ASN.1 se convierten sin ambigüedad en secuencia de bytes para su transmisión (y

se decodifican sin ambigüedad en el otro terminal). La sintaxis de transferencia

usada por el ASN.1 se llama BER (Basic Encoding Rules), Reglas Básicas de

Codificación. (Hernando, 2002)

38

3. HIPOTESIS

¿El diseño y aplicación de una red para la compañía comercial universal Surtitodo

S.A. basada en mikrotik permitirá solucionar la problemática actual en cuanto a

conectividad y seguridad?

4. DISEÑO Y PROCEDIMIENTO.

4.1. Red anterior

Ilustración 2. Esquema de Red anterior Surtitodo S.A.

39

La red anterior se componía del router ISP, y un router gama baja marca El router

inalámbrico ENHWI-2AN3, donde se conectaban las subredes de administración,

ventas y producción.

El router en cuestión no es un router de alta productividad, por lo que genera

grandes problemas de congestión de datos, debido a que no puede administrar la

gran cantidad de volumen de información que transita por la red.

Los switch en cada una de las áreas son idénticos, ninguno posee la cualidad de

poder administrar sus puertos, al igual que están imposibilitados de generar VLAN

o cualquier otro tipo de política que se pueda generar en otro tipo de switch.

Debido a esta disposición de red y los constantes problemas que posee, al igual

que la pérdida de tiempo de los trabajadores en tener que desplazarse hasta otro

piso a buscar sus impresiones. Esta es una de las razones para reestructurar la red,

optimizar los recursos y mejorar la producción de la misma.

Luego de examinar la situación que se presenta se decide planificar toda una

reestructuración de la red nueva. Lo cual solucionará problemas de congestión al

igual que proveerá mayor productividad, esto generara grandes beneficios.

40

4.2. Nueva Red Surtitodo

Ilustración 3. Nueva Red Surtitodo S.A.

4.2.1. Direccionamiento IP

La empresa Surtitodo S.A. cuenta con el siguiente direccionamiento IP para sus

departamentos, se encuentran distribuidos de la siguiente manera:

Tabla de direcciones ip

41

ÁREA Rango IP

Desde Hasta

Servidores 192.168.01.5/24 192.168.01.254/24

Administración 192.168.10.5/24 192.168.10.254/24

Ventas 192.168.11.5/24 192.168.11.254/24

Producción 192.168.12.5/24 192.168.12.254/24

Pereira la 8va 192.168.13.5/24 192.168.13.254/24 Tabla 1. Rango de Direcciones IP

La nueva red planeada posee una nueva sub red de servidores. Además en esta

nueva reestructuración se interconectara las oficinas de ubicadas en la ciudad de

Medellín con las oficinas de ventas en la ciudad de Pereira.

Router Ppal

El router que se encuentra en las oficinas de Medellín es el Mikrotik RouterBoard

751g con sistema operativo Mikrotik RouterOS

Él router dará servicios a la red, en los cuales podemos contar el Servidor DHCP,

Firewall, Servidor PPPoE, Cliente PPPoE, Servidor PPTP, modelado de colas,

cliente NTP, Servidor NTP, Hotspot.

El servidor DCHP, nos brinda las direcciones de IP, Gateway, broadcast y DNS para

cada una de las subredes.

El firewall se utilizara para las siguientes actividades:

Bloqueo de cliente MSN live Messenger.

Bloqueo P2P para redes Producción y Ventas.

Redireccionamiento de puertos

o Puerto 80 WEB.

o Puerto 110 POP3.

o Puerto 25 SMTP.

o Puerto 1723 PPTP.

Descartar conexiones invalidas

42

Aceptar conexiones establecidas

Acepta trafico UDP.

Acepta paquetes de icmp limitados.

Descarta excesivos paquetes de icmp.

Descarta el resto de las conexiones externas

El servidor PPTP, será utilizado para interconectar las oficinas de Medellín y Pereira,

permitiendo el intercambio seguro de datos entre las sedes de Pereira y la oficina

principal ubicada en Medellín, además la posibilidad de asistir las eventualidades

remotamente.

El modelado de colas se utilizara para asignarle un determinado ancho de banda a

cada una de las sub redes. Al igual se utilizara el modelado de colas para el control

de ancho de banda para los clientes P2P.

El cliente NTP, se utilizara para sincronizar la hora de nuestro Mikrotik. El servidor

NTP se utilizara para que las computadoras de red estén sincronizadas.

El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al

navegar a través de Internet. Para ello se aplicaran las siguientes políticas:

Bloqueo de Pornografía.

Bloqueo páginas que brinden el servicio de Web Messenger.

Bloqueo del Live Messenger a través del proxy.

Bloqueo de páginas que brindan webmail.

Bloqueo de descarga directa de archivos MP3 y AVI.

Bloqueo de descarga directa de archivos RAR, ZIP, EXE.

43

4.3. Sub Red Administración

Ilustración 4. Red Administración

La nueva restructuración de la sub red de administración se debió al alto tráfico que

tenían entre todas las otras redes. Para medir esto se usó el programa BW Meter

Versión 6.8.1 (Tarapues, 2014), en modo free trial, durante 7 días de mediciones

con los siguientes resultados

44

Ilustración 5. Medición Tráfico

Esto era debido a que todos los datos de las demás sedes, 17 en total, llegaban a

esta área para la actuación del sistema, lo que congestionaba los demás servicios

ya que se contaba con un solo servidor.

A esta sub red sele cambio el Switch por uno de alta productividad marca Cisco

SRW224G4-K9-NA SF 300-24 de 24 puertos 10/100 Managed Switch y los datos

del nuevo sistema sap serán redirigidos al nuevo servidor data base destinado para

eso

Nuestra sub red poseerá un pool de impresoras de red para esta sola área. Esto

disminuirá el tráfico de impresión al igual que el tráfico de personal ajeno a

administración.

Así mismo se instalara un servidor de archivos propio de administración en el cual

se encontrara exclusivamente los archivos de esta área.

Las direcciones de ip, Gateway, broadcast y dns, serán asignados por el router

Mikrotik mediante dhcp. El rango de direcciones será desde 192.168.10.5/24 al

192.168.10.254/24. Se decidió dejar las direcciones desde el 192.168.10.2/24 al

45

192.168.10.1/24 fuera de este rango debido a que si en un futuro se desean instalar

más servidores para esta área.

Ya que dentro de esta área se encuentra la Gerencia, la misma autorizo la utilización

de los P2P para dicha área. El trafico P2P será modelado para que no ocupe gran

cantidad de ancho de banda.

4.4. Sub red Ventas.

Ilustración 6. Red Ventas

Las direcciones de ip, Gateway, broadcast y dns serán asignados por el router

Mikrotik mediante el DHCP. El rango de direcciones será desde 192.168.11.5/24 al

192.168.11.254/24. Se decidió dejar las direcciones desde el 192.168.11.2/24 al

192.168.11.4/24 fuera de ese rango para el caso de que se quiera instalar algún

otro tipo de dispositivo o servidor.

46

La red de ventas será conectada a través del switch al router mediante un backbone

de 1Gbit Ethernet. El cual será limitado mediante teoría de colas simples a 400Mbits

de subida y 300Mbit de bajada, se asignan estos valores debido a que los datos de

ventas deben estar actualizando constantemente, para mantener la información de

la empresa al día en todo momento.

Esta sub red contendrá a las pc’s de Pereira, dicha oficina será conectada a la

oficinas de Medellín mediante VPN. Se utilizara el protocolo PPTP para crear el

túnel.

El trafico P2P queda bloqueado para esta red.

Ilustración 7. Esquema VPN

47

4.5. Sub red Producción

Ilustración 8. Sub Red Producción

A la sub red de producción se le cambiara el switch que poseía, por uno de alta

productividad, que nos de la capacidad de administrar los puertos.

Esta red poseerá un pool de impresoras de red para esta sola área, esto disminuirá

el tráfico de impresión al igual que el personal ajeno al área de administración.

Así mismo se instalara un servidor de archivos propio de esta área, en el cual se

encontrara solo archivos de dicha área.

48

Las direcciones de ip, Gateway broadcast y dns, serán asignados por el router

Mikrotik mediante DHCP. El rango de direcciones será desde 192.168.12.5/24 al

192.168.12.254/24. Se decidió dejar las direcciones entre el rango 192.168.12.2/24

al 192.168.12.4/24 fuera de este rango en caso de que se quiera instalar algún otro

dispositivo o servidor para esta área.

La red de ventas será conectada a través del switch al router mediante un

backbone de 1Gbit Ethernet. El cual será limitado mediante teoría de colas simples

a 350M/bits de subida y 400M/bits de bajada.

Para esta sub red queda prohibido el trafico P2P.

4.6. Red Servidores

Ilustración 9. Sub Red Servidores

49

A la sub-red de Servidores se decidió cambiarle el switch que poseía para utilizar

un switch de alta productividad, que nos brinde la posibilidad de administrar puertos.

Nuestra sub-red poseerá un pool de impresoras de red para esta sola área. Esto

disminuirá el tráfico de impresión al igual que el tráfico de personal ajeno a

Administración.

Las direcciones ip, Gateway, Broadcast y dns, serán asignados por el router mikrotik

mediante DHCP. El Rango de direcciones será desde 192.168.1.5/24 al

192.168.1.254/24. Los números de ip asignados a los servidores serán asignado

mediante la dirección MAC de cada uno.

Así mismo se le instalará un servidor de archivos propio de administración en el cual

se encontrará exclusivamente los archivos de dicha área.

El servidor de SNMP se utilizara para la monitorización de la red.

50

5. Análisis del nivel de seguridad de la información de la red de Surtitodo

S.A. y Configuración del router Mikrotik RouterBoard 751 g

La seguridad de la información es de gran importancia actualmente y es un

concepto que muchas empresas no han tenido en cuenta, ya sea porque

desconocen las amenazas a las que se encuentran expuestas día a día o las

utilidades que traería este nuevo gasto. Debido a la ignorancia que se tiene

referente a estos temas, la inversión que hacen muchas compañías para ayudar a

minimizar el grado de vulnerabilidad dentro de una red es muy baja, quedando

insegura la información.

