DISEÑO DE UNA RED PARA LA EMPRESA COMPAÑÍA COMERCIAL

UNIVERSAL SURTITODO S.A. BASADA EN MIKROTIK

JORGE HERNAN LONDOÑO VELASQUEZ

UNIVERSIDAD CATOLICA DE PEREIRA

FACULTAD DE CIENCIAS BASICAS E INGENIERIA DE SISTEMAS

PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

INFORME DE PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE

INGENIERA DE SISTEMAS Y TELECOMUNICACIONES
PEREIRA
2014

1
 DISEÑO DE UNA RED PARA LA EMPRESA COMPAÑÍA COMERCIAL
UNIVERSAL SURTITODO S.A. BASADA EN MIKROTIK

JORGE HERNAN LONDOÑO VELASQUEZ

INFORME DE PROYECTO DE GRADO PARA OPTAR POR EL TÍTULO DE

INGENIERO DE SISTEMAS Y TELECOMUNICACIONES

DIRECTOR
INGENIERO DANIEL FELIPE BLANDON GÓMEZ

UNIVERSIDAD CATOLICA DE PEREIRA

FACULTAD DE CIENCIAS BASICAS E INGENIERIA DE SISTEMAS

PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

PEREIRA 2014

2
 DECLARACIÓN DE DERECHOS DE AUTOR

Como estudiante del programa de Ingeniería de Sistemas y Telecomunicaciones de

la Universidad Católica de Pereira, declaro que este proyecto es de iniciativa propia,
resultado de un estudio realizado, en el cual se vio la necesidad de diseñar una red,
con la tecnología Mikrotik, para Compañía Comercial Universal Surtitodo S.A.

Se Autoriza la utilización de este proyecto a la Universidad o a diferentes

estudiantes para ser utilizado como material de estudio y/o base para otros
proyectos.

3
 DEDICATORIA

A mi hija (Susana), esposa (Diana Marcela) y familia a quienes les he robado de su

tiempo para que poder cumplir con mi sueño, por su sacrificio y espera, les dedico
el final de este proceso, ustedes son mi inspiración para convertirme en ingeniero y
seguir persiguiendo metas.

Para mi madre (Miriam) y padre (Fernando) con todo mi cariño y amor, por que
hicieron todo en la vida para que yo pudiera lograr mis sueños, por motivarme y
darme la mano cuando sentía que el camino se terminaba, a ustedes por siempre
mi corazón y mi agradecimiento.

4
 AGRADECIMIENTOS

Agradezco muy especialmente el presente proyecto y fin de mi carrera a mi hija

Susana y esposa Diana, a mi madre Miriam, mi padre Fernando y a mi hermano
Julián por el esfuerzo que han realizado a lo largo de sus vidas para ofrecerme todas
las posibilidades de las que he disfrutado, así como la educación y valores que me
han inculcado desde pequeño hasta convertirme en adulto, sin olvidar su apoyo a
lo largo de todos los años de mi vida.

Hago extensible la presente dedicatoria al resto de mi familia más cercana.

A aquellas personas que no he nombrado por omisión, a ellos muchas gracias.

5
 RESUMEN

La presente solución trata sobre la implementación de una nueva red para optimizar
y administrar los recursos informáticos de la Compañía Comercial Surtitodo S.A.,
bajo la tecnología mikrotik.

El proyecto inicia con el análisis de los problemas que presentaba la sede principal
y el impacto negativo por el mal manejo que se daba a los recursos informáticos.
Luego de tener una solución clara de lo que se deseaba hacer, se procedió a
investigar las herramientas necesarias, que se aplicarían en el desarrollo de este
proyecto.

Las herramientas utilizadas para la configuración de la red recogen todos los

requerimientos dados por la gerencia, en un dispositivo de bajo costo que ofrece
respuestas a las necesidades particulares de la compañía, entre estas brindar una
conexión más rápida y segura considerando aspectos económicos y tecnológicos.

Tras el análisis específico de cada particular se creó una red con diferentes
servicios: DHCP (Dynamic Host Configuration Protocol), NTP (Network Time
Protocol), VPN (Virtual Private Network) y SNMP (Simple Network Management
Protocol). También se aplicaron políticas de control para el ancho de banda, para el
bloqueo de programas P2P (Peer to Peer), bloqueo de mensajería, filtrado WEB y
navegación mediante Proxy.

La solución ha sido implementada utilizando Mikrotik RouterOS, que es el SO del

mikrotik RouterBOARD 751G, se tomó esta decisión debido a que estos equipos
brindan seguridad, flexibilidad y son más económicos que un Router comercial
convencional.

PALABRAS CLAVES: Redes Informáticas, Recursos Informáticos, Mikrotik,

Políticas de Control

6
 ABSTRACT

The present solution treats on the implementation of a new network to optimize and
to administer the IT resources of the Commercial Company Surtitodo S.A., under the
technology mikrotik.

The project initiates with the analysis of the problems that was presenting the
principal headquarters and the negative impact for the evil I handle that it was given
to the IT resources. After having a clear solution of what wanted to do one proceeded
to investigate the necessary tools, which would be applied in the development of this
project.

The tools used for the configuration of the network gather all the requirements given
by the management, in a device of low cost that offers answers to the particular
needs of the company, between these offering a more rapid and sure connection
considering economic and technological aspects.

After the specific analysis of every individual a network was created with
diferentesservicios: DHCP (Dynamic Host Configuration Protocol), NTP (Network
Time Protocol), VPN (Virtual Deprive Your Your Network) and SNMP (Simple
Network Management Protocol). Also policies of control were applied for the
bandwidth by the use of programs P2P (Peer to Peer), I block of messenger
company, leaked WEB and navigation by means of Proxy.

The solution has been implemented using Mikrotik RouterOS, which is the SO of the
mikrotik RouterBOARD 751G, this decision took due to the fact that these
equipments offer safety, flexibility and are more economic than a commercial
conventional Router.

KEY WORDS: IT Networks, IT Resources, Mikrotik, Policies of Control

7
 INTRODUCCIÓN

En el desarrollo de este trabajo se dio solución a un problema detectado en la

Compañía Comercial Universal Surtitodo S.A.

Desde el ingreso a la empresa en agosto de 2012, el autor de este trabajo noto

problemas de comunicación respecto a la transmisión de datos entre la sede
(Pereira) y la oficina principal en Medellín, el programa de ventas era un software
obsoleto, con base de datos en Access, y que solo permitía a los gerentes y
directivos ver el estado mensualmente.

La meta por tanto, se emprendió en el diseño de una nueva red, que soportara el
crecimiento y solucionara los problemas de conexión entre la sede principal y las
demás sedes del país, además que se hiciera con un bajo costo de implementación
para la compañía.

La nueva red se implementó con Mikrotik RouterOS, “…el mismo es un sistema

operativo y software de router; el cual convierte a una PC Intel o un Mikrotik
RouterBOARD en un router dedicado”. Se tomó la decisión de comprar y utilizar
esta solución, ya que estos equipos brindan seguridad, flexibilidad, son muy
económicos, y traen beneficios a la compañía, ya que la red es de un tamaño
considerable.

Esta red debe proveer un servicio total, por lo que se implementó una red virtual
privada (VPN por sus sigla en inglés) para interconectar la oficina situada en
Medellín con los almacenes de Pereira, esto proveyó una conexión más rápida y
segura considerando aspectos económicos y tecnológicos.

Mediante políticas de control de ancho de banda, por sub-redes y/o puesto de

trabajo, el acceso a programas P2P fue restringido en la red de administración por
solicitud de las directivas. También el filtrado total de los P2P será aplicado a las
redes de las áreas de Ventas y Producción

8
 ÍNDICE

DECLARACIÓN DE DERECHOS DE AUTOR ......................................................... 3

DEDICATORIA ............................................................................................................. 4
AGRADECIMIENTOS .................................................................................................. 5
RESUMEN ..................................................................................................................... 6
ABSTRACT ................................................................................................................... 7
INTRODUCCIÓN .......................................................................................................... 8
ÍNDICE ........................................................................................................................... 9
ÍNDICE DE TABLAS .................................................................................................. 11
ÍNDICE DE FIGURAS ................................................................................................ 11
CAPÍTULO I: DESCRIPCION Y FORMULACION DEL PROBLEMA .................. 15
1.1. Situación Problema ................................................................................... 15
1.2. Planteamiento del Problema ................................................................... 16
1.2.1. Delimitación ............................................................................................ 16
1.3. Objetivos ..................................................................................................... 16
1.3.1. Objetivo General ...................................................................................... 16
1.3.2. Objetivos específicos ............................................................................... 16
1.4. Justificación. .............................................................................................. 17
1.5. Aporte teórico y práctico. ............................................................................ 18
1.5.1. Aporte Teórico ........................................................................................ 18
1.5.2. Aporte Práctico....................................................................................... 18
Capitulo II: MARCOS DE REFERENCIA................................................................ 20
2.1. Antecedentes ............................................................................................. 20
2.2. Marco teórico. ............................................................................................ 21
 Modelos de Gestión Estándar ........................................................................ 32
o El Modelo de Gestión OSI .............................................................................. 32
o El Modelo de Comunicaciones....................................................................... 33
o El Modelo de Información ............................................................................... 33
o El Modelo de Gestión en Internet .................................................................. 34
o Arquitectura de Gestión de Red en Internet ................................................. 34
o Tecnología de Gestión de Red: Las Plataformas de Gestión ..................... 35
 SNMP. Protocolo Simple de Gestión de Red ............................................... 36
 ASN.1. Notación de Sintaxis Abstracta 1 ...................................................... 37
3. HIPOTESIS .......................................................................................................... 38
4. DISEÑO Y PROCEDIMIENTO. ......................................................................... 38
4.1. Red anterior.................................................................................................. 38
4.2. Nueva Red Surtitodo ................................................................................... 40
4.3. Sub Red Administración ............................................................................. 43
4.4. Sub red Ventas. ........................................................................................... 45
4.5. Sub red Producción ..................................................................................... 47

9
 4.6. Red Servidores ............................................................................................ 48
5. Análisis del nivel de seguridad de la información de la red de Surtitodo
S.A. y Configuración del router Mikrotik RouterBoard 751 g .......................... 50
5.2. Debilidades de la red Surtitodo S.A....................................................... 51
5.3. ANÁLISIS DE LA SEGURIDAD IMPLEMENTADA POR PARTE DEL
ROUTERBOARD MIKROTIK 751G EN SURTITODO S.A. ............................... 58
o Ingreso al Mikrotik ........................................................................................... 58
o Definición y configuración de las interfases. ................................................. 61
o Definición de Vlans.......................................................................................... 65
o Asignación de direcciones IP a las interfases .............................................. 69
o Configuración de los Pools de Direcciones IP.............................................. 71
5.3. Nat Masquerade Para Todas Las Redes .................................................. 74
o Configuración del Servidor DHCP ................................................................. 75
o Servidor - Cliente PPTP .................................................................................. 81
o Configuración Cliente PPTP........................................................................... 83
o Control de ancho de banda ............................................................................ 88
o Limitación del trafico P2P ............................................................................... 91
o Firewall ............................................................................................................. 96
o Bloqueo del cliente MSN Live Messenger .................................................... 98
o Redireccionamiento de puertos ................................................................... 103
o Descartar conexiones inválidas ................................................................... 110
o Aceptar conexiones establecidas ................................................................ 111
6. ANÁLISIS DEL TRÁFICO DE RED SURTITODO S.A. ................................ 128
6.1. Análisis de Tráfico....................................................................................... 128
7. ANÁLISIS DE LAS SOLUCIONES COMERCIALES Y MIKROTIK PARA
IMPLEMENTACIONES DE ROUTERS .................................................................. 131
7.1. ANALISIS DE LAS SOLUCIONES COMERCIALES............................ 131
7.2. Análisis general entre la solución Mikrotik y Comerciales ............. 134
8. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE GARANTICE LOS
NIVELES DE SEGURIDAD NECESARIOS PARA LA TRANSMISIÓN DE
DATOS ENTRE LAS DOS SEDES. ....................................................................... 135
8.1. NECESIDADES PARA LA INTERCONEXIÓN DE LAS DOS SEDES 135
8.2. DISEÑO DE LA INFRAESTRUCTURA DE RED MEDIANTE LA
SOLUCIÓN MIKROTIK ENTRE LAS SEDES DE MEDELLIN Y PERERA ... 136
8.2.1. Infraestructura de la VPN entre Medellín y Pereira. ...................... 137
9. IMPLEMENTACION DEL DISEÑO DE RED ................................................. 138
9.1. CARACTERISTICAS DE LA VPN .......................................................... 139
10. RECURSOS ................................................................................................... 140
10.1. Miembros y responsabilidades. ........................................................ 140
10.2. Requerimientos de recursos ............................................................. 141
11. PRESUPUESTO ........................................................................................... 142
12. CRONOGRAMA ............................................................................................ 143
CONCLUSIONES ..................................................................................................... 144

10
 REFERENCIAS......................................................................................................... 145
WEBGRAFIA ............................................................................................................ 146

ÍNDICE DE TABLAS

Tabla 1. Rango de Direcciones IP .................................................................................... 41

Tabla 2. Control de Ancho de Banda ............................................................................... 88
Tabla 3. Herramientas Detección de Vulnerabilidades ................................................... 118
Tabla 4. Shadow Security Scanner modo Full Scan....................................................... 119
Tabla 5. Análisis SSS. Solo NetBIOS............................................................................. 120
Tabla 6. Análisis de solo FTP (Only FTP Scan) ............................................................. 121
Tabla 7. Análisis de solo HTTP (Only HTTP Scan) ........................................................ 121
Tabla 8. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)............................. 122
Tabla 9. Análisis herramienta Nessus. ........................................................................... 125
Tabla 10. Herramienta BW Meter 6.8.1. ......................................................................... 128
Tabla 11. Recursos Personas ........................................................................................ 140
Tabla 12. Requerimientos Hardware y Software ............................................................ 141
Tabla 13. Presupuesto ................................................................................................... 142
Tabla 14. Cronograma ................................................................................................... 143

ÍNDICE DE FIGURAS

Ilustración 1. Clases de Redes ................................................................................................ 25

Ilustración 2. Esquema de Red anterior Surtitodo S.A. ......................................................... 38
Ilustración 3. Nueva Red Surtitodo S.A. .................................................................................. 40
Ilustración 4. Red Administración ............................................................................................ 43
Ilustración 5. Medición Tráfico ................................................................................................. 44
Ilustración 6. Red Ventas ......................................................................................................... 45
Ilustración 7. Esquema VPN .................................................................................................... 46
Ilustración 8. Sub Red Producción .......................................................................................... 47
Ilustración 9. Sub Red Servidores ........................................................................................... 48
Ilustración 10. Ingreso al Mikrotik ............................................................................................ 59
Ilustración 11. Descarga de Plugins ........................................................................................ 59
Ilustración 12. Menú de Configuración .................................................................................... 60
Ilustración 13. Interfases .......................................................................................................... 61
Ilustración 14. Interfase Administración .................................................................................. 63
Ilustración 15. Interfase hotspot ............................................................................................... 63