Usualmente las empresas toman conciencia de la seguridad informática tras recibir

un ataque que se ve reflejado en la pérdida, robo, alteración o secuestro de la

información.

Teniendo en cuenta lo anterior, la empresa se vio obligada a buscar medidas que

ayudaran a mitigar cualquier amenaza que pudiese afectar la integridad de la

información manejada por parte de ésta.

La empresa Surtitodo S.A., inició sus labores a mediados del año 1994 con sólo

cuatro computadores, sin contar con una arquitectura de red apropiada. Con el

pasar de los años se han ido agregando los dispositivos necesarios para su

operatividad dentro de una red local y salida a Internet, todo esto sin tener en

cuenta aspectos y políticas de seguridad que protejan la información que la

empresa maneja y almacena.

En este capítulo se hará un estudio de las vulnerabilidades presentes en la

infraestructura de red con la que cuenta actualmente ANPRA, mencionando sus

posibles soluciones. El estudio se divide en tres fases, en primer lugar se hará un

estudio de manera interna, mencionando las debilidades que tiene la red LAN de

la empresa, posteriormente, se hará un análisis del servidor de la empresa y los

servicios con los que cuenta ANPRA, y finalmente se hará un estudio de manera

externa al tráfico que genera y recibe la red para encontrar sí existe o no anomalías

que afecten la integridad de la información.

51

5.2. Debilidades de la red Surtitodo S.A.

El proyecto de proteger una red no garantiza un 100% de defensa frente a los

diversos ataques que puedan ser realizados hacia la compañía, por esta razón, ni

la cantidad de dinero que se invierta en seguridad, ni el tiempo que los ingenieros

gasten en supervisar la red podrán asegurarle a los administradores que la empresa

se encuentre totalmente protegida.

Actualmente se espera que las personas vinculadas a una empresa conozcan o

tengan conocimientos mínimos acerca de la seguridad informática, teniendo en

cuenta que uno de los activos importante de una compañía es la información. El

hecho de no tener claro el valor que tiene la información dentro de la organización,

es un factor que puede influir en la ocurrencia de los siguientes inconvenientes:

Alteración de los datos manejados dentro de la compañía.

Pérdida de información.

Divulgación de información personal.

Documentación de diseños y productos propios de la fábrica haciendo que

lleguen a manos equivocadas tanto de personas internas como de personas

externas a la compañía.

Todo lo anterior, sin tener en cuenta los problemas de seguridad a los que se

enfrenta la información que viaje a través de Internet. El desarrollo del estudio del

nivel de seguridad interno de la infraestructura de Surtitodo, se hará mediante un

análisis de las distintas vulnerabilidades dentro de la red, entrevistas con el personal

que labora en la compañía y desarrollo de actividades junto al ingeniero de

sistemas. Todo esto permitirá crear estrategias para concienciar a los empleados y

al mismo tiempo buscar soluciones a los diferentes inconvenientes que se puedan

encontrar.

Amenazas Internas

52

Es importante tener en cuenta que el éxito de una red segura empieza desde los

empleados de la misma compañía, por esta razón se hace de vital importancia

estudiar varios aspectos dentro de la empresa que podrían convertirla en vulnerable.

Se encontraron deficiencias en:

a. Hardening a base de datos.

b. Acceso dentro de la red LAN (libre acceso dentro de la red).

c. Sesiones de usuario (se encuentran sin clave).

d. Entrenamiento del personal (no existe concienciación).

e. Archivos y directorios (no hay restricción de uso).

f. Seguridad física.

g. Passwords (claves débiles).

h. Red Interna (el Internet inalámbrico permite que los visitantes utilicen la misma

i. subred de la empresa). j. Access Point (seguridad con WEP).

a. Hardening a Base de Datos

Hardening es una acción que se compone de varias actividades o un conjunto

de buenas prácticas y procedimientos tanto físicos como lógicos, que son

llevados a cabo por el administrador de un sistema operativo para reforzar y

aumentar el nivel de seguridad de los equipos y aplicaciones de una

compañía, con el propósito de hacerle más difícil la materialización de un

ataque de una persona con malas intenciones. Es importante recordar que

esta es una de las operaciones que se deben tener en cuenta para llegar a

un buen punto de seguridad dentro de la empresa; hacer Hardening no quiere

decir, que el sistema será 100% invulnerable a ataques, pero si ayudará a

minimizar los ataques a los que quedan expuestas día a día las bases de

datos.

Procedimientos Físicos

La seguridad de los datos comienza desde la protección de los

dispositivos que contienen la información vital de la empresa. Se podrá

crear una excelente seguridad lógica para proteger los datos sensibles de

la compañía, pero si no se tiene en cuenta un buen mecanismo o

procedimiento de seguridad física, la información estará vulnerable dentro

de las mismas instalaciones, debido a que personal no autorizado tendrá

53

acceso a aquellos equipos de almacenamiento de bases de datos donde

podrá modificar, extraer y destruir información almacenada, y así como

también por los daños que este personal podría hacer de manera física

como: desconexión, robo, destrucción o manipulación de los servidores.

Surtitodo, no contaba con un procedimiento o mecanismo de protección

física de los dispositivos de almacenamiento de información, dejando a la

empresa expuesta a cualquier manipulación por parte de personal no

autorizado dentro y fuera de la compañía.

Para una buena práctica de Hardening de seguridad física es

recomendable que se tomen las siguientes medidas:

Ubicar los servidores en salas cerradas donde sea de carácter

obligatorio registrar la entrada y salida de cualquier persona

Desconectar de Internet la red de Surtitodo mientras se esté instalando el sistema operativo al servidor de la empresa debido a que toda la red queda expuesta sin ninguna protección alguna.

No dejar las llaves puestas en las carcasas de los servidores.

Definir contraseñas del sistema operativo.

Definir el orden de inicio de la BIOS para que el servidor no pueda ser iniciado desde un Diskette o CD.

Eliminar unidades que no se necesiten en el servidor (unidad de

diskette, unidad de CD, etc.).

Procedimientos Lógicos

La seguridad lógica consiste en establecer medidas o procedimientos que

protejan el acceso a la información, de tal manera que solo sea manipulada

por personal autorizado. Después de descubrir las deficiencias con las que

cuenta la seguridad física dentro de Surtitodo, es importante tener en cuenta

que en general los daños sufridos en el interior de la empresa a nivel de

software o datos, son los determinantes en cuanto a la dinámica de la

54

empresa, debido a que afectan directamente la operación y el desempeño en

cuanto a productividad dentro de la organización.

Estos son algunos de los aspectos en los que se encontraron deficiencias y

las posibles soluciones que se plantean para las diversas vulnerabilidades:

1) Seguridad en la instalación del Sistema Operativo: Las carpetas que

manejen información vital para la empresa deben estar en un disco

diferente al disco donde se encuentre el sistema operativo instalado,

debido a que si existe alguna falla en el sistema la integridad de los datos

no se verá comprometida.

2) Contraseñas Fuertes: La contraseña establecida en el servidor de la

empresa, debe tener un alto grado de complejidad ya que en muchas

ocasiones es utilizado el ataque por fuerza bruta, el cual a pesar de ser

un mecanismo lento que deja rastros, es muy efectivo frente a

contraseñas débiles. Es necesario establecer políticas de bloqueo de

sesión por intentos fallidos y al mismo tiempo crear periodos de caducidad

permitiendo así, una renovación en la clave cada cierto tiempo.

Nota: Se pudo tener acceso a la cuenta del servidor utilizando como

usuario: Administrador, y como contraseña: admin.

3) Instalación, Configuración y Actualización de Software de seguridad:

antivirus, anti-spyware, anti-spam, Firewall, entre otros.

4) Permisos para la utilización de programas: la única restricción que existe

por medio de contraseña es el acceso a la base de datos, por lo que es

necesario la creación de perfiles dentro de la empresa para permitir o

restringir el acceso de ciertos programas o aplicaciones, limitando el libre

acceso a la información del sistema.

5) Controles de acceso externos e internos: se debe crear un control de

permisos y puertos para prevenir la instalación de tecnologías tanto

software como hardware que puedan comprometer la seguridad y el

rendimiento de la red.

b. Acceso dentro de la red LAN

55

La empresa Surtitodo cuenta con que trabaja en una única red para todas sus

dependencias (Gerencia, Logística y Ventas) y clientes que llegan a la

compañía, sin ningún tipo de control, generando así varios problemas y

amenazas hacia la red interna de la compañía como:

Tráfico indeseado en el canal de Internet utilizado por la empresa debido a que ninguna estación de trabajo tiene limitación para hacer uso del ancho de banda.

Acceso por parte de usuarios malintencionados a información que no corresponde a su dependencia (nómina, base de datos, lista de precios, lista de clientes, información sensible de la empresa, etc.).

Manipulación de la información con un propósito específico para propio beneficio (desvío de Fondos, alteración en la nómina etc.).

Comprometer toda la red al introducir un virus de forma accidental o de manera premeditada por parte de los usuarios.

Captura y monitoreo de todo el tráfico de la red utilizando programas de

Sniffer (Ethereal, Wireshark, TCP-dump, Snort, etc.) para encontrar

deficiencias en la red que puedan ser aprovechadas en un ataque.

Es importante no subestimar las capacidades de los empleados que tengan

acceso a la red, pues se desconoce el grado de conocimiento que ellos

pueden tener y del que pueden valerse para realizar un ataque contra la

empresa. Dada esta situación, es difícil para un administrador de red pensar

que los empleados puedan realizar ataques contra la empresa donde

laboran, sin embargo, es necesario tener en cuenta este tipo de aspectos

para realizar un buen trabajo de seguridad que ayude en caso de sufrir

cualquier problema de esta índole.

La configuración del router Mikrotik ayudara a reducir en gran magnitud los

inconvenientes que se puedan generar debido a la ausencia de control

interno y respaldar el tema de la confidencialidad de la información. Esto

permite mejorar el aprovechamiento del ancho de banda de la red haciendo

56

la conectividad más eficiente, permitirá o prohibirá el tráfico según las

condiciones establecidas dentro de la red Surtitodo.

c. Seguridad en sesiones de usuario

Se refiere al proceso de administrar en forma eficiente todas las cuentas de

usuarios que existan o que se encuentren habilitadas dentro de la empresa.

Para incrementar la seguridad de las cuentas de usuario se deben tomar ciertas

medidas y modificar ciertos aspectos como:

Las cuentas de invitado deben ser eliminadas de todos los computadores,

así como también todas aquellas cuentas que fueron creadas para propósitos

especiales o que pertenecen a empleados que ya no laboran dentro de la

empresa. Además, la cuenta de administrador debe ser renombrada para

evitar ataques directos a ella.

Las cuentas administrativas deben tener una copia de seguridad para evitar

la pérdida de información en caso de algún problema inesperado con la

cuenta real.

Se debe crear un conjunto de procedimientos referentes a la administración

de archivos, correos y acceso de personal que ya no labora en la empresa.

Se deben asignar permisos de manera obligatoria a los nuevos empleados

que operen dentro de la red Surtitodo, que sean supervisados por el

respectivo personal encargado para evitar la asignación de recursos a

personas que no deben tener acceso a ella.

Dar carácter obligatorio al uso de una contraseña en cada una de las

sesiones y establecer políticas que estén relacionadas con la seguridad en

el manejo de las contraseñas de las sesiones, estableciendo el periodo de

caducidad, tamaño de la contraseña, posibilidad de que esta no sea repetida.

57

d. Concientización y entrenamiento del personal

La parte más insegura de cualquier red interna es el usuario, por lo cual es

necesario adoptar procedimientos y prácticas para educar a la persona teniendo

en cuenta aspectos como:

Establecer buenos hábitos y prácticas de seguridad para disminuir el riesgo

de ser vulnerables ya sea contra ataques a la red, virus, códigos maliciosos,

spam, etc., debido a que no es suficiente diseñar un esquema de seguridad

si no se administra correctamente día a día.

Realizar un esquema sencillo, viable y efectivo que supla las necesidades

principales de la compañía, donde se establezcan buenas prácticas y se

documenten los procedimientos relacionados con la seguridad adoptando

mecanismos para comprobar que los empleados los sigan, ya que si se tiene

un esquema de seguridad robusto y complejo que sobredimensione las

necesidades principales de la empresa, podría ser que los empleados eviten

seguirlo de forma prudente.

Se debe entrenar a todo el personal de la empresa enfocándose en las

nuevas técnicas de seguridad adoptadas, para facilitar la unión entre los

trabajadores y el intercambio de sus destrezas, conocimientos, apoyo y

responsabilidad, que mejore la calidad de trabajo maximizando de esta

manera la utilización de las capacidades de los recursos humanos de

Surtitodo.

Se debe acondicionar los puestos de trabajo en que les proporciona a los

empleados la información, el conocimiento y los recursos requeridos, para

desempeñarse óptimamente en sus labores e inculcarles a cada uno la idea

de que es dueño de su propio trabajo.

58

5.3. ANÁLISIS DE LA SEGURIDAD IMPLEMENTADA POR PARTE DEL

ROUTERBOARD MIKROTIK 751G EN SURTITODO S.A.

Uno de los aspectos más importantes en este proyecto, abarca el estudio del nivel

de seguridad ofrecido por el Mikrotik RouterBoard 751G, y de esta forma encontrar

las vulnerabilidades de la empresa a partir de la seguridad implementada en la

infraestructura de red. El análisis se hizo estudiando las características y

mecanismos que la empresa utiliza para manejar la información sensible de la

organización.

Surtitodo cuenta con una infraestructura de red bastante importante ya que la

empresa paso de 250 empleados a 500 en los últimos 4 años debido a su

crecimiento exponencial, por lo que cuenta con 17 sucursales a nivel nacional.

Actualmente la protección está basada en la tecnología Mikrotik Router OS. Las

políticas que maneja el mikrotik son las siguientes:

Mikrotik RouterBoard 751g

La empresa Surtitodo S.A., como mecanismo de protección cuenta con el dispositivo

Mikrotik RouterBoard 751g, configurado de la siguiente manera:

o Ingreso al Mikrotik

Hay varias maneras para acceder a la administración del Mikrotik sin haber

configurado nada en un principio.

La primera es directamente desde la consola si se hizo alguna instalación, otro

método es utilizando una consola Telnet a través del el puerto serie o Ethernet por

MAC o ip, sino mediante la utilización del software winbox, el cual lo brinda los

desarrolladores de Mikrotik.

Debido a la flexibilidad, rapidez y ventajas que presenta la utilización de winbox

respecto a los otros métodos, éste será la manera con la cual realizaremos la

configuración de la red.

59

Ilustración 10. Ingreso al Mikrotik

En esta ventana nos deja introducir las direcciones Mac o ip del router Mikrotik al

cual estamos conectados. Hacemos clic en (…) esto hará que el software nos

devuelva las direcciones Mac de las interfases de red que posean un router Mikrotik

instalado. Seleccionamos la interfase y luego utilizaremos de Login: admin y como

Password: (nada). Al finalizar esta carga de datos hacemos clic en Connect.

Luego cuando el software se conecta al Mikrotik automáticamente empieza a

descargar los plugins instalados en el Mikrotik para poder administrarlos

remotamente.

Ilustración 11. Descarga de Plugins

60

Al finalizar la descarga de los plugins nos aparece la pantalla de configuración del

Mikrotik. En la cual a mano izquierda se encuentra el menú de configuración de

cada uno de los módulos instalados.

Ilustración 12. Menú de Configuración

En la barra superior del software nos encontramos con la barra de herramienta. En

la misma sobre mano izquierda posee las opciones de undo y redo. Sobre mano

derecha podemos encontrar dos iconos, el primero muestra la utilización del

Mikrotik y el segundo nos indica si la conexión que estamos realizando es segura

o no.

61

o Definición y configuración de las interfases.

Nos dirigimos al menú y elegimos INTERFASES. A continuación nos aparece la lista

de interfases que posee nuestro sistema. Hacemos doble clics sobre las interfases

y les vamos cambiando el nombre asignándole los nombres correspondientes a

cada una. En nuestro caso utilizaremos:

UNE para nuestra conexión dedicada con IP fijo con el otro proveedor.

Ventas: Será la interfase exclusiva de ventas.

Administración: Será la interfase exclusiva de Administración.

Producción: Será la interfase exclusiva de Producción.

Servers: Será la interfase para la granja de servidores.

Ilustración 13. Interfases

62

Interfase: UNE

Pestaña GENERAL:

o Name: UNE

o MTU: 1500

o ARP: Enable

Pestaña Ethernet:

100Mbps: Seleccionado

Auto negotiation: seleccionado

Full duplex: seleccionado.

Pestaña Status:

En esta ventana podemos ver el estatus la interfase actual.

Pestaña Traffic:

Vemos la gráfica de kbps enviados y recibidos por dicha interfase.

Vemos la gráfica de p/s enviados y recibidos por la interfase.

Interfase: Administración

Pestaña General:

o Name: Administracion

o MTU: 1500

o ARP: Enable

63

Ilustración 14. Interfase Administración

Interfase: Hotspot

Pestaña General:

o Name: Hotspot

o MTU: 1500

o ARP: Enable

Ilustración 15. Interfase hotspot

64

Interfase: Ventas

Pestaña General:

o Name: Ventas

o MTU: 1500

o ARP: Enable

Ilustración 16. Interfase Ventas

Interfase: Producción

1) Pestaña General:

o Name: Producción

o MTU: 1500

o ARP: Enable

65

Ilustración 17. Interfase Producción

o Definición de Vlans

Debido a las características departamentales de la firma debemos realizar 3 Vlans

para separar las áreas de

Administración.

Producción

Ventas

Para configurar las vlans debemos ir al menú interfases, se abrirá la ventana de

configuración de interfases. Hacemos clic sobre el icono (+) y se nos desplegara un

menú, elegimos la opción Vlan y entramos a la ventana de configuración de las

mismas.

Vlan Ventas

Pestaña General

66

o Name: Vlan_Ventas

o Type: Vlan

o MTU: 1500

o MAC: 00:0C29:76:88:25

o ARP: Enable

o Vlan ID: 1

o Interfase: Ventas

Ilustración 18. Vlan Ventas

Vlan Administración.

Pestaña General

o Name: Vlan_Administracion

o Type: Vlan

o MTU: 1500

o MAC: 00:0C29:76:88:25

o ARP: Enable

o Vlan ID: 1

o Interfase: Administracion

67

Ilustración 19. Vlan Administración

Vlan Producción.

Pestaña General

o Name: Vlan_Produccion

o Type: Vlan

o MTU: 1500

o MAC: 00:0C29:76:88:25

o ARP: Enable

o Vlan ID: 1

o Interfase: Producción

68

Ilustración 20. Vlan Producción

Ilustración 21. Lista de Vlan

69

o Asignación de direcciones IP a las interfases

Con los nombres asignados a las interfases, debemos asignarle el IP a las mismas.

Para esto debemos ir al menú IP/Addresses

Interfase Administración:

Address: 192.168.10.1/24

Network: 192.168.10.0

Broadcast: 192.168.10.255

Interfase: Administración

Ilustración 22. Dirección Ip Administración

Interfase Ventas:

Address: 192.168.11.1/24

Network: 192.168.11.0

Broadcast: 192.168.11.255

Interfase: Ventas

70

Ilustración 23. Dirección Ip Ventas

Interfase Producción:

Address: 192.168.12.1/24

Network: 192.168.12.0

Broadcast: 192.168.12.255

Interfase: Producción

Ilustración 24. Dirección Ip Producción

71

Interfase UNE

Address: 192.168.0.1/24

Network: 192.168.0.0

Broadcast: 192.168.0.255

Interfase: UNE

Ilustración 25. Dirección Ip Une

La configuración quedo de la siguiente forma:

Ilustración 26. Lista de Direcciones

o Configuración de los Pools de Direcciones IP

Para crear los pool’s de direcciones ip’s que van a poseer los grupos de

administración, ventas, producción, y servers vamos al menú IP / POOL, donde

hacemos clic en el icono (+), en esta ventana creamos cada pool para cada uno de

los grupos, así:

72

Nombre: Pool Servers.