11
Ilustración 16. Interfase Ventas ............................................................................................... 64
Ilustración 17. Interfase Producción ........................................................................................ 65
Ilustración 18. Vlan Ventas....................................................................................................... 66
Ilustración 19. Vlan Administración ......................................................................................... 67
Ilustración 20. Vlan Producción ............................................................................................... 68
Ilustración 21. Lista de Vlan ..................................................................................................... 68
Ilustración 22. Dirección Ip Administración ............................................................................. 69
Ilustración 23. Dirección Ip Ventas .......................................................................................... 70
Ilustración 24. Dirección Ip Producción ................................................................................... 70
Ilustración 25. Dirección Ip Une ............................................................................................... 71
Ilustración 26. Lista de Direcciones ......................................................................................... 71
Ilustración 27. Pool Servidores ................................................................................................ 72
Ilustración 28. Pool Ventas....................................................................................................... 72
Ilustración 29. Pool Produccion ............................................................................................... 73
Ilustración 30. Pool Administración ......................................................................................... 73
Ilustración 31. Lista Pool Direcciones ..................................................................................... 74
Ilustración 32. Net masquerade General ................................................................................ 74
Ilustración 33. Net masquerade Action ................................................................................... 75
Ilustración 34. DHCP Producción ............................................................................................ 76
Ilustración 35. DHCP Administración ...................................................................................... 77
Ilustración 36. DHCP Ventas ................................................................................................... 78
Ilustración 37. DHCP Network ................................................................................................. 78
Ilustración 38. DHCP Red Servers .......................................................................................... 79
Ilustración 39. DHCP Red Administración .............................................................................. 79
Ilustración 40. DHCP Red Ventas ........................................................................................... 80
Ilustración 41. DHCP Red Producción .................................................................................... 80
Ilustración 42. Perfil VPN.......................................................................................................... 81
Ilustración 43. Perfil VPN.......................................................................................................... 82
Ilustración 44. Interface VPN ................................................................................................... 83
Ilustración 45. Cliente PPTP .................................................................................................... 84
Ilustración 46. Configuración Nueva Red ............................................................................... 84
Ilustración 47. Conectarse a un área de trabajo .................................................................... 85
Ilustración 48. Usar mi conexión VPN ..................................................................................... 86
Ilustración 49. Dirección de conexión ...................................................................................... 86
Ilustración 50. Elegir conexión ................................................................................................. 87
Ilustración 51. Usuario y contraseña VPN .............................................................................. 87
Ilustración 52. Conexión VPN conectado ............................................................................... 88
Ilustración 53. Menú Colas ....................................................................................................... 89
Ilustración 54. Cola Administración ......................................................................................... 89
Ilustración 55. Cola Ventas ...................................................................................................... 90
Ilustración 56. Lista Cola .......................................................................................................... 90
Ilustración 57. Bloqueo P2P ..................................................................................................... 91

12
Ilustración 58. Bloqueo P2P-2.................................................................................................. 92
Ilustración 59. Mangle Rule ...................................................................................................... 92
Ilustración 60. Nueva Mangle Rule .......................................................................................... 93
Ilustración 61. Mangle Rule Conexión P2P ............................................................................ 93
Ilustración 62. Mangle P2P Bloqueado ................................................................................... 94
Ilustración 63. Lista bloqueo P2P ............................................................................................ 94
Ilustración 64. Cola P2P In ....................................................................................................... 95
Ilustración 65. Cola P2P Salida ............................................................................................... 96
Ilustración 66. Bloqueo P2P Producción ................................................................................. 97
Ilustración 67. Action: Drop ...................................................................................................... 97
Ilustración 68. Bloqueo P2P Ventas ........................................................................................ 98
Ilustración 69. Firewall Rule Drop ............................................................................................ 98
Ilustración 70. Bloqueo Messenger Puerto 1863 ................................................................... 99
Ilustración 71. Ilustración 101. Bloqueo Messenger Puerto 1863 - 2 ................................... 99
Ilustración 72. Bloqueo Messenger Puerto 5190 ................................................................. 100
Ilustración 73. Bloqueo Messenger Puerto 5190 - 2 ............................................................ 100
Ilustración 74. Bloqueo Messenger Puerto 6901 ................................................................. 101
Ilustración 75. Bloqueo Messenger Puerto 6901 - 2 ............................................................ 101
Ilustración 76. Bloqueo Messenger Puerto 6891-6900........................................................ 102
Ilustración 77. Bloqueo Messenger Puerto 6891-6900 - 2 .................................................. 102
Ilustración 78. Firewall Rule ................................................................................................... 103
Ilustración 79. Firewall Rule Drop .......................................................................................... 103
Ilustración 80. Redireccionar Puerto 80 ................................................................................ 104
Ilustración 81. Redireccionar Puerto 80 - 2........................................................................... 105
Ilustración 82. Redireccionar Puerto 110 .............................................................................. 105
Ilustración 83. Redireccionar Puerto 110 - 2 ........................................................................ 106
Ilustración 84. Redireccionar Puerto25 ................................................................................. 107
Ilustración 85. Redireccionar Puerto25 - 2............................................................................ 107
Ilustración 86. Redireccionar Puerto1723 ............................................................................. 108
Ilustración 87. Redireccionar Puerto1723 - 2 ....................................................................... 108
Ilustración 88. Firewall Rule Puerto 1723 ............................................................................. 109
Ilustración 89. Pestaña General Conexión Establecida....................................................... 110
Ilustración 90. Pestaña Accion Accept .................................................................................. 110
Ilustración 91. Descartar conexiones inválidas .................................................................... 111
Ilustración 92. Descartar conexiones inválidas - 2 ............................................................... 111
Ilustración 93. Aceptar Conexiones Establecidas ................................................................ 112
Ilustración 94. Aceptar Conexiones Establecidas - 2........................................................... 112
Ilustración 95. Aceptar Trafico UDP ...................................................................................... 113
Ilustración 96. Aceptar Trafico UDP - 2 ................................................................................. 113
Ilustración 97. Acepta icmp Limitados ................................................................................... 114
Ilustración 98. Acepta icmp Limitados - 2 ............................................................................. 114
Ilustración 99. Acepta icmp Limitados - 3 ............................................................................. 115

13
Ilustración 100. Descarta excesivos icmp ............................................................................. 115
Ilustración 101. Descarta excesivos icmp - 2 ....................................................................... 116
Ilustración 102. Descarta el resto de las conexiones externas ........................................... 117
Ilustración 103. Descarta el resto de las conexiones externas - 2 ..................................... 117
Ilustración 104. El orden de las políticas Firewall ................................................................ 118
Ilustración 105. Resultado SSS modo Full Scan ........................................................................... 119
Ilustración 106. DoS Checker ...................................................................................................... 123
Ilustración 107. f. DoS Checker Step 2 ..................................................................................... 124
Ilustración 108. DoS Checker Step 2 ........................................................................................... 124
Ilustración 109. Resultado Nmap................................................................................................ 127
Ilustración 110. Medición Realizada al servidor de Pereira ......................................................... 129
Ilustración 111. Medición realizada al Servidor de Medellín ....................................................... 130
Ilustración 112. Tomado de [Link] ................................................................. 131
Ilustración 113. Router 3COM 3033. .......................................................................................... 132
Ilustración 114. Características Router 3COM 3033 .................................................................... 133

14
CAPÍTULO I: DESCRIPCION Y FORMULACION DEL PROBLEMA

1.1. Situación Problema

Una vez se realizó el estudio en la Compañía Comercial Universal Surtitodo. S.A.

se observó algunos problemas que a continuación se mencionan:

 Un solo servidor de archivos para todas las redes, este servidor pertenece al
área de Administración, lo que acarrea mucho tráfico de datos en esta red,
produciendo congestión y pérdida de datos.

 Una sola impresora de red a la que las demás subredes envían sus
documentos, generando colas y congestión en esta área, además del
personal ajeno al área de administración.

 Debido al exceso de trabajo la impresora se dañaba a menudo.

 Las subredes de ventas y producción tienen computadores que están

conectados a través de switch, todas acceden al servidor de administración
y la impresora de la empresa a través del router principal.

 Los switch de cada una de las áreas son idénticos, a ninguno se le puede
administrar sus puertos, por lo que no se le puede aplicar ningún tipo de
política de seguridad o generar alguna VLAN.

 Los datos de ventas solo se pueden ver cuando los analistas de sistemas
realizan la toma de datos y centralizan la información en la sede principal los
primeros cinco días del mes.

 Debido al poco control que tiene la red interna, no hay control sobre las
sedes, no se ven en directo los videos de las cámaras, si ocurre un evento
se debe esperar que el analista baje el video y lo envía a la sede central.

15
1.2. Planteamiento del Problema

¿Cómo se puede mejorar la red y el servicio de conexión e interconexión de

Compañía Comercial Universal Surtitodo S.A., de acuerdo a los requerimientos y
necesidades de la institución?

1.2.1. Delimitación

Compañía Comercial Universal Surtitodo S.A. actualmente cuenta con tres áreas
(Administración, Producción y ventas), y oficinas de ventas en Pereira. Se limita el
proyecto al estudio de estas áreas además de la interconexión del área de ventas
con el Almacén Surtitodo la 8va a través de una VPN.

1.3. Objetivos

1.3.1. Objetivo General

Documentar el diseño de una red de datos acorde a las necesidades de la compañía

comercial S.A., con la tecnología Mikrotik RouterOS

1.3.2. Objetivos específicos

 Reunir información de la red actual, sus requisitos y expectativas para

aclarar e identificar cualquier problema en la red para establecer la
configuración del router mikrotik.

 Documentar la configuración del router mikrotik para el diseño de la red y

el direccionamiento IP de la empresa

 Implementar servicios para la sincronización de la hora y monitoreo de las

interfaces de los equipos activos.

16
  Implementar una política interna de optimización de los recursos de
interconexión y seguridad de la red con la tecnología Mikrotik.

1.4. Justificación.

Esta solución junto con el cambio de sistema de ventas a SAP, beneficia a todos en
la compañía ya que las directivas tienen la información al día, lo que permite tener
las soluciones al alcance si se presenta algún problema.

El nuevo diseño permite compartir tanto archivos (documentos) como video, siendo
principalmente importante los videos de seguridad de los DVR cuando ocurre un
evento.

Se brinda mayor seguridad para proteger sus datos, asegurando la integridad,

confidencialidad y seguridad.

Debido a la necesidad de asegurar los datos de las sedes alternas con la principal
se creó una VPN, esto ha permitido la visualización de los datos de ventas en tiempo
real, stock de productos, acceder remotamente a los equipos para asistir en una
eventualidad, ahorrando en costos de desplazamiento de personal calificado, sino
la utilización de los mismos para que los gerentes y directores de estas sedes
tengan la información a la mano.

Para que el usuario pueda desempeñar su trabajo diariamente es indispensable que

pueda hacer uso de cada una de las herramientas que proporciona la empresa, para
ello es necesaria una gestión de red que permita comprobar y asegurar el
rendimiento óptimo de los recursos informáticos.

17
Esta herramienta ha permitido ajustar la gestión de red con los objetivos de la
compañía y afirmar las prioridades utilizadas para que coincidan con las aplicadas
para la administración de la firma, también ha permitido garantizar el rendimiento y
disponibilidad no solo de la información sino también de la tecnología.

1.5. Aporte teórico y práctico.

1.5.1. Aporte Teórico

La novedad de este proyecto se presenta el estudio, análisis y solución de una red

empresarial a bajo costo, la cual se puede posteriormente aplicar a otros almacenes
de la organización o en otros ambientes laborales.

El análisis de la tecnología basada en Mikrotik RouterOS proveerá los conceptos

necesarios para ser aplicados en cualquier clase de dominio con objetivos
comerciales y no comerciales.

La tecnología que presenta el sistema Mikrotik es desconocida y esta misma permite

gestionar la red según las necesidades del cliente

1.5.2. Aporte Práctico

El proyecto generara un impacto social dentro de la empresa, la red anterior no

satisfacía las necesidades de los usuarios y trabajadores, la nueva red soluciona
estos problemas permitiendo el desarrollo individual de cada empleado y así el de
la empresa presentando una mejora continua en los procesos y atención al cliente.

18
Las características colaborativas del mikrotik han potenciado el balance de las
cargas de red permitiendo la transmisión de datos entre las áreas de la compañía,
almacenes sucursales y la principal sin problemas, igualmente proporciona control
sobre el stock de mercancía y las ventas.
Los beneficios de la implementación del proyecto han permitido generar un
conocimiento que puede ser aplicado posteriormente a las otras sedes por parte del
departamento técnico.

19
Capitulo II: MARCOS DE REFERENCIA

2.1. Antecedentes

Actualmente son pocos los trabajos que se han documentado sobre este tipo de
soluciones.

Seguidamente se relacionan algunos ejemplos de proyectos que han utilizado la

tecnología Mikrotik

Quiroz Alberto (2011), Universidad Nacional Experimental de Táchira (UNET)

realizó un informe de pasantías de final de carrera titulado: “Actualización del
esquema de enrutamiento y direccionamiento IP de la red inalámbrica de Fundacite
Mérida en la zona Panamericana y Valle de Mocoties del Estado Mérida", el cual
tuvo como basamento la actualización del esquema de enrutamiento, aplicando
enrutamiento estático en una red inalámbrica mediante el uso de tecnología Mikrotik
basada en RouterOS y manejada con software libre bajo la distribución Ubuntu.
(Alberto, 2012)

Chancusig Omar (2012), universidad Técnica de Cotopaxi realizó un informe para

la obtención del título de ingeniero en informática y sistemas computacionales
titulado: ““DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL Y
BALANCEO DE CARGA, EN ROUTERS MIKROTIK CON CALIDAD DE SERVICIO
(QOS), PARA LA RED WLAN (Wireles Local Area Network) DE LOS SISTEMAS
DE COMUNICACIÓN LATACUNGA ” En relación al objetivo general que es diseñar
e implementar un sistema de control, balanceo de carga en Routers Mikrotik con
calidad de servicio (QOS), para la red wlan de los sistemas de comunicación
Latacunga con los específicos que es analizar la estructuración y configuración de
Routers Mikrotik. (Chancusig & Martínez, 2012)

Ramírez Javier (2013) realizo un informe para obtener el título de Ingeniero en

Tecnologías de la Información y Comunicación con el Proyecto: “Internet en la

20
ciudad de Querétaro” en el cual uno de los objetivos principales es Acercar a la
ciudadanía un servicio público gratuito del internet móvil y en sitios estratégicos que
permitan hacer uso del mismo como una herramienta de apoyo tecnológico a los
ciudadanos usando Tecnología Mikrotik RouterBOARD. (Ramírez, 2013)

2.2. Marco teórico.

Los conceptos tratados a continuación proporcionan una idea sobre las redes,
topología de una red, direccionamiento IP, protocolos, algoritmos de enrutamiento,
calidad de servicio y una breve descripción de las herramientas utilizadas para la
realización del proyecto

2.2.1. RouterBOARD Mikrotik

Es la plataforma de hardware hecho por Mikrotik, estos router son alimentados por
el sistema operativo RouterOS, basado en el Kernel de Linux 2.6, su facilidad de
uso, implementación y su relación costo beneficio lo hacen perfectos para las
grandes y medianas compañías ya que implementa funcionalidades como OSPF,
BGP o VPLS/MPLS. (CAPACITY, 2014)

Estudio exploratorio bibliográfico sobre el manual de referencia de Mikrotik y

normas internacionales

Esta red se implementara con Mikrotik RouterBoard 751g 2H.

El RouterOS es un sistema operativo y software que convierte a una PC en un router

dedicado, bridge, firewall, controlador de ancho de banda, punto de acceso
inalámbrico, por lo que el aparato puede realizar casi cualquier cosa que la red
requiera, además posee funciones de servidor.

21
El RouterOS soporta diversos métodos de conexión VPN, para establecer una
conexión VPN segura sobre redes abiertas o internet. Estos métodos son:

 IPSec
 Túneles de punto a punto (OpenVPN, PPTP, PPPoE, L2TP)
 Features Avanzados PPP (MLPPP, BCP)
 Túneles simples (IPIP, EoIP)
 Soporte túneles 6 a 4 (IPv6 sobre IPv4)
 VLAN
 VPN basado en MPLS

El software RouterOS se puede ejecutar desde disco IDE o memoria tipo Flash.

Principales Características

 El sistema operativo es basado en el kernel de Linux 2.6 por lo que es muy

estable.
 Puede ejecutarse desde discos IDE o módulos de memoria flash.
 Diseño modular.
 Módulos actualizables.
 Interfaz gráfica amigable.

Características de Ruteo

 Políticas de enrutamiento. Ruteo estático o dinámico.

 Bridging, protocolo spanning tree, interfaces múltiples bridge, firewall en el
bridge.
 Servidores y clientes: DHCP, PPPoE, PPTP, PPP, relay DHCP
 Cache: web-proxy, DNS.
 Gateway de HotSpot.
 Lenguaje interno de scripts.

Características del RouterOS

Filtrado de paquetes por:

22
  Origen, IP de destino.
 Protocolos, puertos.
 Contenidos (según conexiones P2P).
 Puede detectar ataques de denegación de servicio (DoS)
 Permite solamente cierto número de paquetes por periodo de tiempo.

Calidad de servicio (QoS)

Tipo de colas

 RED
 BFIFO
 PFIFO
 PCQ

Colas simples

 Por origen/destino de red.

 Dirección IP de cliente.
 Interfase

Arboles de colas

 Por protocolo.
 Por puerto.
 Por tipo de conexión.

Interfaces del RouterOS

 Ethernet 10/100/1000 Mbit.

 Inalámbrica (Atheros, Prism, CISCO/Airones)
 Punto de acceso o modo de estación/cliente, WDS.
 Síncronas: V35, E1, Frame Relay.

23
  Asíncronas: Onboard serial.
 ISDN.
 xDSL.
 Virtual Lan (VLAN).

Herramientas de manejo de red

 Ping, traceroute.
 Medidor de ancho de banda.
 Contabilización de tráfico.
 SNMP.
 Torch.
 Sniffer de paquetes.

Estas son las principales características del sistema operativo y software del
Mikrotik RouterBoard, elegido para la implementación de la red. (CAPACITY, 2014)

2.2.2. Direccionamiento IP

El direccionamiento IP es la forma como se identifica el destinatario del paquete que

se va a enviar a través de la red. Para identificar este destinatario se usa una
dirección IP con una longitud de 32 bits en IPv4 mientras que para IPv6, se usa una
dirección IP de 128 bits. La dirección IPv4 está formada por un identificador de red
(netID) y un identificador del host (host-ID). (Microsoft, 2005)

Las direcciones IP están divididas en clases para facilitar la búsqueda de equipos

en la red:

 Clase A: Comprende el rango de direcciones desde [Link] hasta [Link].

Tiene reservado 7 bits para el net-ID y 24 bits para el host-ID. Se puede
formar 128 redes y alrededor de 16 millones de host por red.

24
  Clase B: Su rango de direcciones va desde la dirección [Link] hasta la
[Link]. Distribuye 2 bits para la red, 14 bits para el netID y 16 bits para
el host-ID lo que permite crear una cantidad mayor de redes, más de 16000
y más de 65 host por red.

 Clase C: Las redes disponibles para la clase C van desde la dirección IP

[Link] hasta la [Link] dejando los 3 primeros bits para la red, 21
bits para el net ID y los 8 bits restantes para el host-ID. Esta distribución de
bits permite la creación de más de 2 millones de redes con 254 equipos cada
red.

 Clase D: Reservada para servicios de multidifusión donde una estación envía

simultáneamente información a un grupo de estaciones.

 Clase E: Destinada para hacer pruebas.

Las direcciones de red que inician en 127 son usadas para indicar el host local.

Ilustración 1. Clases de Redes

25
2.2.3. Enrutamiento

El enrutamiento de los datos a través de la red se realiza en la capa Internet del

modelo TCP/IP y consiste en hacer llegar los datos desde un origen hasta un
destino, haciendo pasar el paquete por diferentes elementos de red de ser
necesario.

Las decisiones de enrutamiento son tomadas por los routers a través de algoritmos
y tablas de enrutamiento donde se almacena información sobre la topología de la
red. (Microsoft, 2005)

Cuando un dispositivo de enrutamiento recibe el paquete, éste busca en su tabla de

enrutamiento para determinar si dicho paquete es para él o si debe redireccionarlo
al siguiente dispositivo. Si la dirección no existe en su tabla, la puede agregar de
forma dinámica si es su configuración lo permite, de lo contrario, la tabla sería
estática y no cambiaría al cambiar al topología de la red. (Microsoft, 2005)

Segmentación de redes

Una red grande se puede dividir en redes pequeñas llamadas segmentos de red.
El objetivo principal de segmentar una red es para poder aislar el tráfico, dividir el
dominio de colisión e incrementar el ancho de banda por segmento de red.

Se puede realizar segmentación de redes de forma física usando equipos como

repetidores, switch, routers y de forma lógica con redes virtuales (VLAN). (Microsoft,
2005)

2.2.4. Vlan.

Una Vlan es una agrupación lógica de dispositivos o usuarios que se pueden

agrupar por función, departamento o aplicación, sin importar la ubicación física del
segmento.
Sus principales características son:

26
 o Funcionan en el nivel de capa 2 y capa 3 del modelo de referencia OSI.
o La comunicación entre VLAN es implementada por el enrutamiento de capa
3
o Proporcionan métodos para controlar los broadcast de la red
o El administrador de la red asigna usuarios a una VLAN
o Las VLAN pueden aumentar la seguridad de la red, definiendo cuales son los
nodos de red que se pueden comunicar entre sí.

Las Vlan permitan definir una nueva red por encima de la red física y, por lo tanto,
ofrece ventajas como mayor flexibilidad en la administración y cambios en la red, ya
que la arquitectura puede cambiarse usando los parámetros de los conmutadores,
aumenta la seguridad ya que la información se encapsula en un nivel adicional y
posiblemente se analiza, también disminuye el tráfico en la red. (Cisco, 2013)

2.2.5. Gestión de redes.

La Gestión de red se define como el conjunto de actividades dedicadas al control

y vigilancia de recursos de telecomunicación. Su principal objetivo es garantizar un
nivel de servicio en los recursos gestionados con el mínimo coste. (Hernando,
2002)

La Gestión de red debe responder a tres preguntas:

¿Qué objetivos se persiguen?

¿De qué recursos se dispone?
¿Cómo se van a cumplir los objetivos?

Los métodos de gestión de red deben ser puestos en práctica mediante la

organización de un Centro de Gestión de Red, que va a disponer de tres clases de
recursos:

Métodos de Gestión.
Recursos humanos.
Herramientas de apoyo.

27
Funcionalidad de los sistemas de gestión
Paradigma Gestor-Agente

La mayoría de las herramientas de apoyo de gestión de red se basan en el

paradigma Gestor-Agente.

Los sistemas de apoyo a la gestión poseen:

Una interfaz con el operador o el responsable de la red.

Una serie de componentes hardware y software entre los diferentes componentes

de la red.
Las características de estos componentes hardware y software permiten clasificar
las partes de un sistema de gestión de red en dos grupos:

Gestores. Son los elementos que interaccionan con los operadores humanos, y
desencadenan las acciones pertinentes para llevar a cabo las operaciones
solicitadas.
Agentes. Llevan a cabo las operaciones de gestión invocadas por los Gestores de
la red.

Los nodos de una red que posean un gestor se denominarán Nodos Gestores,
mientras que los nodos que tengan un agente se llamarán Nodos Gestionados.
La base del funcionamiento de los sistemas de apoyo a la gestión reside en el
intercambio de información de gestión entre nodos gestores y nodos gestionados.
Es lo que se llama Paradigma Gestor-Agente. (Hernando, 2002)

28
 Monitorización

La monitorización es la parte de la gestión de red que se ocupa de la observación y

análisis del estado y el comportamiento de los recursos gestionados. Abarca cuatro
fases:

o Definición de la información de gestión que se va a monitorizar.

o Acceso a la información de monitorización. Las aplicaciones de
monitorización utilizan los servicios ofrecidos por un gestor para acceder a
los datos de monitorización mantenidos por un agente.
o Las comunicaciones entre gestores y agentes se realizan gracias a los
protocolos de gestión
o Diseño de políticas de monitorización. Se distinguen dos tipos de
comportamiento:
 Sondeo. En este caso el gestor pregunta periódicamente a los agentes
por los datos de monitorización.
 Informe de Eventos. Los agentes, por su propia iniciativa, informan a
los gestores.
o Procesado de la información de monitorización. Ésta es la etapa más
importante de la monitorización. (Hernando, 2002)

 Control

La parte de control dentro de la gestión de redes es la encargada de modificar

parámetros e invocar acciones en los recursos gestionados.

Las Áreas Funcionales de Gestión

La ISO clasifica las tareas de los sistemas de gestión en cinco áreas funcionales:

o La Gestión de Configuración
La Gestión de Configuración es el proceso de obtención de datos de la red y
utilización de los mismos para incorporar, mantener y retirar los diferentes
componentes y recursos que la integran. Consiste en la realización de tres tareas
fundamentales:

29
Recolección de datos sobre el estado de la red. Para ello generalmente se emplean
dos tipos de herramientas que funcionan de forma automática: las herramientas de
autodescubrimiento (auto-discovery) y las herramientas de autotopología (auto-
mapping). La primera lleva a cabo un sondeo periódico de la red para averiguar qué
elementos están activos y con qué características; la segunda averigua de qué
forma están interconectados los distintos elementos de la red. Toda esta
información se representa gráficamente mediante un mapa topológico. (Hernando,
2002)

o Cambio en la configuración de los recursos.

Almacenamiento de los datos de configuración. Todos los datos obtenidos han de
ser almacenados para obtener el inventario de red. (Hernando, 2002)

o La Gestión de Prestaciones
La Gestión de Prestaciones tiene como principal objetivo el mantenimiento del nivel
de servicio de la red.

La gestión de prestaciones basa sus tareas en la definición de unos indicadores de

funcionamiento. Es decir, es necesario fijar una serie de criterios que permitan
conocer cuál es el grado de utilización de un recurso. Los indicadores más utilizados
se clasifican en dos grandes grupos:

Parámetros de funcionamiento orientados al servicio. Miden el grado de satisfacción

del usuario al acceder a los recursos. Los más importantes son la disponibilidad, el
tiempo de respuesta y la tasa de error.
Parámetros de funcionamiento orientados a la eficiencia. Miden el grado de
utilización de los recursos. Básicamente son la productividad (throughput) y la
utilización.

La gestión de prestaciones consiste en realizar cuatro tareas básicas:

 Recogida de datos.

30
Establecimiento de umbrales. Cuando se supera un determinado grado de
utilización de un recurso se dispara una alarma.

Modelado de la red. Se crea un modelo teórico para simular el comportamiento de

la red bajo determinadas circunstancias.

 La Gestión de Fallos
La Gestión de Fallos tiene como objetivo fundamental la localización y recuperación
de los problemas de la red. Abarca dos tareas principales:

 Detección e identificación de los fallos.

 Corrección del problema.

 La Gestión de Seguridad
El objetivo de la Gestión de Seguridad es ofrecer mecanismos que faciliten el
mantenimiento de políticas de seguridad. La Gestión de Seguridad se ocupa de los
siguientes puntos:

 Identificación de la información a proteger y dónde se encuentra.

 Identificación de los puntos de acceso a la información.
 Protección de los puntos de acceso.
 Mantenimiento de los puntos de acceso protegidos.

 Evolución de los Sistemas de Gestión

Las primeras redes tenían pocos nodos y cada uno de ellos tenía su propio
administrador. Cuando surgía algún problema que afectaba a más de un nodo, los
administradores correspondientes se ponían en contacto para solucionarlo. Este
modo de gestión de red se denomina Gestión Autónoma.

31
Con el crecimiento del número de nodos la solución anterior ya no es eficaz. Por
ello a principios de los ochenta aparecieron aplicaciones que posibilitaban la
supervisión remota de los nodos de las redes. Sin embargo, cada aplicación sólo
servía para redes que estuvieran compuestas por equipos de un mismo fabricante.
Ésta es la denominada Gestión Homogénea.

Con la evolución de las redes la heterogeneidad de los recursos se hizo mayor, por
lo que se desarrollaron sistemas de Gestión Heterogénea.

Más tarde fue necesario evolucionar haca los sistemas de Gestión Integrada, que
permiten la utilización de un único Centro de Gestión válido para llevar el control de
entornos heterogéneos. Para llegar a estos sistemas era necesaria una
estandarización previa de la gestión de red. En la actualidad existen tres modelos
fundamentales de gestión integrada:

Gestión de Red OSI Open Systems Interconnection (Interconexión de Sistemas

Abiertos). Definido por ISO, con el objetivo de lograr la gestión de los recursos del
modelo de referencia OSI.

Gestión Internet. Definido por la Internet Society para gestionar el modelo de

referencia TCP/IP.
Arquitectura TMN Telecommunications Management Network (Red de Gestión de
las Telecomunicaciones). Definida por la ITU-T. Más que un modelo de red, define
una estructura de red basada en los modelos anteriores. (Hernando, 2002)

 Modelos de Gestión Estándar

o El Modelo de Gestión OSI

La Gestión de Sistemas OSI se basa en el uso de protocolos del nivel de aplicación
para el intercambio de información de gestión según el paradigma Gestor-Agente.

La Gestión de Sistemas OSI consta de cuatro modelos, que son:

32
  Modelo de Comunicación.
 Modelo de Información.
 Modelo Funcional. En él se definen las funciones de gestión.
 Modelo de Organización. En él se exponen las posibles subdivisiones de la
red en dominios de gestión. (Hernando, 2002)

o El Modelo de Comunicaciones
La Gestión de Sistemas OSI propugna el intercambio de información de gestión
mediante un protocolo de nivel de aplicación. Este protocolo se denomina CMIP
(Common Management Information Protocol), Protocolo Común de Información de
Gestión. CMIP proporciona el servicio CMIS (Common Management Information
Service), Servicio Común de Información de Gestión.

CMIS integra dos grandes grupos de servicios:

 Servicios de Notificación. Únicamente hay un servicio de este tipo: M-EVENT-

REPORT, que permite a los agentes informar a los gestores de determinados
sucesos especiales en los objetos gestionados que mantienen. Permite una
gestión orientada a objetos.
 Servicios de Operación. Hay seis servicios de operación, son usados por el
gestor para invocar operaciones de gestión a los agentes y para devolver los
resultados de esas operaciones a los gestores. Estos servicios son: M-GET, M-
SET, M-ACTION, M-CREATE, M-DELETE, M-CANCEL-GET.

CMIP es un protocolo orientado a conexión, lo que aporta mayor fiabilidad pero, por
otro lado, introduce una sobrecarga en las comunicaciones de gestión. (Hernando,
2002)

o El Modelo de Información
El modelo de información OSI se basa en el concepto de Objeto Gestionado, que
es la abstracción de recursos de comunicación o de procesado de información con
el propósito de su gestión. Del mismo modo, se define Clase de Objetos

33
Gestionados como el conjunto de objetos que tienen las mismas propiedades de
cara al sistema de gestión.

Para llevar a cabo la especificación de las clases de objetos gestionados en las

gestión OSI se utiliza la sintaxis GDMO (Guidelines for the Definition of Managed
Objects), Directrices para la Definición de Objetos Gestionados. GDMO se basa en
la utilización de unas plantillas. (Hernando, 2002)

o El Modelo de Gestión en Internet

En los setenta el número de nodos de Internet era muy reducido se gestionaba
Internet con las facilidades que ofrecía el protocolo ICMP, como el PING. Cuando
Internet avanzó en complejidad, multiplicando el número de nodos se empezó a
trabajar en tres soluciones diferentes, que se definieron en 1987:

SGMP (Simple Gateway Monitoring Protocol), Protocolo Simple de Monitorización

de Pasarelas. Sencillo Protocolo orientado fundamentalmente a la gestión de
pasarelas IP. Posteriormente pasaría a llamarse SNMP (Simple Network
Management Protocol), Protocolo Simple de Gestión de Red.

HEMS (High-Level Entity Management System), Sistema de Gestión de Entidades

de Alto Nivel. Nunca llegó a tener aplicación práctica.
CMOT (CMIP). Adopción de los estándares ISO como marco de gestión para
Internet sobre una torre de protocolos TCP/IP.

En 1990 el SNMP se convirtió en el estándar de las redes TCP/IP y de Internet. En

1992, se comenzó el trabajo para especificar una nueva versión de SNMP, la
SNMPv2; aunque hoy en día todavía continúan los trabajos de actualización.
(Hernando, 2002)

o Arquitectura de Gestión de Red en Internet

Los sistemas de gestión de Internet están formados por cuatro elementos básicos:
Gestores, Agentes, MIB y el protocolo de información de intercambio SNMP.

34
Existe un tipo de agente que permite la gestión de partes de la red que no comparten
el modelo de gestión de Internet. Son los llamados Agentes Proxy. Estos agentes
proxy proporcionan una funcionalidad de conversión del modelo de información y
del protocolo. (Hernando, 2002)

o Tecnología de Gestión de Red: Las Plataformas de Gestión

La utilización de modelos de gestión integrada obliga a todas las aplicaciones de
gestión a utilizar la misma infraestructura de comunicaciones y de información, las
denominadas Plataformas de Gestión de Red.

Una plataforma viene a ser el sistema operativo de las aplicaciones de gestión. Se

trata de un entorno de ejecución y, a menudo, de desarrollo, que ofrece una serie
de servicios a las aplicaciones de gestión a través de un conjunto de APIs.