Rango ip: 192.168.1.5 al 192.168.1.254

Ilustración 27. Pool Servidores

Nombre: Pool Ventas.

Rango ip: 192.168.11.5 al 192.168.11.254

Ilustración 28. Pool Ventas

Nombre: Pool Produccion.

Rango ip: 192.168.12.5 al 192.168.12.254

73

Ilustración 29. Pool Produccion

Nombre: Pool Produccion.

Rango ip: 192.168.12.5 al 192.168.12.254

Ilustración 30. Pool Administración

Se ha elegido comenzar todos los rangos a partir de la ip x.x.x.5 para reservar

números ip en caso de instalar algún tipo de dispositivo en cada grupo.

74

Ilustración 31. Lista Pool Direcciones

5.3. Nat Masquerade Para Todas Las Redes

Para realizar el nat trasparente entre todas las redes debemos ir al menú

IP/FIREWALL, en esta ventana vamos a la pestaña NAT y hacemos clic sobre el

icono (+), en la nueva ventana de configuración para políticas NAT y la configuramos

de la siguiente manera:

Pestaña General

Chan: srcnat

Ilustración 32. Net masquerade General

Pestaña Action:

Action: masquerade

75

Ilustración 33. Net masquerade Action

o Configuración del Servidor DHCP

A continuación subiremos el servidor DHCP, para esto debemos ir al menú IP/DHCP

server.

En la nueva ventana hacemos clic en el icono (+) y creamos los servidores Dhcp

que necesitemos para las áreas ya creadas.

DHCP producción:

Nombre: DHCP Produccion

Interfase: Produccion

Adress Pool: Pool Produccion

76

Ilustración 34. DHCP Producción

DHCP Administración:

Nombre: DHCP Administración

Interfase: Administración

Address Pool: Pool Administración

77

Ilustración 35. DHCP Administración

La configuración para las demás áreas es similar, solo cambia el nombre de las

áreas

DHCP Ventas:

Nombre: DHCP Ventas.

Interfase: Ventas.

Addres Pool: Pool ventas.

78

Ilustración 36. DHCP Ventas

Una vez los servidores Dhcp estén configurados, hay que configurar las redes, en

la ventana DHCP Server hacemos clic en la pestaña Network y luego en el icono

(+) y subimos los datos de la red.

Ilustración 37. DHCP Network

Red Servers:

Address: 192.168.x.x/24

Gateway: 192.168.x.x

Dns Server: 190.168.x.x

79

Ilustración 38. DHCP Red Servers

Red Administración:

Address: 192.168.x.x/24

Gateway: 192.168.x.x

Dns Server: 190.168.x.x

Ilustración 39. DHCP Red Administración

Red Ventas:

Address: 192.168.x.x/24

80

Gateway: 192.168.x.x

Dns Server: 190.168.x.x

Ilustración 40. DHCP Red Ventas

Red Producción:

Address: 192.168.x.x/24

Gateway: 192.168.x.x

Dns Server: 190.168.x.x

Ilustración 41. DHCP Red Producción

81

o Servidor - Cliente PPTP

Configuración Servidor PTP:

Debido a que tenemos oficinas de ventas fuera de Medellín, surgió la necesidad de

realizar una VPN entre Medellín y Pereira.

Debemos ir al menú PPP, se nos abrirá la ventana de configuración de conexiones

PPPx. Luego hacemos clic en la pestaña PROFILES. A continuación hacemos clic

en icono (+). Con la nueva ventana de profiles abierta la configuramos de la

siguiente manera:

Name: Profile_VPN

Local Address: Pool_Ventas

Remote Address: Pool_Ventas

Use compresión: Default

Use Vj Compression: Default

User Encryption: Yes

Change TCP MMS: Yes

Ilustración 42. Perfil VPN

82

Con el profile ya generado para VPN debemos crear el usuario que utilizara dicho

profile. Para ello vamos al menú PPP, hacemos clic en la pestaña SECRESTS.

Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de la

siguiente manera:

Name: vpn

Password: vpn

Service: pptp

Profile: Profile_VPN

Ilustración 43. Perfil VPN

Finalmente debemos subir el servidor PPTP. Para hacer esto nos dirigimos al menú

PPP, en la pestaña Interfase hacemos clic sobre el botón PPTP Server y

configuramos de la siguiente forma:

Enable (tildado)

Max MTU: 1460

83

Max MRU: 1460

Keepalive Timeout: 30

Default Profile: Profile_VPN

Mschap1 y mschap2 (tildados)

Ilustración 44. Interface VPN

o Configuración Cliente PPTP

Se utilizara la conexión vpn del Windows 8.1 para el ejemplo.

Vamos a panel de control, Centro de Redes y Recursos Compartidos.

84

Ilustración 45. Cliente PPTP

Vamos a Configurar una nueva conexión o red

Ilustración 46. Configuración Nueva Red

En la nueva ventana elegimos conectarse a un área de trabajo, configurar una

conexión de acceso telefónico o VPN a su área de trabajo y damos clic en el boton

siguiente.

85

Ilustración 47. Conectarse a un área de trabajo

En la nueva ventana seleccionamos usar mi conexión a internet VPN

86

Ilustración 48. Usar mi conexión VPN

Damos la dirección ip, y el nombre con que queremos nombrar la conexión y damos

clic en el botón Crear.

Ilustración 49. Dirección de conexión

Una vez creada la conexión damos clic en acceso a internet y después en

Conexiones, Surtitodo.

87

Ilustración 50. Elegir conexión

Una vez damos clic en la conexión VPN, nos solicitara el nombre de usuario y la

clave de conexión, y hacemos clic en Aceptar

Ilustración 51. Usuario y contraseña VPN

Si todos los datos están bien nos mostrara la conexión de esta manera:

88

Ilustración 52. Conexión VPN conectado

o Control de ancho de banda

Asignación de ancho de banda por sub-red

Debido al mal uso de los anchos de banda por parte de los usuarios se decidió

agregarle políticas al router para poder controlar dicho problema.

Para los distintos grupos de usuarios se asignara el ancho de banda de la siguiente

manera:

CONTROL DE ANCHO DE BANDA POR AREA

AREA SUBIDA

M/Bits

BAJADA

M/Bits

Administración 250 300

Producción 400 300

Ventas 350 400

Tabla 2. Control de Ancho de Banda

Para esto debemos ir al menú QUEUES, allí se abre una ventana de configuración:

89

Ilustración 53. Menú Colas

Hacemos clic en el icono (+) de la pestaña simple QUEUES, se abre una nueva

pestaña para configurar la nueva cola.

Cola Administración:

Pestaña general:

Name: Queue_Administracion

Target_Address: 192.168.X.X/24

Max Limit: 250M (upload), 300 M (download)

Ilustración 54. Cola Administración

90

Cola Ventas:

Pestaña general:

Name: Queue_Ventas

Target_Address: 192.168.X.X/24

Max Limit: 350M (upload), 400 M (download)

Ilustración 55. Cola Ventas

La configuración de las colas quedo de la siguiente manera:

Ilustración 56. Lista Cola

91

o Limitación del trafico P2P

Por políticas de la Gerencia la única área autorizada que puede utilizar el p2p es el

área de administración, por lo que debemos modelar la cola de tráfico para que no

consuma todo el ancho de banda.

Debemos ir al menú IP / FIREWALL, una vez ahí hacemos clic sobre la pestaña

mangle y a continuación sobre el botón (+)

En esta ventana configuramos lo siguiente:

Chain: prerouting

P2P: all-p2p

Ilustración 57. Bloqueo P2P

Después hacemos clic en la pestaña Action, allí la configuración es la siguiente:

Action: mark_connection

New Connection Mark: tipeamos conexión_p2p

Passthrough (tildado)

92

Ilustración 58. Bloqueo P2P-2

Después volvemos a la ventana mangle y hacemos clic nuevamente en el botón (+)

para crear una nueva regla. Lo configuramos así:

Chain: prerouting

Connection Mark: conexión_p2p (la que ya habíamos creado)

Ilustración 59. Mangle Rule

Enseguida vamos a la pestaña Action, en la misma configuraremos de esta forma:

Action: Mark Packet

93

New Packet Mark: tecleamos p2p

Ilustración 60. Nueva Mangle Rule

Una vez hecho esto creamos las políticas para marcar los paquetes p2p y así

bloquearlos en las otras redes:

Vamos al menú IP/FIREWALL, hacemos clic en la pestaña mangle y luego en (+)

En la nueva ventana nos situamos en la pestaña General y configuramos de la

siguiente manera:

Chaing: prerouting

Connection Mark: conexión_p2p

Ilustración 61. Mangle Rule Conexión P2P

94

Luego vamos a la pestaña Action y la configuramos así:

Action: mark packet

Packet mark: digitamos p2p_bloqueado

Pass Though: tildado

Ilustración 62. Mangle P2P Bloqueado

Así quedan configuradas las nuevas reglas:

Ilustración 63. Lista bloqueo P2P

Nos dirigimos la menú QUEUES, en la ventana que aparece, crearemos cuatro

nuevas colas para la política p2p. Hacemos clic sobre pestaña queue tree. Luego

en el botón (+).

95

La configuración de la cola de entrada es la siguiente:

Name: Qeue_p2p_in

Parent: global-in

Packet Mark: p2p

Queue Type: default

Priority: 8

Max Limit: 256k

Ilustración 64. Cola P2P In

Hacemos clic en el botón (+) y generamos una nueva cola

Configuramos la cola de salida así:

Name: Queue_p2p_out

Parent: global-out

Packet Mark: p2p

Queue type: default

Priority: 8

Max Limit: 256k

96

Ilustración 65. Cola P2P Salida

o Firewall

Bloqueo de los P2P para redes de ventas y producción

Debido a las políticas implementadas por gerencia solamente en el área de

administración se podrá utilizar los P2P. Para ello la configuración para bloquear

dicho tráfico es la siguiente.

Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el

icono (+). A continuación configuramos de la siguiente manera:

Pestaña general:

• Chain: forward

• P2P: all-p2p

• Out. Interface: Producción

97

Ilustración 66. Bloqueo P2P Producción

Pestaña Action:

• Action: drop

Ilustración 67. Action: Drop

Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el

icono (+). A continuación configuramos de la siguiente manera:

Pestaña general:

• Chain: forward

• P2P: all-p2p

• Out. Interface: Ventas

98

Ilustración 68. Bloqueo P2P Ventas

Pestaña Action:

• Action: drop

Ilustración 69. Firewall Rule Drop

o Bloqueo del cliente MSN Live Messenger

Ya que los empleados de la empresa suelen perder demasiado tiempo utilizando el

MSN Live Messenger, la firma decidió bloquear dicho programa. Para ello se

establecieron las siguientes políticas de firewall.

99

Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el

icono (+). A continuación configuramos de la siguiente manera:

Primera política de firewall:

Pestaña General:

o Chain: Forward

o Protocol: Tcp (6)

o Dst. Port: 1863

Ilustración 70. Bloqueo Messenger Puerto 1863

Pestaña General:

o Action: Drop

Ilustración 71. Ilustración 101. Bloqueo Messenger Puerto 1863 - 2

100

Segunda política de Firewall:

Pestaña General:

o Chain: Forward

o Protocol: Tcp (6)

o Dst. Port: 5190

Ilustración 72. Bloqueo Messenger Puerto 5190

Pestaña Action

o Action: Drop

Ilustración 73. Bloqueo Messenger Puerto 5190 - 2

101

Tercera política de Firewall:

Pestaña General:

o Chain: Forward

o Protocol: Tcp (6)

o Dst. Port: 6901

Ilustración 74. Bloqueo Messenger Puerto 6901

Pestaña Action:

o Action: Drop

Ilustración 75. Bloqueo Messenger Puerto 6901 - 2

Cuarta política de Firewall:

Pestaña General:

o Chain: Forward

o Protocol: Tcp (6)

o Dst. Port: 6891-6900

102

Ilustración 76. Bloqueo Messenger Puerto 6891-6900

Pestaña Action:

o Action: Drop

Ilustración 77. Bloqueo Messenger Puerto 6891-6900 - 2

Quinta política de firewall:

Pestaña General:

o Chain: Forward

o Protocol: Tcp (6)

o Dst. Address: X.X.X.X

103

Ilustración 78. Firewall Rule

Pestaña Action:

o Action: Drop

Ilustración 79. Firewall Rule Drop

Finalizada dicha configuración ningún usuario podrá conectarse al MSN Live

Messenger. Para que el bloqueo sea completo debemos utilizar una política en el

Web- Proxy que instalaremos más adelante.

o Redireccionamiento de puertos

A continuación debemos redireccionar puertos para que el tráfico que se genere

hacia adentro de la red obtenga las respuestas deseadas. Por ejemplo que nuestro

servidor web muestre las páginas correspondientes, que el servidor de SMTP y

POP3 puedan enviar y recibir mails etc.

104

Puerto 80 WEB

Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip:

192.168.X.X debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.

Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana

la configuramos de la siguiente manera.

Pestaña General:

Chain:dstnat

Dst. Address: X.X.X.X

Protocol: 6 (tcp)

Dst. Port: 80

Ilustración 80. Redireccionar Puerto 80

Pestaña Action:

Action: dst-nat

To Addresses: X.X.X.X

To Port: 80

105

Ilustración 81. Redireccionar Puerto 80 - 2

Puerto 110 POP3

Para redireccionar el puerto 110 desde el exterior a nuestro servidor pop3 ip:

192.168.X.X debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.

Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana

la configuramos de la siguiente manera.

Pestaña General:

Chain: dstnat

Dst. Address: X.X.X.X

Protocol: 6 (tcp)

Dst. Port: 110

Ilustración 82. Redireccionar Puerto 110

106

Pestaña Action:

Action: dst-nat

To Addresses: 192.168.X.X

To Port: 110

Ilustración 83. Redireccionar Puerto 110 - 2

Puerto 25 SMTP

Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip:

192.168.1.2 debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.

Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana

la configuramos de la siguiente manera.

Pestaña General:

Chain:dstnat

o Dst. Address: X.X.X.X

o Protocol: 6 (tcp)

o Dst. Port: 25

107

Ilustración 84. Redireccionar Puerto25

Pestaña Action:

Action: dst-nat

o To Addresses: 192.168.X.X

o To Port: 25

Ilustración 85. Redireccionar Puerto25 - 2

Puerto 1723 PPTP

Para aceptar conexiones al puerto 1723 desde el exterior debemos realizar los

siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

108

RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la

siguiente manera.

La primera política es para aceptar el tráfico al puerto 1723 tcp

Pestaña General:

Chain: input

Protocol 6 (tcp)

Dst. Port: 1723

Ilustración 86. Redireccionar Puerto1723

Pestaña Action:

Action: accept

Ilustración 87. Redireccionar Puerto1723 - 2

109

La segunda política es para aceptar todo el tráfico al puerto 1723 UDP

Pestaña General:

Chain: input

Protocol 17 (udp)

Dst. Port: 1723

Ilustración 88. Firewall Rule Puerto 1723

Por ultimo aceptaremos todas las comunicaciones que estén establecidas.

Pestaña General:

Chain: input

Connection State: established

110

Ilustración 89. Pestaña General Conexión Establecida

Pestaña Action:

Action: accept

Ilustración 90. Pestaña Accion Accept

o Descartar conexiones inválidas

Para descartar las conexiones inválidas desde el exterior debemos realizar los

siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la

siguiente manera:

111

Pestaña General:

Chain: input

Connection State: Invalid

Ilustración 91. Descartar conexiones inválidas

Pestaña Action:

Action: drop

Ilustración 92. Descartar conexiones inválidas - 2

o Aceptar conexiones establecidas

Para aceptar las conexiones establecidas desde el exterior debemos realizar los

siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

112

RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la

siguiente manera

Pestaña General:

Chain: input

Connection State: established

Ilustración 93. Aceptar Conexiones Establecidas

Pestaña Action:

Action: accept

Ilustración 94. Aceptar Conexiones Establecidas - 2

113

Acepta Trafico UDP

Para aceptar las conexiones UDP establecidas desde el exterior debemos realizar

los siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la

siguiente manera

Pestaña General:

Chain: input

Protocol: 17 (udp)

Ilustración 95. Aceptar Trafico UDP

Pestaña Action:

Action: Accept

Ilustración 96. Aceptar Trafico UDP - 2

114

Acepta icmp Limitados

Para aceptar icmp limitados desde el exterior debemos realizar los siguientes pasos.

Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER RULES. Luego hacer

clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera

Pestaña General:

Chain: input

Protocol: 1 (icmp)

Ilustración 97. Acepta icmp Limitados

Pestaña Extra:

Rate: 50 / 5

Burst: 2

Ilustración 98. Acepta icmp Limitados - 2

115

Pestaña Action:

Action: accept

Ilustración 99. Acepta icmp Limitados - 3

Descarta excesivos icmp

Para descartar excesivos icmp desde el exterior debemos realizar los siguientes

pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER RULES. Luego

hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera

Pestaña General:

Chain: input

Protocol: 1 (icmp)

Ilustración 100. Descarta excesivos icmp

116

Pestaña Action:

Action: Drop

Ilustración 101. Descarta excesivos icmp - 2

Descarta el resto de las conexiones externas

Para descartar el resto de las conexiones desde el exterior debemos realizar los

siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

RULES. Luego hacer clic en el icono (+).

Pestaña General:

Chain: input

In. Interface: UNE.

117

Ilustración 102. Descarta el resto de las conexiones externas

Pestaña Action:

Action: drop

Ilustración 103. Descarta el resto de las conexiones externas - 2

118

El orden de las políticas se ven en la siguiente gráfica.

Ilustración 104. El orden de las políticas Firewall

5.4. Análisis del Mikrotik Router OS de la empresa Surtitodo S.A. por medio

del uso de herramientas de detección de vulnerabilidades

El uso de herramientas especializadas en el estudio y análisis de vulnerabilidades

presentes en una red, ayudan en la ardua tarea de reconocer las deficiencias con

las que cuenta la seguridad actual implementada en Surtitodo., a continuación se

hará un análisis al dispositivo Mikrotik de la empresa utilizando las siguientes

herramientas para encontrar que deficiencias podrían afectar su funcionamiento:

HERRAMIENTA VERSION FECHA INICIO FECHA FINAL

Shadow Security Scanner

7.131 01/12/2014 04/12/2014

Nessus 3.2.0 03/12/2014 03/12/2014

Nmap 4.60 03/12/2014 03/12/2014 Tabla 3. Herramientas Detección de Vulnerabilidades

119

1) Shadow Security Scanner (SSS)

Esta herramienta detecta por medio del escáner de puertos vulnerabilidades

presentes es servicios como: FTP, SSH, Telnet, SMTP, DNS, HTTP, POP3,

Windows Media Service, NetBIOS, SSL, TCP/IP y UDP. Realiza un análisis muy

detallado descubriendo las vulnerabilidades presentes y sus posibles soluciones.

Se realizó un análisis de vulnerabilidades al servidor de la empresa ANPRA,

mediante los diferentes tipos de escáner con los que cuenta la herramienta: Full

Scan, Only NetBIOS Scan, Only FTP Scan, Only HTTP Scan, SANS/FBI TOP 20

Scan y DoS Checker.

a. Análisis Total (Full Scan)

Por medio de esta opción se escanean todos los puertos (1 – 65355) y posibles

vulnerabilidades del servidor de la empresa ANPRA.

General

Dirección IP 190.29.XXX.XXX

Equipo HP Hayabusa

Inicio Escaneo 02/12/2014

02:15:00 p. m.