Una plataforma de gestión típica está compuesta de cuatro elementos:

 Una API de Gestión que puedan utilizar todas las aplicaciones de gestión,
independientemente del protocolo de gestión del recurso gestionado y de la red
empleada para acceder a los recursos.
 Un sistema de gestión de información, generalmente un gestor de bases de
datos relacionales, accesible por todas las aplicaciones.
 Una interfaz de usuario común para todas las utilidades y aplicaciones.
 Un conjunto de aplicaciones propias de la plataforma que ofrecen una
funcionalidad básica de gestión de red.

Las principales plataformas de gestión de red son:

 SunNet Manager de Sun Microsystems.

 OpenView de Hewlett-Packard.
 NetView/6000 de IBM.
 Polycenter de DEC.
 Spectrum de Cabletron.

35
  ISM de Bull. (Hernando, 2002)

 SNMP. Protocolo Simple de Gestión de Red

En mayo de 1990 se publicó el RFC 1157, definiendo la versión 1 del SNMP (Simple
Network Management Protocol, Protocolo Simple de Gestión de Red). El SNMP
proporcionó una manera sistemática de supervisar y administrar una red
informática, convirtiéndose rápidamente en un estándar de facto para la
administración de redes.

En los RFC 1441 a 1452 se definió una versión mejorada del SNMP (SNMPv2) que
se volvió un estándar en Internet.

El modelo SNMP

El modelo SNMP de una red administrada consta de cuatro componentes:

 Nodos administrados.
 Estaciones administradas.
 Información de administración.
 Un protocolo de administración.

Los nodos administrados pueden ser hosts, enrutadores, puentes, impresoras u

otros dispositivos. Para ser administrado directamente por el SNMP, un nodo debe
ser capaz de ejecutar un proceso de administración SNMP, llamado agente SNMP.
Cada agente mantiene una base de datos local de variables que describen su
estado e historia y que afectan a su operación.

La administración de la red se hace desde estaciones administradoras, que son

ordenadores con un software de administración especial. La estación
administradora contiene uno o más procesos que se comunican con los agentes a
través de la red, emitiendo comandos y recibiendo respuestas.

El SNMP describe la información exacta de cada tipo de agente que tiene que
administrar la estación administradora y el formato con el que el agente tiene que

36
proporcionarle los datos. Cada dispositivo mantiene una o más variables que
describen su estado, estas variables se llaman objetos. El conjunto de todos los
objetos posibles de una red se da en la estructura de datos llamada MIB
(Management Information Base, Base de Información de Administración.

La estación administradora interactúa con los agentes usando el protocolo SNMP.

Este protocolo permite a la estación administradora consultar, y modificar, el estado
de los objetos locales de un agente.

A veces pueden ocurrir sucesos no planeados, como un congestionamiento o la

caída de una línea. Cada suceso significativo se define en un módulo MIB. Cuando
un agente nota que ha ocurrido un suceso significativo, de inmediato lo informa a
todas las estaciones administradoras de su lista de configuración. Este informe se
llama interrupción SNMP. Como la comunicación entre los nodos administrados y la
estación administradora no es confiable, la estación administradora debe sondear
ocasionalmente cada nodo. El modelo de sondeo a intervalos grandes con
aceleración al recibirse una interrupción se llama sondeo dirigido a interrupción.
(Hernando, 2002)

 ASN.1. Notación de Sintaxis Abstracta 1

El corazón del modelo SNMP es el grupo de objetos administrados por los agentes
y leídos y escritos por la estación administradora. Para hacer posible la
comunicación multiproveedor, es esencial que estos objetos se definan de una
manera estándar.

Por esta razón, se requiere un lenguaje de definición de objetos estándar, así como
reglas de codificación. El lenguaje usado por el SNMP se toma del OSI y se llama
ASN.1 (Abstract Syntax Notation One), Notación de Sintaxis Abstracta uno.

Una sintaxis de transferencia ASN.1 define la manera en que los valores de los tipos
ASN.1 se convierten sin ambigüedad en secuencia de bytes para su transmisión (y
se decodifican sin ambigüedad en el otro terminal). La sintaxis de transferencia
usada por el ASN.1 se llama BER (Basic Encoding Rules), Reglas Básicas de
Codificación. (Hernando, 2002)

37
3. HIPOTESIS

¿El diseño y aplicación de una red para la compañía comercial universal Surtitodo
S.A. basada en mikrotik permitirá solucionar la problemática actual en cuanto a
conectividad y seguridad?

4. DISEÑO Y PROCEDIMIENTO.

4.1. Red anterior

Ilustración 2. Esquema de Red anterior Surtitodo S.A.

38
La red anterior se componía del router ISP, y un router gama baja marca El router
inalámbrico ENHWI-2AN3, donde se conectaban las subredes de administración,
ventas y producción.

El router en cuestión no es un router de alta productividad, por lo que genera

grandes problemas de congestión de datos, debido a que no puede administrar la
gran cantidad de volumen de información que transita por la red.

Los switch en cada una de las áreas son idénticos, ninguno posee la cualidad de
poder administrar sus puertos, al igual que están imposibilitados de generar VLAN
o cualquier otro tipo de política que se pueda generar en otro tipo de switch.

Debido a esta disposición de red y los constantes problemas que posee, al igual
que la pérdida de tiempo de los trabajadores en tener que desplazarse hasta otro
piso a buscar sus impresiones. Esta es una de las razones para reestructurar la red,
optimizar los recursos y mejorar la producción de la misma.

Luego de examinar la situación que se presenta se decide planificar toda una

reestructuración de la red nueva. Lo cual solucionará problemas de congestión al
igual que proveerá mayor productividad, esto generara grandes beneficios.

39
4.2. Nueva Red Surtitodo

Ilustración 3. Nueva Red Surtitodo S.A.

4.2.1. Direccionamiento IP

La empresa Surtitodo S.A. cuenta con el siguiente direccionamiento IP para sus

departamentos, se encuentran distribuidos de la siguiente manera:

Tabla de direcciones ip

40
 Rango IP
ÁREA
Desde Hasta
Servidores [Link]/24 [Link]/24
Administración [Link]/24 [Link]/24
Ventas [Link]/24 [Link]/24
Producción [Link]/24 [Link]/24
Pereira la 8va [Link]/24 [Link]/24
Tabla 1. Rango de Direcciones IP

La nueva red planeada posee una nueva sub red de servidores. Además en esta
nueva reestructuración se interconectara las oficinas de ubicadas en la ciudad de
Medellín con las oficinas de ventas en la ciudad de Pereira.

Router Ppal
El router que se encuentra en las oficinas de Medellín es el Mikrotik RouterBoard
751g con sistema operativo Mikrotik RouterOS
Él router dará servicios a la red, en los cuales podemos contar el Servidor DHCP,
Firewall, Servidor PPPoE, Cliente PPPoE, Servidor PPTP, modelado de colas,
cliente NTP, Servidor NTP, Hotspot.

El servidor DCHP, nos brinda las direcciones de IP, Gateway, broadcast y DNS para
cada una de las subredes.

El firewall se utilizara para las siguientes actividades:

 Bloqueo de cliente MSN live Messenger.

 Bloqueo P2P para redes Producción y Ventas.
 Redireccionamiento de puertos
o Puerto 80 WEB.
o Puerto 110 POP3.
o Puerto 25 SMTP.
o Puerto 1723 PPTP.
 Descartar conexiones invalidas

41
  Aceptar conexiones establecidas
 Acepta trafico UDP.
 Acepta paquetes de icmp limitados.
 Descarta excesivos paquetes de icmp.
 Descarta el resto de las conexiones externas

El servidor PPTP, será utilizado para interconectar las oficinas de Medellín y Pereira,
permitiendo el intercambio seguro de datos entre las sedes de Pereira y la oficina
principal ubicada en Medellín, además la posibilidad de asistir las eventualidades
remotamente.

El modelado de colas se utilizara para asignarle un determinado ancho de banda a

cada una de las sub redes. Al igual se utilizara el modelado de colas para el control
de ancho de banda para los clientes P2P.

El cliente NTP, se utilizara para sincronizar la hora de nuestro Mikrotik. El servidor

NTP se utilizara para que las computadoras de red estén sincronizadas.

El Web Proxy se utilizara para filtrar el contenido que los usuarios realicen al
navegar a través de Internet. Para ello se aplicaran las siguientes políticas:

 Bloqueo de Pornografía.
 Bloqueo páginas que brinden el servicio de Web Messenger.
 Bloqueo del Live Messenger a través del proxy.
 Bloqueo de páginas que brindan webmail.
 Bloqueo de descarga directa de archivos MP3 y AVI.
 Bloqueo de descarga directa de archivos RAR, ZIP, EXE.

42
4.3. Sub Red Administración

Ilustración 4. Red Administración

La nueva restructuración de la sub red de administración se debió al alto tráfico que

tenían entre todas las otras redes. Para medir esto se usó el programa BW Meter
Versión 6.8.1 (Tarapues, 2014), en modo free trial, durante 7 días de mediciones
con los siguientes resultados

43
 Ilustración 5. Medición Tráfico

Esto era debido a que todos los datos de las demás sedes, 17 en total, llegaban a
esta área para la actuación del sistema, lo que congestionaba los demás servicios
ya que se contaba con un solo servidor.

A esta sub red sele cambio el Switch por uno de alta productividad marca Cisco
SRW224G4-K9-NA SF 300-24 de 24 puertos 10/100 Managed Switch y los datos
del nuevo sistema sap serán redirigidos al nuevo servidor data base destinado para
eso

Nuestra sub red poseerá un pool de impresoras de red para esta sola área. Esto
disminuirá el tráfico de impresión al igual que el tráfico de personal ajeno a
administración.

Así mismo se instalara un servidor de archivos propio de administración en el cual

se encontrara exclusivamente los archivos de esta área.

Las direcciones de ip, Gateway, broadcast y dns, serán asignados por el router
Mikrotik mediante dhcp. El rango de direcciones será desde [Link]/24 al
[Link]/24. Se decidió dejar las direcciones desde el [Link]/24 al

44
[Link]/24 fuera de este rango debido a que si en un futuro se desean instalar
más servidores para esta área.

Ya que dentro de esta área se encuentra la Gerencia, la misma autorizo la utilización

de los P2P para dicha área. El trafico P2P será modelado para que no ocupe gran
cantidad de ancho de banda.

4.4. Sub red Ventas.

Ilustración 6. Red Ventas

Las direcciones de ip, Gateway, broadcast y dns serán asignados por el router
Mikrotik mediante el DHCP. El rango de direcciones será desde [Link]/24 al
[Link]/24. Se decidió dejar las direcciones desde el [Link]/24 al
[Link]/24 fuera de ese rango para el caso de que se quiera instalar algún
otro tipo de dispositivo o servidor.

45
La red de ventas será conectada a través del switch al router mediante un backbone
de 1Gbit Ethernet. El cual será limitado mediante teoría de colas simples a 400Mbits
de subida y 300Mbit de bajada, se asignan estos valores debido a que los datos de
ventas deben estar actualizando constantemente, para mantener la información de
la empresa al día en todo momento.

Esta sub red contendrá a las pc’s de Pereira, dicha oficina será conectada a la
oficinas de Medellín mediante VPN. Se utilizara el protocolo PPTP para crear el
túnel.

El trafico P2P queda bloqueado para esta red.

Ilustración 7. Esquema VPN

46
4.5. Sub red Producción

Ilustración 8. Sub Red Producción

A la sub red de producción se le cambiara el switch que poseía, por uno de alta
productividad, que nos de la capacidad de administrar los puertos.

Esta red poseerá un pool de impresoras de red para esta sola área, esto disminuirá
el tráfico de impresión al igual que el personal ajeno al área de administración.

Así mismo se instalara un servidor de archivos propio de esta área, en el cual se

encontrara solo archivos de dicha área.

47
Las direcciones de ip, Gateway broadcast y dns, serán asignados por el router
Mikrotik mediante DHCP. El rango de direcciones será desde [Link]/24 al
[Link]/24. Se decidió dejar las direcciones entre el rango [Link]/24
al [Link]/24 fuera de este rango en caso de que se quiera instalar algún otro
dispositivo o servidor para esta área.

La red de ventas será conectada a través del switch al router mediante un

backbone de 1Gbit Ethernet. El cual será limitado mediante teoría de colas simples
a 350M/bits de subida y 400M/bits de bajada.

Para esta sub red queda prohibido el trafico P2P.

4.6. Red Servidores

Ilustración 9. Sub Red Servidores

48
A la sub-red de Servidores se decidió cambiarle el switch que poseía para utilizar
un switch de alta productividad, que nos brinde la posibilidad de administrar puertos.
Nuestra sub-red poseerá un pool de impresoras de red para esta sola área. Esto
disminuirá el tráfico de impresión al igual que el tráfico de personal ajeno a
Administración.

Las direcciones ip, Gateway, Broadcast y dns, serán asignados por el router mikrotik
mediante DHCP. El Rango de direcciones será desde [Link]/24 al
[Link]/24. Los números de ip asignados a los servidores serán asignado
mediante la dirección MAC de cada uno.

Así mismo se le instalará un servidor de archivos propio de administración en el cual

se encontrará exclusivamente los archivos de dicha área.

El servidor de SNMP se utilizara para la monitorización de la red.

49
5. Análisis del nivel de seguridad de la información de la red de Surtitodo
S.A. y Configuración del router Mikrotik RouterBoard 751 g

La seguridad de la información es de gran importancia actualmente y es un

concepto que muchas empresas no han tenido en cuenta, ya sea porque
desconocen las amenazas a las que se encuentran expuestas día a día o las
utilidades que traería este nuevo gasto. Debido a la ignorancia que se tiene
referente a estos temas, la inversión que hacen muchas compañías para ayudar a
minimizar el grado de vulnerabilidad dentro de una red es muy baja, quedando
insegura la información.

Usualmente las empresas toman conciencia de la seguridad informática tras recibir

un ataque que se ve reflejado en la pérdida, robo, alteración o secuestro de la
información.

Teniendo en cuenta lo anterior, la empresa se vio obligada a buscar medidas que

ayudaran a mitigar cualquier amenaza que pudiese afectar la integridad de la
información manejada por parte de ésta.

La empresa Surtitodo S.A., inició sus labores a mediados del año 1994 con sólo
cuatro computadores, sin contar con una arquitectura de red apropiada. Con el
pasar de los años se han ido agregando los dispositivos necesarios para su
operatividad dentro de una red local y salida a Internet, todo esto sin tener en
cuenta aspectos y políticas de seguridad que protejan la información que la
empresa maneja y almacena.

En este capítulo se hará un estudio de las vulnerabilidades presentes en la

infraestructura de red con la que cuenta actualmente ANPRA, mencionando sus
posibles soluciones. El estudio se divide en tres fases, en primer lugar se hará un
estudio de manera interna, mencionando las debilidades que tiene la red LAN de
la empresa, posteriormente, se hará un análisis del servidor de la empresa y los
servicios con los que cuenta ANPRA, y finalmente se hará un estudio de manera
externa al tráfico que genera y recibe la red para encontrar sí existe o no anomalías
que afecten la integridad de la información.

50
5.2. Debilidades de la red Surtitodo S.A.

El proyecto de proteger una red no garantiza un 100% de defensa frente a los

diversos ataques que puedan ser realizados hacia la compañía, por esta razón, ni
la cantidad de dinero que se invierta en seguridad, ni el tiempo que los ingenieros
gasten en supervisar la red podrán asegurarle a los administradores que la empresa
se encuentre totalmente protegida.

Actualmente se espera que las personas vinculadas a una empresa conozcan o

tengan conocimientos mínimos acerca de la seguridad informática, teniendo en
cuenta que uno de los activos importante de una compañía es la información. El
hecho de no tener claro el valor que tiene la información dentro de la organización,
es un factor que puede influir en la ocurrencia de los siguientes inconvenientes:
 Alteración de los datos manejados dentro de la compañía.
 Pérdida de información.
 Divulgación de información personal.
 Documentación de diseños y productos propios de la fábrica haciendo que
lleguen a manos equivocadas tanto de personas internas como de personas
externas a la compañía.

Todo lo anterior, sin tener en cuenta los problemas de seguridad a los que se
enfrenta la información que viaje a través de Internet. El desarrollo del estudio del
nivel de seguridad interno de la infraestructura de Surtitodo, se hará mediante un
análisis de las distintas vulnerabilidades dentro de la red, entrevistas con el personal
que labora en la compañía y desarrollo de actividades junto al ingeniero de
sistemas. Todo esto permitirá crear estrategias para concienciar a los empleados y
al mismo tiempo buscar soluciones a los diferentes inconvenientes que se puedan
encontrar.