Final escaneo 03/12/2014

09:10:00 a. m.

Tabla 4. Shadow Security Scanner modo Full Scan

.

Reporte:

Ilustración 105. Resultado SSS modo Full Scan

120

El riesgo mostrado en la figura, hace referencia al protocolo simple de transferencia

de correo. La empresa Surtitodo, al momento de instalar el servidor de correo,

habilito el SMTP con su configuración por defecto, este reporte se hizo antes de la

configuración del SMTP en el mikrotik, una vez detectado el problema se corrigió.

b. Análisis de Solo NetBIOS (Only NetBIOS)

Se realiza el escaneo de las posibles vulnerabilidades presentes en el protocolo de

transferencia de archivos (FTP) del mikrotik a través del puerto 21.

General

Dirección 190.29.XXX.XXX

Nombre del Equipo HP Hayabusa

Inicio escaneo 04/12/2014

11:15:33 a. m.

Finalización escaneo

04/12/2014 11:16:05

a. m.

Vulnerabilidades Ninguna

Estadísticas

Maquina 190.29.XXX.XXX

Estado Escaneo 100%

Puertos Auditados 0

Puertos TCP 0 Tabla 5. Análisis SSS. Solo NetBIOS

No se encontró ninguna vulnerabilidad presente en la ejecución del escáner

NetBIOS del mikrotik.

c. Análisis de solo FTP (Only FTP Scan)

121

Se realiza el escaneo de las posibles vulnerabilidades presentes en el protocolo de

transferencia de archivos (FTP) del mikrotik a través del puerto 21.

Reporte:

General

Dirección 190.29.XXX.XXX

Nombre del Equipo HP Hayabusa

Inicio escaneo 04/12/2014 11:34:00 a. m.

Finalización escaneo 04/12/2014 11:35:01 a. m.

Puertos TCP 21 FTP

Vulnerabilidades Ninguna

Estadísticas

Maquina 190.29.XXX.XXX

Estado Escaneo 100%

Puertos Auditados 0

Puertos TCP 0

Puertos UDP 0 Tabla 6. Análisis de solo FTP (Only FTP Scan)

No se encontró vulnerabilidad presente en la ejecución del escáner Only FTP.

d. Análisis de solo HTTP (Only HTTP Scan)

Se realiza el análisis de las posibles vulnerabilidades presentes en el protocolo de

transferencia de Hipertexto (HTTP) del mikrotik de la empresa Surtitodo.

General Inicio escaneo 04/12/2014 11:41:13 a. m.

Finalización escaneo

04/12/2014 11:41:44 a. m.

Vulnerabilidades Ninguna

Estadísticas

Estado Escaneo 100%

Puertos Auditados 0

Puertos TCP 0

Puertos UDP 0 Tabla 7. Análisis de solo HTTP (Only HTTP Scan)

122

El análisis realizado con la herramienta Only http Scan no encontró ninguna

vulnerabilidad para ser explotada en el mikrotik de la empresa Surtitodo S.A.

e. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)

Se realiza el escaneo de las posibles vulnerabilidades presentes en el Top 20 de

SANS/FBI del computador 190.29.XXX.XXX correspondiente al Mikrotik de la

empresa Surtitodo.

Reporte:

General

Dirección 190.29.XXX.XXX

Nombre del Equipo HP Hayabusa

Inicio escaneo 04/12/2014 11:43:09 a. m.

Finalización escaneo 04/12/2014 11:44:01 a. m.

Puertos TCP 21 FTP

25 SMTP

Vulnerabilidades Ninguna

Estadísticas

Maquina 190.29.XXX.XXX

Estado Escaneo 100%

Puertos Auditados 0

Puertos TCP 2

Puertos UDP 0 Tabla 8. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)

El análisis realizado con la herramienta SANS/FBI Top 20 Scan encontró dos

puertos abiertos sin ninguna vulnerabilidad para ser explotada en el servidor que

corresponde a la empresa Surtitodo.

f. DoS Checker

Shadow Security Scanner cuenta con un módulo de pruebas de resistencia ante

ataques de denegación de servicios (DoS), solo es necesario ingresar a la función

DoS Checker para poder visualizar los iconos correspondientes a los servicios

disponibles que pueden ser atacados desde esta herramienta.

123

1. HTTP (Hypertext Transfer Protocol)

2. SMTP (Simple Mail Transfer Protocol)

3. FTP (File Transfer Protocol)

4. POP3 (Post Office Protocol)

5. IMAP (Internet Message Access Protocol)

Al momento de elegir uno de estos servicios es necesario ingresar la dirección IP

del computador a atacar, además de los datos como puerto, retardo y tamaño de

los paquetes, el programa comienza a atacar el servicio, indicando en la ventana el

estado del ataque (Running) demostrando que el servicio aún está corriendo sobre

el computador, si llegado el caso ocurre una denegación de servicios, en el estado

del ataque cambia a (Down) indicando que el servicio está abajo.

Ilustración 106. DoS Checker

Al realizarse el análisis Total (Full Scan) fueron detectados 2 puertos TCP

disponibles en el Mikrotik, el puerto 21 correspondiente a FTP (Protocolo de

Transferencia de archivos) y el puerto 25 correspondiente a SMTP (Protocolo

Simple de Transferencia de Correo), por tanto se realizaron pruebas con DoS

Checker a los puertos 21 y 25 durante un tiempo considerable obteniendo los

siguientes resultados:

124

Ilustración 107. f. DoS Checker Step 2

Se ejecutó el DoS Checker tratando de crear una denegación de servicios al servicio

SMTP, pero luego de casi 13 horas de envío de paquetes el estado del servidor está

funcionando, indicando que no hubo éxito en el intento de denegación de servicios.

Ilustración 108. DoS Checker Step 2

Se ejecutó el DoS Checker tratando de crear una denegación de servicios al servicio

FTP, pero luego de 2 horas de envío de paquetes el estado del servidor está

funcionando, indicando que no hubo éxito en el intento de denegación de servicios.

Nota: En los resultados obtenidos del estudio realizado anteriormente por cada una

de las herramientas y el análisis que se hace a partir de ellas, aportan como

conclusión que la red aparenta una seguridad aceptable. Se puede observar

claramente que cada una de ellas califica las deficiencias encontradas en (Alto,

Medio, Bajo o Ninguno), en el caso de la red correspondiente a la empresa

125

Surtitodo, solo fue encontrado un problema con riesgo bajo mediante la herramienta

Shadow Security Scanner, mientras que con las demás herramientas no se detectó

ningún tipo de vulnerabilidad.

2) Nessus

Es una herramienta que realiza un análisis de los puertos del computador objetivo,

contiene una gran lista de plugins los cuales se actualizan periódicamente para

realizar las pruebas de vulnerabilidad y buscar cuales puertos se encuentran

abiertos y cuáles de ellos pueden ser explotados.

Se realizó un análisis con la herramienta Nessus al Mikrotik de la empresa Surtitodo,

fueron analizados todos los puertos y se obtuvieron los siguientes resultados:

Reporte del analizador (Scan)

Escaneo

Computador 190.29.XXX.XXX

Inicio 04/12/2014 11:35:16

Fin 04/12/2014 11:53:25 Tiempo Total Ejecución 00:18:09

Descripción El servicio SMTP está Activo en el Puerto 25 este servicio es blanco de SPAM, como recomendación se debe desactivar si no se utiliza

Solución Deshabilitar el servicio si no se utiliza o filtrar el trafico entrante a este puerto

Tabla 9. Análisis herramienta Nessus.

El análisis realizado con la herramienta Nessus no encontró ninguna vulnerabilidad

para ser explotada en el Mikrotik que corresponde a la empresa Surtitodo.

3) Nmap

Además de obtener la lista de puertos abiertos al ejecutar Nmap, con este software

se puede obtener información adicional como: el nombre de DNS, listado de

sistemas operativos posibles y direcciones MAC.

126

Hora de ejecución del escaneo:

Hora de inicio: 15:53

Hora de finalización: 16:20

Tiempo de total de ejecución de la herramienta: 00:27

Análisis intensivo (Intense Scan)

Para realizar un análisis intensivo se utiliza el siguiente comando con las variables

Nmap –T Aggressive –A –v 190.29.XXX.XXX

-T, comando para elegir la plantilla de tiempo que se desea, se puede

especificar cualquiera de estas opciones paranoid, sneaky, polite, normal,

aggressive an insane, (sigiloso, amable, normal, agresivo y loco)

respectivamente.

Aggressive, esta plantilla de tiempo hace que los sondeos no sean

demorados se utiliza cuando la red es rápida y fiable, mientras que con el

uso de plantillas como paranoid se consume menos recursos del sistema y

ancho de banda, aumentando el tiempo de los sondeos, por otra parte si se

utiliza la plantilla insane se realiza un sondeo muy rápido, consumiendo gran

recurso del sistema y al mismo tiempo sacrificando fiabilidad por velocidad.

-A, Habilita la detección de SO (Sistema Operativo) y de versión del mismo.

-v, Muestra el número de la versión del sistema operativo.

127

Ilustración 109. Resultado Nmap

La herramienta detecta dos puertos TCP, el puerto 21 correspondiente al servicio

FTP se encuentra cerrado y el puerto 25 correspondiente al servicio SMTP se

encuentra abierto, SMTP y los clientes. El cual fue redireccionado y administrado

para ser controlado por el Mikrotik RouterBoard 751g.

128

6. ANÁLISIS DEL TRÁFICO DE RED SURTITODO S.A.

Para una buena comunicación entre las dos sedes es necesario que exista un ancho

de banda adecuado que permita el envío y recepción de paquetes sin ninguna

dificultad. Se estudiará el tráfico de red que tiene la empresa Surtitodo, analizando

el comportamiento de los paquetes, para establecer un informe que demuestre la

manera en que es aprovechado el ancho de banda y definir si cumple con las

necesidades que requiere la interconexión entre las dos sedes.

6.1. Análisis de Tráfico

El análisis que se presenta en este proyecto, corresponde al tráfico generado entre el servidor de SAP ubicado en la principal de Medellín y La sede de Pereira, la semana del 16 al 26 de diciembre de 2014 por parte de la red de Surtitodo del Almacén la 8va de Pereira, se utilizaron varias herramientas confiables para observar la desviación de valores que podría haber una de otra y obtener resultados aceptables. Se utilizó la herramienta BW meter por las gráficas que se obtienen fáciles de analizar de todo el tráfico.

Herramienta Versión Inicio Final

BW Meter 6.8.1 17/12/2014 26/12/2014 Tabla 10. Herramienta BW Meter 6.8.1.

El programa BW meter, muestra la cantidad de archivos que se enviaron (upload)

de color verde y la cantidad de archivos que se recibieron (Download) de color rojo,

entre las fechas correspondientes al 16 de diciembre hasta el 26 de diciembre de

2014.

129

Medición Realizada al servidor de Pereira.

Ilustración 110. Medición Realizada al servidor de Pereira

En la figura se puede apreciar lo siguiente:

La mayor transferencia se realizó el día 24 de diciembre 2014, con 5635,11

archivos de Descargados y 3414,28 de enviados, para un total de 9049,40 MB

datos de transferencia ese día.

La hora con mayor de transferencia de datos fue el día 24 de diciembre de 2014

de 1 a 2 de la tarde con un total de 830,14 Mb descargados y 621,09 Mb

enviados, para un total de 1451,23 MB ese día.

La menor transferencia se hizo el día 22 de diciembre a las 9 am con 0,14 Mb

descargados y 0,17 Mb enviados para un total de 0,31 Mb a esa hora.

El reporte de trafico semanal, la cantidad total de archivos descargados fue de

27013,89 Mb y enviados 7586,99 Mb, para un total de 34600,88 Mb transferidos

entre los días 17 y 26 de diciembre de 2014.

130

Medición realizada al Servidor de Medellín

Ilustración 111. Medición realizada al Servidor de Medellín

En la figura se puede apreciar lo siguiente:

La mayor transferencia se realizó el día 24 de diciembre 2014, con 107,1 Gb

archivos de Descargados y 85,4 Gb de enviados, para un total de 192,4 Gb datos

de transferencia ese día.

La hora con mayor de transferencia de datos fue el día 24 de diciembre de 2014

a las 2 pm con un total de 15,8 Gb descargados y 15,5 Gb enviados, para un

total de 31,3 Gb ese día.

La menor transferencia se hizo el día 22 de diciembre a las 8 am con 0,5 Gb

descargados y 0,0299 Gb enviados para un total de 0,5 Gb a esa hora.

El reporte de trafico semanal, la cantidad total de archivos descargados fue de

517,3 Gb y enviados 192,6 Gb, para un total de 709,9 Gb transferidos entre los

días 17 y 26 de diciembre de 2014.

131

7. ANÁLISIS DE LAS SOLUCIONES COMERCIALES Y MIKROTIK PARA

IMPLEMENTACIONES DE ROUTERS

7.1. ANALISIS DE LAS SOLUCIONES COMERCIALES.

El análisis que se hará a continuación está enfocado al aspecto económico y a las

características más importantes de los dispositivos de enrutamiento de 2 empresas

reconocidas como CISCO y 3COM.

CISCO Systems.

Cisco es una empresa creada en el año de 1984 por un grupo de científicos de la

Universidad de Stamford, California (USA). Dentro de su amplia gama de productos

se seleccionó un Router que puede suplir con las necesidades de Surtitodo.

Ilustración 112. Tomado de www.router-switch.com

Este Router es la nueva serie que reemplaza a la serie Cisco2600, con mejoras en

la disponibilidad, fiabilidad y desempeño. Estas son algunas de sus características:

132

o Dos puertos 10/100 Fast Ethernet integrados.

o Hardware de encriptación.

o QoS (calidad de servicio).

o Protocolos de interconexión de datos Ethernet y FastEthernet.

(http://www.router-switch.com/, 2014)

El consto del Router es de 998 dólares,

Router 3COM

3COM es una compañía de gran trayectoria que provee soluciones de networking a

nivel mundial, está enfocada en brindar una excelente calidad a bajo costo. En su

variedad de dispositivos se encontró un Router que se ajusta a las necesidades de

Surtitodo,

Ilustración 113. Router 3COM 3033.

Este router cuenta con las siguientes características:

o 4 puertos de Switching 10/100

o Seguridad y control avanzado, VPN, Firewall y Encriptación

o Integración de voz y datos: QoS, Routing Multicast

o Memoria DRAM de 64 MB

o Memoria flash de 8 MB

133

El conto del dispositivo es de 190 dólares.

Ilustración 114. Características Router 3COM 3033

134

7.2. Análisis general entre la solución Mikrotik y Comerciales

Los productos ofrecidos por Cisco, 3Com, entre otras compañías, son muy

funcionales y eficientes pero su alto costo de adquisición puede ser un problema

para las PYMES, debido al elevado costo de implementación para suplir las

necesidades. En algunas ocasiones la inversión es innecesaria pues no se utiliza

toda la capacidad que ofrece un Router, y en otras no se puede modificar la

programación para satisfacer las necesidades del usuario por el hecho de utilizar

una herramienta patentada y comercial, por esta razón está creciendo día a día el

planteamiento de nuevas tecnologías brindan la seguridad y conexión que el usuario

requiere.

La razón por la cual se escogió el Mikrotik RouterBoard para llevar a cabo este

proyecto es que cuenta con todas las características que la empresa Surtitodo

necesita para obtener una conexión segura entre dos o más sedes ubicadas dentro

del país. A diferencia de las soluciones estudiadas, Mikrotik brinda todas las

herramientas que las demás ofrecen y mucho más pero de manera gratuita la cual

puede ser descargada desde su sitio Web.

El dispositivo más costoso es el Cisco, aunque existen herramientas comerciales

más económicas como es el caso del Router 3Com, el cual ofrece todas las

funciones que Surtitodo necesita, pero aún sigue siendo costosa la implementación

de esta herramienta dentro de la infraestructura de red de la empresa.

Aunque las soluciones comerciales muestran una gran variedad de herramientas

que podrían brindarle a las compañías seguridad y confiabilidad en su

infraestructura de red, se observa según las opciones estudiadas anteriormente que

el factor económico es un impedimento para que las pequeñas y medianas

empresas adquieran estos tipos de dispositivos; motivo que se convierte en factor

importante en la selección de la solución a implementar, por lo cual se decidió utilizar

el Router Mikrotik RoterBoard 751g para el desarrollo de este proyecto.

135

8. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE GARANTICE LOS

NIVELES DE SEGURIDAD NECESARIOS PARA LA TRANSMISIÓN DE

DATOS ENTRE LAS DOS SEDES.

Después de haber finalizado con el estudio de las características de la red de

Surtitodo, se inicia la etapa del diseño de la infraestructura que comunique las dos

sedes ubicadas en la ciudad de Pereira y Medellín. En este capítulo se diseñará una

estructura de red que cumpla con las necesidades de comunicación existentes en

la compañía.

8.1. NECESIDADES PARA LA INTERCONEXIÓN DE LAS DOS SEDES

La sede en Medellín realiza la producción de la mercancía, la que se registra y se

le da código para salir a los almacenes del país, para salir a la venta.

Se crea una propuesta basada en lo siguiente:

Establecer un dispositivo de enrutamiento en cada una de las sedes de tal

manera que la información pueda ser compartida por ambas. Cada dispositivo

de enrutamiento se creara a partir de la utilización del Router Mikrotik, que

minimicen los gastos de inversión en dispositivos comerciales.

Crear mediante los Routers Mikrotik una Red Privada Virtual (VPN) entre

Medellín-Pereira con todos los requerimientos de seguridad, que sustituyan el

uso de una conexión punto a punto debido a los altos costos de implementación

de estos servicios.

136

8.2. DISEÑO DE LA INFRAESTRUCTURA DE RED MEDIANTE LA

SOLUCIÓN MIKROTIK ENTRE LAS SEDES DE MEDELLIN Y PERERA

La conexión se hizo a partir de la implementación de los routers Mikrotik en cada

una de las sedes que tiene la empresa Surtitodo. Se creó cada una de las redes

locales privadas en las dos sedes junto a las características de conexión y seguridad

de cada subred.

137

8.2.1. Infraestructura de la VPN entre Medellín y Pereira.

VPN

La seguridad que se implementó en la conexión de las dos sedes depende de la

estructura de la VPN debido a que será el medio por medio por donde se

comuniquen Surtitodo Medellín con Surtitodo Pereira y viceversa.

Pereira

Proceso NAT, cuando el servidor de la empresa Surtitodo-Pereira se quiera

comunicar con el servidor de la empresa Surtitodo-Medellín, el paquete que sale

del servidor de Pereira será direccionado por la VPN. Este paquete tomará la

dirección 192.29.XXX.XXX reemplazando la dirección original del servidor

XXX.XXX.XXX.XXX./24. Solo se permitirá ingresar a la VPN todo lo que venga

de la red LAN interna de la empresa.

Cuando la empresa Surtitodo-Pereira hace uso de Internet, los paquetes viajan

con la dirección XXX.XXX.XXX.XXX; correspondiente a su dirección Pública. Si

se desea utilizar la Red Privada Virtual para establecer la comunicación con la

sede ubicada en Medellín, los paquetes viajan con la dirección

XXX.XXX.XXX.XXX.

Cableado, se utilizara cables UTP categoría 5e entre la conexión de servidor-

Router, Router-ISP. La longitud de cada uno de los cables será

aproximadamente de 1.5 metros y todos estos dispositivos se ubicaran en el

centro de telecomunicaciones.