 Amenazas Internas

51
Es importante tener en cuenta que el éxito de una red segura empieza desde los
empleados de la misma compañía, por esta razón se hace de vital importancia
estudiar varios aspectos dentro de la empresa que podrían convertirla en vulnerable.
Se encontraron deficiencias en:
a. Hardening a base de datos.
b. Acceso dentro de la red LAN (libre acceso dentro de la red).
c. Sesiones de usuario (se encuentran sin clave).
d. Entrenamiento del personal (no existe concienciación).
e. Archivos y directorios (no hay restricción de uso).
f. Seguridad física.
g. Passwords (claves débiles).
h. Red Interna (el Internet inalámbrico permite que los visitantes utilicen la
misma
i. subred de la empresa).
j. Access Point (seguridad con WEP).

a. Hardening a Base de Datos

Hardening es una acción que se compone de varias actividades o un conjunto

de buenas prácticas y procedimientos tanto físicos como lógicos, que son
llevados a cabo por el administrador de un sistema operativo para reforzar y
aumentar el nivel de seguridad de los equipos y aplicaciones de una
compañía, con el propósito de hacerle más difícil la materialización de un
ataque de una persona con malas intenciones. Es importante recordar que
esta es una de las operaciones que se deben tener en cuenta para llegar a
un buen punto de seguridad dentro de la empresa; hacer Hardening no quiere
decir, que el sistema será 100% invulnerable a ataques, pero si ayudará a
minimizar los ataques a los que quedan expuestas día a día las bases de
datos.

 Procedimientos Físicos

La seguridad de los datos comienza desde la protección de los

dispositivos que contienen la información vital de la empresa. Se podrá
crear una excelente seguridad lógica para proteger los datos sensibles de
la compañía, pero si no se tiene en cuenta un buen mecanismo o
procedimiento de seguridad física, la información estará vulnerable dentro
de las mismas instalaciones, debido a que personal no autorizado tendrá

52
 acceso a aquellos equipos de almacenamiento de bases de datos donde
podrá modificar, extraer y destruir información almacenada, y así como
también por los daños que este personal podría hacer de manera física
como: desconexión, robo, destrucción o manipulación de los servidores.

Surtitodo, no contaba con un procedimiento o mecanismo de protección

física de los dispositivos de almacenamiento de información, dejando a la
empresa expuesta a cualquier manipulación por parte de personal no
autorizado dentro y fuera de la compañía.

Para una buena práctica de Hardening de seguridad física es

recomendable que se tomen las siguientes medidas:

 Ubicar los servidores en salas cerradas donde sea de carácter

obligatorio registrar la entrada y salida de cualquier persona

 Desconectar de Internet la red de Surtitodo mientras se esté

instalando el sistema operativo al servidor de la empresa debido a que
toda la red queda expuesta sin ninguna protección alguna.

 No dejar las llaves puestas en las carcasas de los servidores.

 Definir contraseñas del sistema operativo.

 Definir el orden de inicio de la BIOS para que el servidor no pueda ser

iniciado desde un Diskette o CD.

 Eliminar unidades que no se necesiten en el servidor (unidad de

diskette, unidad de CD, etc.).

 Procedimientos Lógicos

La seguridad lógica consiste en establecer medidas o procedimientos que

protejan el acceso a la información, de tal manera que solo sea manipulada
por personal autorizado. Después de descubrir las deficiencias con las que
cuenta la seguridad física dentro de Surtitodo, es importante tener en cuenta
que en general los daños sufridos en el interior de la empresa a nivel de
software o datos, son los determinantes en cuanto a la dinámica de la

53
 empresa, debido a que afectan directamente la operación y el desempeño en
cuanto a productividad dentro de la organización.

Estos son algunos de los aspectos en los que se encontraron deficiencias y

las posibles soluciones que se plantean para las diversas vulnerabilidades:

1) Seguridad en la instalación del Sistema Operativo: Las carpetas que

manejen información vital para la empresa deben estar en un disco
diferente al disco donde se encuentre el sistema operativo instalado,
debido a que si existe alguna falla en el sistema la integridad de los datos
no se verá comprometida.

2) Contraseñas Fuertes: La contraseña establecida en el servidor de la

empresa, debe tener un alto grado de complejidad ya que en muchas
ocasiones es utilizado el ataque por fuerza bruta, el cual a pesar de ser
un mecanismo lento que deja rastros, es muy efectivo frente a
contraseñas débiles. Es necesario establecer políticas de bloqueo de
sesión por intentos fallidos y al mismo tiempo crear periodos de caducidad
permitiendo así, una renovación en la clave cada cierto tiempo.

Nota: Se pudo tener acceso a la cuenta del servidor utilizando como

usuario: Administrador, y como contraseña: admin.

3) Instalación, Configuración y Actualización de Software de seguridad:

antivirus, anti-spyware, anti-spam, Firewall, entre otros.

4) Permisos para la utilización de programas: la única restricción que existe

por medio de contraseña es el acceso a la base de datos, por lo que es
necesario la creación de perfiles dentro de la empresa para permitir o
restringir el acceso de ciertos programas o aplicaciones, limitando el libre
acceso a la información del sistema.

5) Controles de acceso externos e internos: se debe crear un control de

permisos y puertos para prevenir la instalación de tecnologías tanto
software como hardware que puedan comprometer la seguridad y el
rendimiento de la red.

b. Acceso dentro de la red LAN

54
La empresa Surtitodo cuenta con que trabaja en una única red para todas sus
dependencias (Gerencia, Logística y Ventas) y clientes que llegan a la
compañía, sin ningún tipo de control, generando así varios problemas y
amenazas hacia la red interna de la compañía como:

 Tráfico indeseado en el canal de Internet utilizado por la empresa debido

a que ninguna estación de trabajo tiene limitación para hacer uso del
ancho de banda.

 Acceso por parte de usuarios malintencionados a información que no

corresponde a su dependencia (nómina, base de datos, lista de precios,
lista de clientes, información sensible de la empresa, etc.).

 Manipulación de la información con un propósito específico para propio

beneficio (desvío de Fondos, alteración en la nómina etc.).

 Comprometer toda la red al introducir un virus de forma accidental o de

manera premeditada por parte de los usuarios.

 Captura y monitoreo de todo el tráfico de la red utilizando programas de

Sniffer (Ethereal, Wireshark, TCP-dump, Snort, etc.) para encontrar
deficiencias en la red que puedan ser aprovechadas en un ataque.

Es importante no subestimar las capacidades de los empleados que tengan

acceso a la red, pues se desconoce el grado de conocimiento que ellos
pueden tener y del que pueden valerse para realizar un ataque contra la
empresa. Dada esta situación, es difícil para un administrador de red pensar
que los empleados puedan realizar ataques contra la empresa donde
laboran, sin embargo, es necesario tener en cuenta este tipo de aspectos
para realizar un buen trabajo de seguridad que ayude en caso de sufrir
cualquier problema de esta índole.

La configuración del router Mikrotik ayudara a reducir en gran magnitud los

inconvenientes que se puedan generar debido a la ausencia de control
interno y respaldar el tema de la confidencialidad de la información. Esto
permite mejorar el aprovechamiento del ancho de banda de la red haciendo

55
 la conectividad más eficiente, permitirá o prohibirá el tráfico según las
condiciones establecidas dentro de la red Surtitodo.

c. Seguridad en sesiones de usuario

Se refiere al proceso de administrar en forma eficiente todas las cuentas de
usuarios que existan o que se encuentren habilitadas dentro de la empresa.

Para incrementar la seguridad de las cuentas de usuario se deben tomar ciertas

medidas y modificar ciertos aspectos como:

 Las cuentas de invitado deben ser eliminadas de todos los computadores,

así como también todas aquellas cuentas que fueron creadas para propósitos
especiales o que pertenecen a empleados que ya no laboran dentro de la
empresa. Además, la cuenta de administrador debe ser renombrada para
evitar ataques directos a ella.

 Las cuentas administrativas deben tener una copia de seguridad para evitar
la pérdida de información en caso de algún problema inesperado con la
cuenta real.

 Se debe crear un conjunto de procedimientos referentes a la administración

de archivos, correos y acceso de personal que ya no labora en la empresa.

 Se deben asignar permisos de manera obligatoria a los nuevos empleados

que operen dentro de la red Surtitodo, que sean supervisados por el
respectivo personal encargado para evitar la asignación de recursos a
personas que no deben tener acceso a ella.

 Dar carácter obligatorio al uso de una contraseña en cada una de las

sesiones y establecer políticas que estén relacionadas con la seguridad en
el manejo de las contraseñas de las sesiones, estableciendo el periodo de
caducidad, tamaño de la contraseña, posibilidad de que esta no sea repetida.

56
d. Concientización y entrenamiento del personal

La parte más insegura de cualquier red interna es el usuario, por lo cual es

necesario adoptar procedimientos y prácticas para educar a la persona teniendo
en cuenta aspectos como:

 Establecer buenos hábitos y prácticas de seguridad para disminuir el riesgo

de ser vulnerables ya sea contra ataques a la red, virus, códigos maliciosos,
spam, etc., debido a que no es suficiente diseñar un esquema de seguridad
si no se administra correctamente día a día.

 Realizar un esquema sencillo, viable y efectivo que supla las necesidades

principales de la compañía, donde se establezcan buenas prácticas y se
documenten los procedimientos relacionados con la seguridad adoptando
mecanismos para comprobar que los empleados los sigan, ya que si se tiene
un esquema de seguridad robusto y complejo que sobredimensione las
necesidades principales de la empresa, podría ser que los empleados eviten
seguirlo de forma prudente.

 Se debe entrenar a todo el personal de la empresa enfocándose en las

nuevas técnicas de seguridad adoptadas, para facilitar la unión entre los
trabajadores y el intercambio de sus destrezas, conocimientos, apoyo y
responsabilidad, que mejore la calidad de trabajo maximizando de esta
manera la utilización de las capacidades de los recursos humanos de
Surtitodo.

 Se debe acondicionar los puestos de trabajo en que les proporciona a los

empleados la información, el conocimiento y los recursos requeridos, para
desempeñarse óptimamente en sus labores e inculcarles a cada uno la idea
de que es dueño de su propio trabajo.

57
5.3. ANÁLISIS DE LA SEGURIDAD IMPLEMENTADA POR PARTE DEL
ROUTERBOARD MIKROTIK 751G EN SURTITODO S.A.

Uno de los aspectos más importantes en este proyecto, abarca el estudio del nivel
de seguridad ofrecido por el Mikrotik RouterBoard 751G, y de esta forma encontrar
las vulnerabilidades de la empresa a partir de la seguridad implementada en la
infraestructura de red. El análisis se hizo estudiando las características y
mecanismos que la empresa utiliza para manejar la información sensible de la
organización.
Surtitodo cuenta con una infraestructura de red bastante importante ya que la
empresa paso de 250 empleados a 500 en los últimos 4 años debido a su
crecimiento exponencial, por lo que cuenta con 17 sucursales a nivel nacional.
Actualmente la protección está basada en la tecnología Mikrotik Router OS. Las
políticas que maneja el mikrotik son las siguientes:

 Mikrotik RouterBoard 751g

La empresa Surtitodo S.A., como mecanismo de protección cuenta con el dispositivo

Mikrotik RouterBoard 751g, configurado de la siguiente manera:

o Ingreso al Mikrotik

Hay varias maneras para acceder a la administración del Mikrotik sin haber
configurado nada en un principio.

La primera es directamente desde la consola si se hizo alguna instalación, otro

método es utilizando una consola Telnet a través del el puerto serie o Ethernet por
MAC o ip, sino mediante la utilización del software winbox, el cual lo brinda los
desarrolladores de Mikrotik.

Debido a la flexibilidad, rapidez y ventajas que presenta la utilización de winbox

respecto a los otros métodos, éste será la manera con la cual realizaremos la
configuración de la red.

58
 Ilustración 10. Ingreso al Mikrotik

En esta ventana nos deja introducir las direcciones Mac o ip del router Mikrotik al
cual estamos conectados. Hacemos clic en (…) esto hará que el software nos
devuelva las direcciones Mac de las interfases de red que posean un router Mikrotik
instalado. Seleccionamos la interfase y luego utilizaremos de Login: admin y como
Password: (nada). Al finalizar esta carga de datos hacemos clic en Connect.

Luego cuando el software se conecta al Mikrotik automáticamente empieza a

descargar los plugins instalados en el Mikrotik para poder administrarlos
remotamente.

Ilustración 11. Descarga de Plugins

59
Al finalizar la descarga de los plugins nos aparece la pantalla de configuración del
Mikrotik. En la cual a mano izquierda se encuentra el menú de configuración de
cada uno de los módulos instalados.

Ilustración 12. Menú de Configuración

En la barra superior del software nos encontramos con la barra de herramienta. En

la misma sobre mano izquierda posee las opciones de undo y redo. Sobre mano
derecha podemos encontrar dos iconos, el primero muestra la utilización del
Mikrotik y el segundo nos indica si la conexión que estamos realizando es segura
o no.

60
 o Definición y configuración de las interfases.

Nos dirigimos al menú y elegimos INTERFASES. A continuación nos aparece la lista

de interfases que posee nuestro sistema. Hacemos doble clics sobre las interfases
y les vamos cambiando el nombre asignándole los nombres correspondientes a
cada una. En nuestro caso utilizaremos:

 UNE para nuestra conexión dedicada con IP fijo con el otro proveedor.
 Ventas: Será la interfase exclusiva de ventas.
 Administración: Será la interfase exclusiva de Administración.
 Producción: Será la interfase exclusiva de Producción.
 Servers: Será la interfase para la granja de servidores.

Ilustración 13. Interfases

61
Interfase: UNE

 Pestaña GENERAL:
o Name: UNE
o MTU: 1500
o ARP: Enable

Pestaña Ethernet:

 100Mbps: Seleccionado
 Auto negotiation: seleccionado
 Full duplex: seleccionado.

Pestaña Status:
En esta ventana podemos ver el estatus la interfase actual.

Pestaña Traffic:
Vemos la gráfica de kbps enviados y recibidos por dicha interfase.

Vemos la gráfica de p/s enviados y recibidos por la interfase.

Interfase: Administración

 Pestaña General:
o Name: Administracion
o MTU: 1500
o ARP: Enable

62
 Ilustración 14. Interfase Administración

Interfase: Hotspot

 Pestaña General:
o Name: Hotspot
o MTU: 1500
o ARP: Enable

Ilustración 15. Interfase hotspot

63
Interfase: Ventas

 Pestaña General:
o Name: Ventas
o MTU: 1500
o ARP: Enable

Ilustración 16. Interfase Ventas

Interfase: Producción
1) Pestaña General:
o Name: Producción
o MTU: 1500
o ARP: Enable

64
 Ilustración 17. Interfase Producción

o Definición de Vlans

Debido a las características departamentales de la firma debemos realizar 3 Vlans

para separar las áreas de

 Administración.
 Producción
 Ventas

Para configurar las vlans debemos ir al menú interfases, se abrirá la ventana de

configuración de interfases. Hacemos clic sobre el icono (+) y se nos desplegara un
menú, elegimos la opción Vlan y entramos a la ventana de configuración de las
mismas.

Vlan Ventas

 Pestaña General

65
 o Name: Vlan_Ventas
o Type: Vlan
o MTU: 1500
o MAC: [Link]
o ARP: Enable
o Vlan ID: 1
o Interfase: Ventas

Ilustración 18. Vlan Ventas

Vlan Administración.

 Pestaña General
o Name: Vlan_Administracion
o Type: Vlan
o MTU: 1500
o MAC: [Link]
o ARP: Enable
o Vlan ID: 1
o Interfase: Administracion

66
 Ilustración 19. Vlan Administración

Vlan Producción.