138

9. IMPLEMENTACION DEL DISEÑO DE RED

En este capítulo se mostrará la infraestructura de red montada entre las dos sedes,

además se dará a conocer todas las etapas que se realizaron para la ejecución del

proyecto, desde los dispositivos que se utilizaron hasta las características de

configuración y las distintas actividades que se llevaron a cabo para la

implementación del diseño propuesto a la empresa Surtitodo. La implementación

del proyecto se divide en tres etapas, la primera etapa hace referencia a la

planeación y compra de los dispositivos necesarios para la implementación del

proyecto junto a la configuración del Router Mikrotik, la etapa intermedia abarca las

pruebas que se realizaron durante la configuración de los dispositivos, y finalmente

la última etapa que comprende la implementación de los dispositivos y la puesta en

marcha de la infraestructura entre las dos sedes.

De acuerdo al diseño realizado y la implementación del proyecto, la infraestructura

final que se implementó entre las dos sedes de Surtitodo, donde se brinda seguridad

en la conexión entre las 2 sedes por medio de una Red Privada Virtual (VPN)

establecida entre los dos Router Mikrotik RouterBoard 751g y las características en

su configuración que le brindan integridad y autenticación a la información que viaja

a través de ella.

Finalmente la única información que podrá acceder a la VPN será la que tenga como

salida la interface Ethernet 1 en cada uno de los Router Mikrotik, que corresponde

a la interface a la que se encuentran conectados al Mikrotik Surtitodo Pereira y el

Mikrotik Surtitodo-Medellín en cada sede.

139

9.1. CARACTERISTICAS DE LA VPN

La configuración de la VPN se hace con la dirección de los dos servidores

funcionando en cada una de las sedes ubicadas en la ciudad de Medellín y Pereira,

estableciendo medidas que proporcionan seguridad en la comunicación y acceso a

los recursos ofrecidos en cada uno de los servidores de la compañía ubicados a

distancia.

La arquitectura de protocolos que manejan la seguridad en la VPN se llama PPTP,

la cual proporciona la seguridad de la comunicación mediante técnicas de

encriptación, autenticación y llaves de administración que brindan a la conexión

integridad en su comunicación.

La arquitectura PPTP utiliza dos componentes los cuales son soportados por

Surtitodo:

El protocolos existentes en el servicio de Acceso Remoto de NT 4.0 Server (PAP

y CHAP), además, puede existir una seguridad adicional establecida por el

proveedor de servicios ISP.

PPTP hace uso de la seguridad que da el protocolo PPP. La autentificación MS-

CHAP se utiliza para validar las credenciales del usuario remoto contra dominios

NT.

La autentificación de usuarios se realiza a través de los protocolos existentes en el

Servicio de Acceso Remoto de NT 4.0 Server (PAP y CHAP). PPTP hace uso de la

seguridad que da el protocolo PPP. La autentificación MS-CHAP se utiliza para

validar las credenciales del usuario remoto contra dominios NT. Sólo los usuarios

con permiso para ello pueden realizar la conexión. Una vez que se comprueba que

el usuario tiene permiso para iniciar una sesión, se genera una "llave" de 40 bits a

partir de la clave del usuario (que en el entorno Microsoft SIEMPRE viaja ya

encriptada por la red) que es utilizada para encriptar a su vez los datos del usuario

(encriptación RC-4). (Microsoft, 2003)

Además, puede defenderse a la red privada de un uso malintencionado habilitando

el filtrado PPTP del mikrotik. En este caso, el mikrotik solamente acepta y enruta

paquetes enviados por usuarios validados. Esto evita que cualquier otro tipo de

paquete ajeno pueda ser introducido en la red privada.

140

10. RECURSOS

La siguiente sección define los recursos necesarios, personas, hardware y software

10.1. Miembros y responsabilidades.

Nombre Actividad Responsabilidad

Ivan Tarapues

Conexión y configuración

Mikrotik RouterBOARD

751g

Hacer la conexión y

configuración del mikrotik

en Medellín.

Jorge Londoño

Conexión y configuración

Mikrotik RouterBOARD

751g

Hacer la conexión y

configuración del mikrotik

en los almacenes de

Armenia, Cartago y

Pereira.

Jorge Londoño Seguridad

Verificar que todas las

funciones de seguridad

impuestas se cumplan a

cabalidad para los

usuarios.

Jorge Londoño Interfase con otras redes

Hacer uso de la VPN,

para probar la

interconexión con las

demás sedes.

Tabla 11. Recursos Personas

141

10.2. Requerimientos de recursos

El hardware y el software requerido es el siguiente:

Acción Cantidad Recurso

Conexión por Winbox

6 Mikrotik RouterBoard

751G

1 Windows XP, Windows 7,

Windows 8

6 PC Pentium Core 2 Duo,

1 Gb RAM

Interfase con otras redes 1

PC Pentium Core 2 Duo,

1 Gb RAM

1 VPN

seguridad 6

Mikrotik RouterBoard

751G

Tabla 12. Requerimientos Hardware y Software

142

11. PRESUPUESTO

ITEM CANT. Vlr. UNI $ IVA $ VALOR $

Mikrotik RouterBoard

RB751G – 2HnD 4 270.000 43.200 1.252.800

Cisco SRW224G4-

K9-NA SF 300-24 de

24 puertos 10/100

4 1.512.000 288.000 7.200.000

Transportes y

salidas de campo 4 33.180 6.320 158.000

Materiales y

suministros 250.000

Material Bibliográfico

y fotocopias 250.000

Varios e imprevistos 200.000

VALOR TOTAL 9.310.800

Tabla 13. Presupuesto

143

12. CRONOGRAMA

Tabla 14. Cronograma

144

CONCLUSIONES

Se recopilo la información necesaria para identificar los problemas que tenía la

estructura de la red anterior y así poder mejorarla.

Se diseñó e implementó una infraestructura de red en la empresa Compañía

Comercial Universal Surtitodo S.A., que cumple con las características de

seguridad necesarias para el intercambio de información entre las dos sedes.

Estas sedes se unieron por medio de la VPN creada mediante los Routers

Mikrotik RouterBoard 751g lo cual permitió obtener una relación costo/beneficio

favorable a la compañía.

Surtitodo al mejorar su estructura su red informática, gano en eficiencia, lo que

ha permitido ser mucho más competitiva. Dentro de las opciones se eligió el

sistema Mikrotik debido al óptimo desempeño que podía brindar en la

infraestructura de red y a la variedad de herramientas útiles que podía ofrecer

en comparación a las otras Soluciones.

Al aplicar el balanceo de carga se limitó equilibradamente el consumo de

internet a través de las colas simples que pertenecen al sistema RouterOS de

mikrotik, por lo tanto el balanceo es persistente si aplicamos calidad al momento

de liminar tanto el ancho de subida como el de bajada para mantener un

estándar de consumo.

La implementación de las políticas de seguridad permitieron salvaguardar la

información garantizando la confidencialidad, integridad y disponibilidad de los

datos.

El diseño y aplicación de la nueva red ha permitido a las directivas no perder de

vista la actividad del negocio.

Con el mikrotik RouterBoard 751g y su sistema operativo RouterOS se pudo dar

una solución a bajo costo, para la conectividad y seguridad que se necesitaba.

Debido a las pocas referencias de primer nivel para la configuración del router

mikrotik, se usaron como lineamientos los manuales y foros que existen en la

web.

145

REFERENCIAS

Alberto, Q. (1 de julio de 2012). http://www.saber.ula.ve/. Obtenido de

http://www.saber.ula.ve/dspace/bitstream/123456789/37249/1/tesis_red_fundacite.pdf

CAPACITY. (09 de 04 de 2014). blog.capacityacademy.com. Obtenido de

http://blog.capacityacademy.com/2014/04/09/que-es-mikrotik-routeros/

Chancusig, O. E., & Martínez, L. S. (2012). http://repositorio.utc.edu.ec/.

Cisco. (31 de 07 de 2013). www.cisco.com. Obtenido de

http://www.cisco.com/cisco/web/support/LA/7/73/73461_3.html

CISCO. (26 de 11 de 2014). www.cisco.com. Obtenido de

http://www.cisco.com/c/en/us/products/switches/small-business-300-series-managed-

switches/index.html

CISCO_CCNA/Exploration3intSpanish. (s.f.). http://karimevc.wordpress.com. Obtenido de

http://karimevc.wordpress.com/dominio-de-broadcast-y-colisiones/

Hernando, R. (7 de 07 de 2002). http://www2.rhernando.net/. Obtenido de

http://www2.rhernando.net/modules/tutorials/doc/redes/Gredes.html

http://inkalinux.com/. (2 de 1 de 2014). http://inkalinux.com/. Obtenido de

http://inkalinux.com/foros/showthread.php?135-Instalar-Configurar-Manual-Mikrotik-

RouterBoard-Basico-Avanzado

http://www.router-switch.com/. (25 de 12 de 2014). http://www.router-switch.com/cisco2811-p-

180.html. Obtenido de http://www.router-switch.com/cisco2811-p-180.html

inkalinux. (2 de 1 de 2014). http://inkalinux.com/. Obtenido de

http://inkalinux.com/foros/showthread.php?135-Instalar-Configurar-Manual-Mikrotik-

RouterBoard-Basico-Avanzado

Microsoft. (10 de Abril de 2003). http://support.microsoft.com/kb/550769/es.

Microsoft. (01 de 01 de 2005). http://msdn.microsoft.com/es-es/. Obtenido de

http://msdn.microsoft.com/es-es/library/cc785246(v=ws.10).aspx

Microsoft. (01 de 01 de 2005). http://msdn.microsoft.com/es-es/. Obtenido de

http://msdn.microsoft.com/es-es/library/cc787434%28v=ws.10%29.aspx

mikrotik. (2006). http://www.mikrotik.com/testdocs/ros/2.9/guide/basic.php.

Ramírez, J. (09 de 2013). http://www.uteq.edu.mx/. Obtenido de

http://www.uteq.edu.mx/tesis/ITIC/0298.pdf

146

Tarapues, I. (05 de 08 de 2014).

WEBGRAFIA

http://www.mikrotik.com/documentation/rosmE.pdf

http://inkalinux.com/foros/showthread.php?135-Instalar-Configurar-Manual-

Mikrotik-RouterBoard-Basico-Avanzado

http://www.mikrotik.com/testdocs/ros/2.9/guide/basic.php.