 Pestaña General
o Name: Vlan_Produccion
o Type: Vlan
o MTU: 1500
o MAC: [Link]
o ARP: Enable
o Vlan ID: 1
o Interfase: Producción

67
Ilustración 20. Vlan Producción

Ilustración 21. Lista de Vlan

68
 o Asignación de direcciones IP a las interfases

Con los nombres asignados a las interfases, debemos asignarle el IP a las mismas.
Para esto debemos ir al menú IP/Addresses

Interfase Administración:

 Address: [Link]/24
 Network: [Link]
 Broadcast: [Link]
 Interfase: Administración

Ilustración 22. Dirección Ip Administración

Interfase Ventas:

 Address: [Link]/24
 Network: [Link]
 Broadcast: [Link]
 Interfase: Ventas

69
 Ilustración 23. Dirección Ip Ventas

Interfase Producción:

 Address: [Link]/24
 Network: [Link]
 Broadcast: [Link]
 Interfase: Producción

Ilustración 24. Dirección Ip Producción

70
 Interfase UNE

 Address: [Link]/24
 Network: [Link]
 Broadcast: [Link]
 Interfase: UNE

Ilustración 25. Dirección Ip Une

La configuración quedo de la siguiente forma:

Ilustración 26. Lista de Direcciones

o Configuración de los Pools de Direcciones IP

Para crear los pool’s de direcciones ip’s que van a poseer los grupos de
administración, ventas, producción, y servers vamos al menú IP / POOL, donde
hacemos clic en el icono (+), en esta ventana creamos cada pool para cada uno de
los grupos, así:

71
 Nombre: Pool Servers.
 Rango ip: [Link] al [Link]

Ilustración 27. Pool Servidores

 Nombre: Pool Ventas.

 Rango ip: [Link] al [Link]

Ilustración 28. Pool Ventas

 Nombre: Pool Produccion.

 Rango ip: [Link] al [Link]

72
 Ilustración 29. Pool Produccion

 Nombre: Pool Produccion.

 Rango ip: [Link] al [Link]

Ilustración 30. Pool Administración

Se ha elegido comenzar todos los rangos a partir de la ip x.x.x.5 para reservar

números ip en caso de instalar algún tipo de dispositivo en cada grupo.

73
 Ilustración 31. Lista Pool Direcciones

5.3. Nat Masquerade Para Todas Las Redes

Para realizar el nat trasparente entre todas las redes debemos ir al menú
IP/FIREWALL, en esta ventana vamos a la pestaña NAT y hacemos clic sobre el
icono (+), en la nueva ventana de configuración para políticas NAT y la configuramos
de la siguiente manera:

Pestaña General

 Chan: srcnat

Ilustración 32. Net masquerade General

Pestaña Action:

 Action: masquerade

74
 Ilustración 33. Net masquerade Action

o Configuración del Servidor DHCP

A continuación subiremos el servidor DHCP, para esto debemos ir al menú IP/DHCP

server.
En la nueva ventana hacemos clic en el icono (+) y creamos los servidores Dhcp
que necesitemos para las áreas ya creadas.

DHCP producción:

 Nombre: DHCP Produccion

 Interfase: Produccion
 Adress Pool: Pool Produccion

75
 Ilustración 34. DHCP Producción

DHCP Administración:

 Nombre: DHCP Administración

 Interfase: Administración
 Address Pool: Pool Administración

76
 Ilustración 35. DHCP Administración

La configuración para las demás áreas es similar, solo cambia el nombre de las
áreas

DHCP Ventas:

 Nombre: DHCP Ventas.

 Interfase: Ventas.
 Addres Pool: Pool ventas.

77
 Ilustración 36. DHCP Ventas

Una vez los servidores Dhcp estén configurados, hay que configurar las redes, en
la ventana DHCP Server hacemos clic en la pestaña Network y luego en el icono
(+) y subimos los datos de la red.

Ilustración 37. DHCP Network

Red Servers:

 Address: 192.168.x.x/24
 Gateway: 192.168.x.x
 Dns Server: 190.168.x.x

78
 Ilustración 38. DHCP Red Servers

Red Administración:

 Address: 192.168.x.x/24
 Gateway: 192.168.x.x
 Dns Server: 190.168.x.x

Ilustración 39. DHCP Red Administración

Red Ventas:

 Address: 192.168.x.x/24

79
  Gateway: 192.168.x.x
 Dns Server: 190.168.x.x

Ilustración 40. DHCP Red Ventas

Red Producción:

 Address: 192.168.x.x/24
 Gateway: 192.168.x.x
 Dns Server: 190.168.x.x

Ilustración 41. DHCP Red Producción

80
 o Servidor - Cliente PPTP

Configuración Servidor PTP:

Debido a que tenemos oficinas de ventas fuera de Medellín, surgió la necesidad de

realizar una VPN entre Medellín y Pereira.
Debemos ir al menú PPP, se nos abrirá la ventana de configuración de conexiones
PPPx. Luego hacemos clic en la pestaña PROFILES. A continuación hacemos clic
en icono (+). Con la nueva ventana de profiles abierta la configuramos de la
siguiente manera:

 Name: Profile_VPN
 Local Address: Pool_Ventas
 Remote Address: Pool_Ventas
 Use compresión: Default
 Use Vj Compression: Default
 User Encryption: Yes
 Change TCP MMS: Yes

Ilustración 42. Perfil VPN

81
Con el profile ya generado para VPN debemos crear el usuario que utilizara dicho
profile. Para ello vamos al menú PPP, hacemos clic en la pestaña SECRESTS.
Hacemos clic sobre el icono (+) y en la nueva ventana la configuramos de la
siguiente manera:

 Name: vpn
 Password: vpn
 Service: pptp
 Profile: Profile_VPN

Ilustración 43. Perfil VPN

Finalmente debemos subir el servidor PPTP. Para hacer esto nos dirigimos al menú
PPP, en la pestaña Interfase hacemos clic sobre el botón PPTP Server y
configuramos de la siguiente forma:

 Enable (tildado)
 Max MTU: 1460

82
  Max MRU: 1460
 Keepalive Timeout: 30
 Default Profile: Profile_VPN
 Mschap1 y mschap2 (tildados)

Ilustración 44. Interface VPN

o Configuración Cliente PPTP

Se utilizara la conexión vpn del Windows 8.1 para el ejemplo.

Vamos a panel de control, Centro de Redes y Recursos Compartidos.

83
 Ilustración 45. Cliente PPTP

Vamos a Configurar una nueva conexión o red

Ilustración 46. Configuración Nueva Red

En la nueva ventana elegimos conectarse a un área de trabajo, configurar una

conexión de acceso telefónico o VPN a su área de trabajo y damos clic en el boton
siguiente.

84
 Ilustración 47. Conectarse a un área de trabajo

En la nueva ventana seleccionamos usar mi conexión a internet VPN

85
 Ilustración 48. Usar mi conexión VPN

Damos la dirección ip, y el nombre con que queremos nombrar la conexión y damos
clic en el botón Crear.

Ilustración 49. Dirección de conexión

Una vez creada la conexión damos clic en acceso a internet y después en

Conexiones, Surtitodo.

86
 Ilustración 50. Elegir conexión

Una vez damos clic en la conexión VPN, nos solicitara el nombre de usuario y la
clave de conexión, y hacemos clic en Aceptar

Ilustración 51. Usuario y contraseña VPN

Si todos los datos están bien nos mostrara la conexión de esta manera:

87
 Ilustración 52. Conexión VPN conectado

o Control de ancho de banda

Asignación de ancho de banda por sub-red

Debido al mal uso de los anchos de banda por parte de los usuarios se decidió
agregarle políticas al router para poder controlar dicho problema.

Para los distintos grupos de usuarios se asignara el ancho de banda de la siguiente

manera:
CONTROL DE ANCHO DE BANDA POR AREA

SUBIDA BAJADA
AREA
M/Bits M/Bits
Administración 250 300
Producción 400 300
Ventas 350 400
Tabla 2. Control de Ancho de Banda

Para esto debemos ir al menú QUEUES, allí se abre una ventana de configuración:

88
 Ilustración 53. Menú Colas

Hacemos clic en el icono (+) de la pestaña simple QUEUES, se abre una nueva
pestaña para configurar la nueva cola.

Cola Administración:

Pestaña general:

 Name: Queue_Administracion
 Target_Address: 192.168.X.X/24
 Max Limit: 250M (upload), 300 M (download)

Ilustración 54. Cola Administración

89
Cola Ventas:

Pestaña general:

 Name: Queue_Ventas
 Target_Address: 192.168.X.X/24
 Max Limit: 350M (upload), 400 M (download)

Ilustración 55. Cola Ventas

La configuración de las colas quedo de la siguiente manera:

Ilustración 56. Lista Cola

90
 o Limitación del trafico P2P

Por políticas de la Gerencia la única área autorizada que puede utilizar el p2p es el
área de administración, por lo que debemos modelar la cola de tráfico para que no
consuma todo el ancho de banda.

Debemos ir al menú IP / FIREWALL, una vez ahí hacemos clic sobre la pestaña
mangle y a continuación sobre el botón (+)
En esta ventana configuramos lo siguiente:

 Chain: prerouting
 P2P: all-p2p

Ilustración 57. Bloqueo P2P

Después hacemos clic en la pestaña Action, allí la configuración es la siguiente:

 Action: mark_connection
 New Connection Mark: tipeamos conexión_p2p
 Passthrough (tildado)

91
 Ilustración 58. Bloqueo P2P-2

Después volvemos a la ventana mangle y hacemos clic nuevamente en el botón (+)

para crear una nueva regla. Lo configuramos así:

 Chain: prerouting
 Connection Mark: conexión_p2p (la que ya habíamos creado)

Ilustración 59. Mangle Rule

Enseguida vamos a la pestaña Action, en la misma configuraremos de esta forma:

 Action: Mark Packet

92
  New Packet Mark: tecleamos p2p

Ilustración 60. Nueva Mangle Rule

Una vez hecho esto creamos las políticas para marcar los paquetes p2p y así
bloquearlos en las otras redes:
Vamos al menú IP/FIREWALL, hacemos clic en la pestaña mangle y luego en (+)
En la nueva ventana nos situamos en la pestaña General y configuramos de la
siguiente manera:

 Chaing: prerouting
 Connection Mark: conexión_p2p

Ilustración 61. Mangle Rule Conexión P2P

93
Luego vamos a la pestaña Action y la configuramos así:

 Action: mark packet

 Packet mark: digitamos p2p_bloqueado
 Pass Though: tildado

Ilustración 62. Mangle P2P Bloqueado

Así quedan configuradas las nuevas reglas:

Ilustración 63. Lista bloqueo P2P

Nos dirigimos la menú QUEUES, en la ventana que aparece, crearemos cuatro

nuevas colas para la política p2p. Hacemos clic sobre pestaña queue tree. Luego
en el botón (+).

94
La configuración de la cola de entrada es la siguiente:

 Name: Qeue_p2p_in
 Parent: global-in
 Packet Mark: p2p
 Queue Type: default
 Priority: 8
 Max Limit: 256k

Ilustración 64. Cola P2P In

Hacemos clic en el botón (+) y generamos una nueva cola

Configuramos la cola de salida así:

 Name: Queue_p2p_out
 Parent: global-out
 Packet Mark: p2p
 Queue type: default
 Priority: 8
 Max Limit: 256k

95
 Ilustración 65. Cola P2P Salida

o Firewall

Bloqueo de los P2P para redes de ventas y producción

Debido a las políticas implementadas por gerencia solamente en el área de

administración se podrá utilizar los P2P. Para ello la configuración para bloquear
dicho tráfico es la siguiente.

Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el

icono (+). A continuación configuramos de la siguiente manera:

Pestaña general:
• Chain: forward

• P2P: all-p2p
• Out. Interface: Producción

96
 Ilustración 66. Bloqueo P2P Producción

Pestaña Action:

• Action: drop

Ilustración 67. Action: Drop

Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el

icono (+). A continuación configuramos de la siguiente manera:

Pestaña general:
• Chain: forward
• P2P: all-p2p

• Out. Interface: Ventas

97
 Ilustración 68. Bloqueo P2P Ventas

Pestaña Action:
• Action: drop

Ilustración 69. Firewall Rule Drop

o Bloqueo del cliente MSN Live Messenger

Ya que los empleados de la empresa suelen perder demasiado tiempo utilizando el

MSN Live Messenger, la firma decidió bloquear dicho programa. Para ello se
establecieron las siguientes políticas de firewall.

98
Nos dirigimos a IP / FIREWALL. En la ventana que se nos abre hacemos clic en el
icono (+). A continuación configuramos de la siguiente manera:

Primera política de firewall:

 Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 1863

Ilustración 70. Bloqueo Messenger Puerto 1863

 Pestaña General:
o Action: Drop

Ilustración 71. Ilustración 101. Bloqueo Messenger Puerto 1863 - 2

99
Segunda política de Firewall:

 Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 5190

Ilustración 72. Bloqueo Messenger Puerto 5190

 Pestaña Action
o Action: Drop

Ilustración 73. Bloqueo Messenger Puerto 5190 - 2

100
Tercera política de Firewall:

 Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 6901

Ilustración 74. Bloqueo Messenger Puerto 6901

 Pestaña Action:
o Action: Drop

Ilustración 75. Bloqueo Messenger Puerto 6901 - 2

Cuarta política de Firewall:

 Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Port: 6891-6900

101
 Ilustración 76. Bloqueo Messenger Puerto 6891-6900

 Pestaña Action:
o Action: Drop

Ilustración 77. Bloqueo Messenger Puerto 6891-6900 - 2

Quinta política de firewall:

 Pestaña General:
o Chain: Forward
o Protocol: Tcp (6)
o Dst. Address: X.X.X.X

102
 Ilustración 78. Firewall Rule

 Pestaña Action:
o Action: Drop

Ilustración 79. Firewall Rule Drop

Finalizada dicha configuración ningún usuario podrá conectarse al MSN Live

Messenger. Para que el bloqueo sea completo debemos utilizar una política en el
Web- Proxy que instalaremos más adelante.

o Redireccionamiento de puertos

A continuación debemos redireccionar puertos para que el tráfico que se genere

hacia adentro de la red obtenga las respuestas deseadas. Por ejemplo que nuestro
servidor web muestre las páginas correspondientes, que el servidor de SMTP y
POP3 puedan enviar y recibir mails etc.

103
Puerto 80 WEB

Para redireccionar el puerto 80 desde el exterior a nuestro servidor web ip:

192.168.X.X debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.
Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana
la configuramos de la siguiente manera.

Pestaña General:

 Chain:dstnat
 Dst. Address: X.X.X.X
 Protocol: 6 (tcp)
 Dst. Port: 80

Ilustración 80. Redireccionar Puerto 80

Pestaña Action:

 Action: dst-nat
 To Addresses: X.X.X.X
 To Port: 80

104
 Ilustración 81. Redireccionar Puerto 80 - 2

Puerto 110 POP3

Para redireccionar el puerto 110 desde el exterior a nuestro servidor pop3 ip:
192.168.X.X debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.
Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana
la configuramos de la siguiente manera.

Pestaña General:

 Chain: dstnat
 Dst. Address: X.X.X.X
 Protocol: 6 (tcp)
 Dst. Port: 110

Ilustración 82. Redireccionar Puerto 110

105
Pestaña Action:

 Action: dst-nat
 To Addresses: 192.168.X.X
 To Port: 110

Ilustración 83. Redireccionar Puerto 110 - 2

Puerto 25 SMTP

Para redireccionar el puerto 25 desde el exterior a nuestro servidor pop3 ip:

[Link] debemos realizar los siguientes pasos. Ir al menú IP / FIREWALL.
Hacer clic en la pestaña NAT. Luego hacer clic en el icono (+). A la nueva ventana
la configuramos de la siguiente manera.
Pestaña General:

 Chain:dstnat
o Dst. Address: X.X.X.X
o Protocol: 6 (tcp)
o Dst. Port: 25

106
 Ilustración 84. Redireccionar Puerto25

Pestaña Action:

 Action: dst-nat
o To Addresses: 192.168.X.X
o To Port: 25

Ilustración 85. Redireccionar Puerto25 - 2

Puerto 1723 PPTP

Para aceptar conexiones al puerto 1723 desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

107
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera.

La primera política es para aceptar el tráfico al puerto 1723 tcp

Pestaña General:

 Chain: input
 Protocol 6 (tcp)
 Dst. Port: 1723

Ilustración 86. Redireccionar Puerto1723

Pestaña Action:

 Action: accept

Ilustración 87. Redireccionar Puerto1723 - 2

108
La segunda política es para aceptar todo el tráfico al puerto 1723 UDP

Pestaña General:
 Chain: input
 Protocol 17 (udp)
 Dst. Port: 1723

Ilustración 88. Firewall Rule Puerto 1723

Por ultimo aceptaremos todas las comunicaciones que estén establecidas.

Pestaña General:

 Chain: input
 Connection State: established

109
 Ilustración 89. Pestaña General Conexión Establecida

Pestaña Action:

 Action: accept

Ilustración 90. Pestaña Accion Accept

o Descartar conexiones inválidas

Para descartar las conexiones inválidas desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera:

110
Pestaña General:

 Chain: input
 Connection State: Invalid

Ilustración 91. Descartar conexiones inválidas

Pestaña Action:
 Action: drop

Ilustración 92. Descartar conexiones inválidas - 2

o Aceptar conexiones establecidas

Para aceptar las conexiones establecidas desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER

111
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera

Pestaña General:

 Chain: input
 Connection State: established

Ilustración 93. Aceptar Conexiones Establecidas

Pestaña Action:

 Action: accept

Ilustración 94. Aceptar Conexiones Establecidas - 2

112
Acepta Trafico UDP

Para aceptar las conexiones UDP establecidas desde el exterior debemos realizar
los siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
RULES. Luego hacer clic en el icono (+). A la nueva ventana la configuramos de la
siguiente manera
Pestaña General:

 Chain: input
 Protocol: 17 (udp)

Ilustración 95. Aceptar Trafico UDP

Pestaña Action:

 Action: Accept

Ilustración 96. Aceptar Trafico UDP - 2

113
Acepta icmp Limitados

Para aceptar icmp limitados desde el exterior debemos realizar los siguientes pasos.
Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER RULES. Luego hacer
clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera
Pestaña General:

 Chain: input
 Protocol: 1 (icmp)

Ilustración 97. Acepta icmp Limitados

Pestaña Extra:

 Rate: 50 / 5
 Burst: 2

Ilustración 98. Acepta icmp Limitados - 2

114
Pestaña Action:

 Action: accept

Ilustración 99. Acepta icmp Limitados - 3

Descarta excesivos icmp

Para descartar excesivos icmp desde el exterior debemos realizar los siguientes
pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER RULES. Luego
hacer clic en el icono (+). A la nueva ventana la configuramos de la siguiente manera

Pestaña General:

 Chain: input
 Protocol: 1 (icmp)

Ilustración 100. Descarta excesivos icmp

115
Pestaña Action:

 Action: Drop

Ilustración 101. Descarta excesivos icmp - 2

Descarta el resto de las conexiones externas

Para descartar el resto de las conexiones desde el exterior debemos realizar los
siguientes pasos. Ir al menú IP / FIREWALL. Hacer clic en la pestaña FILTER
RULES. Luego hacer clic en el icono (+).

Pestaña General:

 Chain: input
 In. Interface: UNE.

116
 Ilustración 102. Descarta el resto de las conexiones externas

Pestaña Action:

 Action: drop

Ilustración 103. Descarta el resto de las conexiones externas - 2

117
El orden de las políticas se ven en la siguiente gráfica.

Ilustración 104. El orden de las políticas Firewall

5.4. Análisis del Mikrotik Router OS de la empresa Surtitodo S.A. por medio
del uso de herramientas de detección de vulnerabilidades

El uso de herramientas especializadas en el estudio y análisis de vulnerabilidades

presentes en una red, ayudan en la ardua tarea de reconocer las deficiencias con
las que cuenta la seguridad actual implementada en Surtitodo., a continuación se
hará un análisis al dispositivo Mikrotik de la empresa utilizando las siguientes
herramientas para encontrar que deficiencias podrían afectar su funcionamiento:

HERRAMIENTA VERSION FECHA INICIO FECHA FINAL

Shadow Security
7.131 01/12/2014 04/12/2014
Scanner
Nessus 3.2.0 03/12/2014 03/12/2014
Nmap 4.60 03/12/2014 03/12/2014
Tabla 3. Herramientas Detección de Vulnerabilidades

118
1) Shadow Security Scanner (SSS)

Esta herramienta detecta por medio del escáner de puertos vulnerabilidades

presentes es servicios como: FTP, SSH, Telnet, SMTP, DNS, HTTP, POP3,
Windows Media Service, NetBIOS, SSL, TCP/IP y UDP. Realiza un análisis muy
detallado descubriendo las vulnerabilidades presentes y sus posibles soluciones.

Se realizó un análisis de vulnerabilidades al servidor de la empresa ANPRA,

mediante los diferentes tipos de escáner con los que cuenta la herramienta: Full
Scan, Only NetBIOS Scan, Only FTP Scan, Only HTTP Scan, SANS/FBI TOP 20
Scan y DoS Checker.

a. Análisis Total (Full Scan)

Por medio de esta opción se escanean todos los puertos (1 – 65355) y posibles
vulnerabilidades del servidor de la empresa ANPRA.

Dirección IP [Link]
Equipo HP Hayabusa
General Inicio [Link] p.
Escaneo 02/12/2014 m.
Final [Link] a.
escaneo 03/12/2014 m.
Tabla 4. Shadow Security Scanner modo Full Scan

Reporte:

Ilustración 105. Resultado SSS modo Full Scan

119
El riesgo mostrado en la figura, hace referencia al protocolo simple de transferencia
de correo. La empresa Surtitodo, al momento de instalar el servidor de correo,
habilito el SMTP con su configuración por defecto, este reporte se hizo antes de la
configuración del SMTP en el mikrotik, una vez detectado el problema se corrigió.

b. Análisis de Solo NetBIOS (Only NetBIOS)

Se realiza el escaneo de las posibles vulnerabilidades presentes en el protocolo de

transferencia de archivos (FTP) del mikrotik a través del puerto 21.

Dirección [Link]
Nombre del Equipo HP Hayabusa
General [Link]
04/12/2014
Inicio escaneo a. m.
Finalización [Link]
04/12/2014
escaneo a. m.
Vulnerabilidades Ninguna
Maquina [Link]
Estado Escaneo 100%
Estadísticas
Puertos Auditados 0
Puertos TCP 0
Tabla 5. Análisis SSS. Solo NetBIOS

No se encontró ninguna vulnerabilidad presente en la ejecución del escáner

NetBIOS del mikrotik.

c. Análisis de solo FTP (Only FTP Scan)

120
Se realiza el escaneo de las posibles vulnerabilidades presentes en el protocolo de
transferencia de archivos (FTP) del mikrotik a través del puerto 21.

Reporte:

Dirección [Link]
Nombre del Equipo HP Hayabusa
General
Inicio escaneo 04/12/2014 [Link] a. m.
Finalización escaneo 04/12/2014 [Link] a. m.
Puertos TCP 21 FTP
Vulnerabilidades Ninguna
Maquina [Link]
Estado Escaneo 100%
Estadísticas Puertos Auditados 0
Puertos TCP 0
Puertos UDP 0
Tabla 6. Análisis de solo FTP (Only FTP Scan)

No se encontró vulnerabilidad presente en la ejecución del escáner Only FTP.

d. Análisis de solo HTTP (Only HTTP Scan)

Se realiza el análisis de las posibles vulnerabilidades presentes en el protocolo de

transferencia de Hipertexto (HTTP) del mikrotik de la empresa Surtitodo.

Inicio escaneo 04/12/2014 [Link] a. m.

General Finalización
04/12/2014 [Link] a. m.
escaneo
Vulnerabilidades Ninguna
Estado Escaneo 100%
Puertos Auditados 0
Estadísticas
Puertos TCP 0
Puertos UDP 0
Tabla 7. Análisis de solo HTTP (Only HTTP Scan)

121
El análisis realizado con la herramienta Only http Scan no encontró ninguna
vulnerabilidad para ser explotada en el mikrotik de la empresa Surtitodo S.A.

e. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)

Se realiza el escaneo de las posibles vulnerabilidades presentes en el Top 20 de

SANS/FBI del computador [Link] correspondiente al Mikrotik de la
empresa Surtitodo.

Reporte:

Dirección [Link]
Nombre del Equipo HP Hayabusa
General
Inicio escaneo 04/12/2014 [Link] a. m.
Finalización escaneo 04/12/2014 [Link] a. m.
21 FTP
Puertos TCP
25 SMTP
Vulnerabilidades Ninguna
Maquina [Link]
Estado Escaneo 100%
Estadísticas Puertos Auditados 0
Puertos TCP 2
Puertos UDP 0
Tabla 8. Análisis del Top 20 de SANS/FBI (SANS/FBI Top 20 Scan)

El análisis realizado con la herramienta SANS/FBI Top 20 Scan encontró dos

puertos abiertos sin ninguna vulnerabilidad para ser explotada en el servidor que
corresponde a la empresa Surtitodo.

f. DoS Checker
Shadow Security Scanner cuenta con un módulo de pruebas de resistencia ante
ataques de denegación de servicios (DoS), solo es necesario ingresar a la función
DoS Checker para poder visualizar los iconos correspondientes a los servicios
disponibles que pueden ser atacados desde esta herramienta.

122
1. HTTP (Hypertext Transfer Protocol)
2. SMTP (Simple Mail Transfer Protocol)
3. FTP (File Transfer Protocol)
4. POP3 (Post Office Protocol)
5. IMAP (Internet Message Access Protocol)
Al momento de elegir uno de estos servicios es necesario ingresar la dirección IP
del computador a atacar, además de los datos como puerto, retardo y tamaño de
los paquetes, el programa comienza a atacar el servicio, indicando en la ventana el
estado del ataque (Running) demostrando que el servicio aún está corriendo sobre
el computador, si llegado el caso ocurre una denegación de servicios, en el estado
del ataque cambia a (Down) indicando que el servicio está abajo.

Ilustración 106. DoS Checker

Al realizarse el análisis Total (Full Scan) fueron detectados 2 puertos TCP

disponibles en el Mikrotik, el puerto 21 correspondiente a FTP (Protocolo de
Transferencia de archivos) y el puerto 25 correspondiente a SMTP (Protocolo
Simple de Transferencia de Correo), por tanto se realizaron pruebas con DoS
Checker a los puertos 21 y 25 durante un tiempo considerable obteniendo los
siguientes resultados:

123
 Ilustración 107. f. DoS Checker Step 2

Se ejecutó el DoS Checker tratando de crear una denegación de servicios al servicio

SMTP, pero luego de casi 13 horas de envío de paquetes el estado del servidor está
funcionando, indicando que no hubo éxito en el intento de denegación de servicios.

Ilustración 108. DoS Checker Step 2

Se ejecutó el DoS Checker tratando de crear una denegación de servicios al servicio

FTP, pero luego de 2 horas de envío de paquetes el estado del servidor está
funcionando, indicando que no hubo éxito en el intento de denegación de servicios.

Nota: En los resultados obtenidos del estudio realizado anteriormente por cada una
de las herramientas y el análisis que se hace a partir de ellas, aportan como
conclusión que la red aparenta una seguridad aceptable. Se puede observar
claramente que cada una de ellas califica las deficiencias encontradas en (Alto,
Medio, Bajo o Ninguno), en el caso de la red correspondiente a la empresa

124
Surtitodo, solo fue encontrado un problema con riesgo bajo mediante la herramienta
Shadow Security Scanner, mientras que con las demás herramientas no se detectó
ningún tipo de vulnerabilidad.

2) Nessus

Es una herramienta que realiza un análisis de los puertos del computador objetivo,
contiene una gran lista de plugins los cuales se actualizan periódicamente para
realizar las pruebas de vulnerabilidad y buscar cuales puertos se encuentran
abiertos y cuáles de ellos pueden ser explotados.

Se realizó un análisis con la herramienta Nessus al Mikrotik de la empresa Surtitodo,

fueron analizados todos los puertos y se obtuvieron los siguientes resultados:
Reporte del analizador (Scan)

Computador [Link]
Inicio 04/12/2014 [Link]
Escaneo Fin 04/12/2014 [Link]
Tiempo Total
Ejecución [Link]
El servicio SMTP está Activo en el Puerto 25 este
Descripción servicio es blanco de SPAM, como recomendación se
debe desactivar si no se utiliza
Solución Deshabilitar el servicio si no se utiliza o filtrar el trafico
entrante a este puerto
Tabla 9. Análisis herramienta Nessus.

El análisis realizado con la herramienta Nessus no encontró ninguna vulnerabilidad

para ser explotada en el Mikrotik que corresponde a la empresa Surtitodo.

3) Nmap
Además de obtener la lista de puertos abiertos al ejecutar Nmap, con este software
se puede obtener información adicional como: el nombre de DNS, listado de
sistemas operativos posibles y direcciones MAC.

125
Hora de ejecución del escaneo:

Hora de inicio: 15:53

Hora de finalización: 16:20

Tiempo de total de ejecución de la herramienta: 00:27

Análisis intensivo (Intense Scan)

Para realizar un análisis intensivo se utiliza el siguiente comando con las variables

Nmap –T Aggressive –A –v [Link]

 -T, comando para elegir la plantilla de tiempo que se desea, se puede

especificar cualquiera de estas opciones paranoid, sneaky, polite, normal,
aggressive an insane, (sigiloso, amable, normal, agresivo y loco)
respectivamente.

 Aggressive, esta plantilla de tiempo hace que los sondeos no sean

demorados se utiliza cuando la red es rápida y fiable, mientras que con el
uso de plantillas como paranoid se consume menos recursos del sistema y
ancho de banda, aumentando el tiempo de los sondeos, por otra parte si se
utiliza la plantilla insane se realiza un sondeo muy rápido, consumiendo gran
recurso del sistema y al mismo tiempo sacrificando fiabilidad por velocidad.

 -A, Habilita la detección de SO (Sistema Operativo) y de versión del mismo.

 -v, Muestra el número de la versión del sistema operativo.

126
 Ilustración 109. Resultado Nmap

La herramienta detecta dos puertos TCP, el puerto 21 correspondiente al servicio

FTP se encuentra cerrado y el puerto 25 correspondiente al servicio SMTP se
encuentra abierto, SMTP y los clientes. El cual fue redireccionado y administrado
para ser controlado por el Mikrotik RouterBoard 751g.

127
6. ANÁLISIS DEL TRÁFICO DE RED SURTITODO S.A.

Para una buena comunicación entre las dos sedes es necesario que exista un ancho
de banda adecuado que permita el envío y recepción de paquetes sin ninguna
dificultad. Se estudiará el tráfico de red que tiene la empresa Surtitodo, analizando
el comportamiento de los paquetes, para establecer un informe que demuestre la
manera en que es aprovechado el ancho de banda y definir si cumple con las
necesidades que requiere la interconexión entre las dos sedes.

6.1. Análisis de Tráfico

El análisis que se presenta en este proyecto, corresponde al tráfico generado entre

el servidor de SAP ubicado en la principal de Medellín y La sede de Pereira, la
semana del 16 al 26 de diciembre de 2014 por parte de la red de Surtitodo del
Almacén la 8va de Pereira, se utilizaron varias herramientas confiables para
observar la desviación de valores que podría haber una de otra y obtener resultados
aceptables. Se utilizó la herramienta BW meter por las gráficas que se obtienen
fáciles de analizar de todo el tráfico.

Herramienta Versión Inicio Final

BW Meter 6.8.1 17/12/2014 26/12/2014
Tabla 10. Herramienta BW Meter 6.8.1.

El programa BW meter, muestra la cantidad de archivos que se enviaron (upload)

de color verde y la cantidad de archivos que se recibieron (Download) de color rojo,
entre las fechas correspondientes al 16 de diciembre hasta el 26 de diciembre de
2014.

128
Medición Realizada al servidor de Pereira.

Ilustración 110. Medición Realizada al servidor de Pereira

En la figura se puede apreciar lo siguiente:

 La mayor transferencia se realizó el día 24 de diciembre 2014, con 5635,11

archivos de Descargados y 3414,28 de enviados, para un total de 9049,40 MB
datos de transferencia ese día.

 La hora con mayor de transferencia de datos fue el día 24 de diciembre de 2014

de 1 a 2 de la tarde con un total de 830,14 Mb descargados y 621,09 Mb
enviados, para un total de 1451,23 MB ese día.

 La menor transferencia se hizo el día 22 de diciembre a las 9 am con 0,14 Mb

descargados y 0,17 Mb enviados para un total de 0,31 Mb a esa hora.

 El reporte de trafico semanal, la cantidad total de archivos descargados fue de

27013,89 Mb y enviados 7586,99 Mb, para un total de 34600,88 Mb transferidos
entre los días 17 y 26 de diciembre de 2014.

129
Medición realizada al Servidor de Medellín

Ilustración 111. Medición realizada al Servidor de Medellín

En la figura se puede apreciar lo siguiente:

 La mayor transferencia se realizó el día 24 de diciembre 2014, con 107,1 Gb

archivos de Descargados y 85,4 Gb de enviados, para un total de 192,4 Gb datos
de transferencia ese día.

 La hora con mayor de transferencia de datos fue el día 24 de diciembre de 2014

a las 2 pm con un total de 15,8 Gb descargados y 15,5 Gb enviados, para un
total de 31,3 Gb ese día.

 La menor transferencia se hizo el día 22 de diciembre a las 8 am con 0,5 Gb

descargados y 0,0299 Gb enviados para un total de 0,5 Gb a esa hora.

 El reporte de trafico semanal, la cantidad total de archivos descargados fue de

517,3 Gb y enviados 192,6 Gb, para un total de 709,9 Gb transferidos entre los
días 17 y 26 de diciembre de 2014.

130
7. ANÁLISIS DE LAS SOLUCIONES COMERCIALES Y MIKROTIK PARA
IMPLEMENTACIONES DE ROUTERS

7.1. ANALISIS DE LAS SOLUCIONES COMERCIALES.

El análisis que se hará a continuación está enfocado al aspecto económico y a las

características más importantes de los dispositivos de enrutamiento de 2 empresas
reconocidas como CISCO y 3COM.

 CISCO Systems.

Cisco es una empresa creada en el año de 1984 por un grupo de científicos de la

Universidad de Stamford, California (USA). Dentro de su amplia gama de productos
se seleccionó un Router que puede suplir con las necesidades de Surtitodo.

Ilustración 112. Tomado de [Link]

Este Router es la nueva serie que reemplaza a la serie Cisco2600, con mejoras en
la disponibilidad, fiabilidad y desempeño. Estas son algunas de sus características:

131
 o Dos puertos 10/100 Fast Ethernet integrados.
o Hardware de encriptación.
o QoS (calidad de servicio).
o Protocolos de interconexión de datos Ethernet y FastEthernet.
([Link] 2014)

El consto del Router es de 998 dólares,

 Router 3COM
3COM es una compañía de gran trayectoria que provee soluciones de networking a
nivel mundial, está enfocada en brindar una excelente calidad a bajo costo. En su
variedad de dispositivos se encontró un Router que se ajusta a las necesidades de
Surtitodo,

Ilustración 113. Router 3COM 3033.

Este router cuenta con las siguientes características:

o 4 puertos de Switching 10/100

o Seguridad y control avanzado, VPN, Firewall y Encriptación
o Integración de voz y datos: QoS, Routing Multicast
o Memoria DRAM de 64 MB
o Memoria flash de 8 MB

132
El conto del dispositivo es de 190 dólares.

Ilustración 114. Características Router 3COM 3033

133
7.2. Análisis general entre la solución Mikrotik y Comerciales

Los productos ofrecidos por Cisco, 3Com, entre otras compañías, son muy
funcionales y eficientes pero su alto costo de adquisición puede ser un problema
para las PYMES, debido al elevado costo de implementación para suplir las
necesidades. En algunas ocasiones la inversión es innecesaria pues no se utiliza
toda la capacidad que ofrece un Router, y en otras no se puede modificar la
programación para satisfacer las necesidades del usuario por el hecho de utilizar
una herramienta patentada y comercial, por esta razón está creciendo día a día el
planteamiento de nuevas tecnologías brindan la seguridad y conexión que el usuario
requiere.

La razón por la cual se escogió el Mikrotik RouterBoard para llevar a cabo este
proyecto es que cuenta con todas las características que la empresa Surtitodo
necesita para obtener una conexión segura entre dos o más sedes ubicadas dentro
del país. A diferencia de las soluciones estudiadas, Mikrotik brinda todas las
herramientas que las demás ofrecen y mucho más pero de manera gratuita la cual
puede ser descargada desde su sitio Web.

El dispositivo más costoso es el Cisco, aunque existen herramientas comerciales

más económicas como es el caso del Router 3Com, el cual ofrece todas las
funciones que Surtitodo necesita, pero aún sigue siendo costosa la implementación
de esta herramienta dentro de la infraestructura de red de la empresa.

Aunque las soluciones comerciales muestran una gran variedad de herramientas

que podrían brindarle a las compañías seguridad y confiabilidad en su
infraestructura de red, se observa según las opciones estudiadas anteriormente que
el factor económico es un impedimento para que las pequeñas y medianas
empresas adquieran estos tipos de dispositivos; motivo que se convierte en factor
importante en la selección de la solución a implementar, por lo cual se decidió utilizar
el Router Mikrotik RoterBoard 751g para el desarrollo de este proyecto.

134
8. DISEÑO DE LA INFRAESTRUCTURA DE RED QUE GARANTICE LOS
NIVELES DE SEGURIDAD NECESARIOS PARA LA TRANSMISIÓN DE
DATOS ENTRE LAS DOS SEDES.

Después de haber finalizado con el estudio de las características de la red de

Surtitodo, se inicia la etapa del diseño de la infraestructura que comunique las dos
sedes ubicadas en la ciudad de Pereira y Medellín. En este capítulo se diseñará una
estructura de red que cumpla con las necesidades de comunicación existentes en
la compañía.

8.1. NECESIDADES PARA LA INTERCONEXIÓN DE LAS DOS SEDES

La sede en Medellín realiza la producción de la mercancía, la que se registra y se

le da código para salir a los almacenes del país, para salir a la venta.

Se crea una propuesta basada en lo siguiente:

 Establecer un dispositivo de enrutamiento en cada una de las sedes de tal

manera que la información pueda ser compartida por ambas. Cada dispositivo
de enrutamiento se creara a partir de la utilización del Router Mikrotik, que
minimicen los gastos de inversión en dispositivos comerciales.

 Crear mediante los Routers Mikrotik una Red Privada Virtual (VPN) entre
Medellín-Pereira con todos los requerimientos de seguridad, que sustituyan el
uso de una conexión punto a punto debido a los altos costos de implementación
de estos servicios.

135
8.2. DISEÑO DE LA INFRAESTRUCTURA DE RED MEDIANTE LA
SOLUCIÓN MIKROTIK ENTRE LAS SEDES DE MEDELLIN Y PERERA

La conexión se hizo a partir de la implementación de los routers Mikrotik en cada

una de las sedes que tiene la empresa Surtitodo. Se creó cada una de las redes
locales privadas en las dos sedes junto a las características de conexión y seguridad
de cada subred.

136
8.2.1. Infraestructura de la VPN entre Medellín y Pereira.

 VPN

La seguridad que se implementó en la conexión de las dos sedes depende de la

estructura de la VPN debido a que será el medio por medio por donde se
comuniquen Surtitodo Medellín con Surtitodo Pereira y viceversa.

Pereira

 Proceso NAT, cuando el servidor de la empresa Surtitodo-Pereira se quiera

comunicar con el servidor de la empresa Surtitodo-Medellín, el paquete que sale
del servidor de Pereira será direccionado por la VPN. Este paquete tomará la
dirección [Link] reemplazando la dirección original del servidor
[Link]./24. Solo se permitirá ingresar a la VPN todo lo que venga
de la red LAN interna de la empresa.

 Cuando la empresa Surtitodo-Pereira hace uso de Internet, los paquetes viajan

con la dirección [Link]; correspondiente a su dirección Pública. Si
se desea utilizar la Red Privada Virtual para establecer la comunicación con la
sede ubicada en Medellín, los paquetes viajan con la dirección
[Link].

 Cableado, se utilizara cables UTP categoría 5e entre la conexión de servidor-

Router, Router-ISP. La longitud de cada uno de los cables será
aproximadamente de 1.5 metros y todos estos dispositivos se ubicaran en el
centro de telecomunicaciones.

137
9. IMPLEMENTACION DEL DISEÑO DE RED

En este capítulo se mostrará la infraestructura de red montada entre las dos sedes,
además se dará a conocer todas las etapas que se realizaron para la ejecución del
proyecto, desde los dispositivos que se utilizaron hasta las características de
configuración y las distintas actividades que se llevaron a cabo para la
implementación del diseño propuesto a la empresa Surtitodo. La implementación
del proyecto se divide en tres etapas, la primera etapa hace referencia a la
planeación y compra de los dispositivos necesarios para la implementación del
proyecto junto a la configuración del Router Mikrotik, la etapa intermedia abarca las
pruebas que se realizaron durante la configuración de los dispositivos, y finalmente
la última etapa que comprende la implementación de los dispositivos y la puesta en
marcha de la infraestructura entre las dos sedes.

De acuerdo al diseño realizado y la implementación del proyecto, la infraestructura

final que se implementó entre las dos sedes de Surtitodo, donde se brinda seguridad
en la conexión entre las 2 sedes por medio de una Red Privada Virtual (VPN)
establecida entre los dos Router Mikrotik RouterBoard 751g y las características en
su configuración que le brindan integridad y autenticación a la información que viaja
a través de ella.

Finalmente la única información que podrá acceder a la VPN será la que tenga como
salida la interface Ethernet 1 en cada uno de los Router Mikrotik, que corresponde
a la interface a la que se encuentran conectados al Mikrotik Surtitodo Pereira y el
Mikrotik Surtitodo-Medellín en cada sede.

138
9.1. CARACTERISTICAS DE LA VPN

La configuración de la VPN se hace con la dirección de los dos servidores

funcionando en cada una de las sedes ubicadas en la ciudad de Medellín y Pereira,
estableciendo medidas que proporcionan seguridad en la comunicación y acceso a
los recursos ofrecidos en cada uno de los servidores de la compañía ubicados a
distancia.

La arquitectura de protocolos que manejan la seguridad en la VPN se llama PPTP,

la cual proporciona la seguridad de la comunicación mediante técnicas de
encriptación, autenticación y llaves de administración que brindan a la conexión
integridad en su comunicación.
La arquitectura PPTP utiliza dos componentes los cuales son soportados por
Surtitodo:

 El protocolos existentes en el servicio de Acceso Remoto de NT 4.0 Server (PAP

y CHAP), además, puede existir una seguridad adicional establecida por el
proveedor de servicios ISP.
 PPTP hace uso de la seguridad que da el protocolo PPP. La autentificación MS-
CHAP se utiliza para validar las credenciales del usuario remoto contra dominios
NT.

La autentificación de usuarios se realiza a través de los protocolos existentes en el

Servicio de Acceso Remoto de NT 4.0 Server (PAP y CHAP). PPTP hace uso de la
seguridad que da el protocolo PPP. La autentificación MS-CHAP se utiliza para
validar las credenciales del usuario remoto contra dominios NT. Sólo los usuarios
con permiso para ello pueden realizar la conexión. Una vez que se comprueba que
el usuario tiene permiso para iniciar una sesión, se genera una "llave" de 40 bits a
partir de la clave del usuario (que en el entorno Microsoft SIEMPRE viaja ya
encriptada por la red) que es utilizada para encriptar a su vez los datos del usuario
(encriptación RC-4). (Microsoft, 2003)
Además, puede defenderse a la red privada de un uso malintencionado habilitando
el filtrado PPTP del mikrotik. En este caso, el mikrotik solamente acepta y enruta
paquetes enviados por usuarios validados. Esto evita que cualquier otro tipo de
paquete ajeno pueda ser introducido en la red privada.

139
10. RECURSOS

La siguiente sección define los recursos necesarios, personas, hardware y software

10.1. Miembros y responsabilidades.

Nombre Actividad Responsabilidad

Conexión y configuración Hacer la conexión y
Ivan Tarapues Mikrotik RouterBOARD configuración del mikrotik
751g en Medellín.
Hacer la conexión y
Conexión y configuración configuración del mikrotik
Jorge Londoño Mikrotik RouterBOARD en los almacenes de
751g Armenia, Cartago y
Pereira.
Verificar que todas las
funciones de seguridad
Jorge Londoño Seguridad impuestas se cumplan a
cabalidad para los
usuarios.
Hacer uso de la VPN,
para probar la
Jorge Londoño Interfase con otras redes
interconexión con las
demás sedes.
Tabla 11. Recursos Personas

140
10.2. Requerimientos de recursos

El hardware y el software requerido es el siguiente:

Acción Cantidad Recurso

Mikrotik RouterBoard
6
751G
Windows XP, Windows 7,
Conexión por Winbox 1
Windows 8
PC Pentium Core 2 Duo,
6
1 Gb RAM
PC Pentium Core 2 Duo,
1
Interfase con otras redes 1 Gb RAM
1 VPN
seguridad Mikrotik RouterBoard
6
751G
Tabla 12. Requerimientos Hardware y Software

141
11. PRESUPUESTO

ITEM CANT. Vlr. UNI $ IVA $ VALOR $

Mikrotik RouterBoard 1.252.800

4 270.000 43.200
RB751G – 2HnD
Cisco SRW224G4-
K9-NA SF 300-24 de 4 1.512.000 288.000 7.200.000
24 puertos 10/100
Transportes y 158.000
4 33.180 6.320
salidas de campo
Materiales y 250.000
suministros
Material Bibliográfico 250.000
y fotocopias
Varios e imprevistos 200.000

VALOR TOTAL 9.310.800

Tabla 13. Presupuesto

142
12. CRONOGRAMA

Tabla 14. Cronograma

143
CONCLUSIONES

 Se recopilo la información necesaria para identificar los problemas que tenía la

estructura de la red anterior y así poder mejorarla.

 Se diseñó e implementó una infraestructura de red en la empresa Compañía

Comercial Universal Surtitodo S.A., que cumple con las características de
seguridad necesarias para el intercambio de información entre las dos sedes.
Estas sedes se unieron por medio de la VPN creada mediante los Routers
Mikrotik RouterBoard 751g lo cual permitió obtener una relación costo/beneficio
favorable a la compañía.

 Surtitodo al mejorar su estructura su red informática, gano en eficiencia, lo que

ha permitido ser mucho más competitiva. Dentro de las opciones se eligió el
sistema Mikrotik debido al óptimo desempeño que podía brindar en la
infraestructura de red y a la variedad de herramientas útiles que podía ofrecer
en comparación a las otras Soluciones.

 Al aplicar el balanceo de carga se limitó equilibradamente el consumo de

internet a través de las colas simples que pertenecen al sistema RouterOS de
mikrotik, por lo tanto el balanceo es persistente si aplicamos calidad al momento
de liminar tanto el ancho de subida como el de bajada para mantener un
estándar de consumo.

 La implementación de las políticas de seguridad permitieron salvaguardar la

información garantizando la confidencialidad, integridad y disponibilidad de los
datos.

 El diseño y aplicación de la nueva red ha permitido a las directivas no perder de

vista la actividad del negocio.

 Con el mikrotik RouterBoard 751g y su sistema operativo RouterOS se pudo dar

una solución a bajo costo, para la conectividad y seguridad que se necesitaba.

 Debido a las pocas referencias de primer nivel para la configuración del router
mikrotik, se usaron como lineamientos los manuales y foros que existen en la
web.

144
REFERENCIAS

Alberto, Q. (1 de julio de 2012). [Link] Obtenido de

[Link]

CAPACITY. (09 de 04 de 2014). [Link]. Obtenido de

[Link]

Chancusig, O. E., & Martínez, L. S. (2012). [Link]

Cisco. (31 de 07 de 2013). [Link]. Obtenido de

[Link]

CISCO. (26 de 11 de 2014). [Link]. Obtenido de

[Link]
switches/[Link]

CISCO_CCNA/Exploration3intSpanish. (s.f.). [Link] Obtenido de

[Link]

Hernando, R. (7 de 07 de 2002). [Link] Obtenido de

[Link]

[Link] (2 de 1 de 2014). [Link] Obtenido de

[Link]
RouterBoard-Basico-Avanzado

[Link] (25 de 12 de 2014). [Link]

[Link]. Obtenido de [Link]

inkalinux. (2 de 1 de 2014). [Link] Obtenido de

[Link]
RouterBoard-Basico-Avanzado

Microsoft. (10 de Abril de 2003). [Link]

Microsoft. (01 de 01 de 2005). [Link] Obtenido de

[Link]

Microsoft. (01 de 01 de 2005). [Link] Obtenido de

[Link]

mikrotik. (2006). [Link]

Ramírez, J. (09 de 2013). [Link] Obtenido de

[Link]

145
Tarapues, I. (05 de 08 de 2014).

WEBGRAFIA

 [Link]

 [Link]
Mikrotik-RouterBoard-Basico-Avanzado

 [Link]

146