DISEÑO E IMPLEMENTACIÓN DE UNA POLÍTICA DE ACCESOSEGURA A LA RED DE INVESTIGACIÓN RITA BASADO EN LAS

PRÁCTICAS DE GESTIÓN DE SERVICIOS DE LA INFORMACIÓN ITIL

Jaime Andrés Pardo Galvis

Dirigido Por:Ph.D, Msc. Roberto Ferro Escobar

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDASProyecto curricular de Ingeniería Electrónica

Bogotá, Mayo de 2016

DISEÑO E IMPLEMENTACIÓN DE UNA POLÍTICA DE ACCESOSEGURA A LA RED DE INVESTIGACIÓN RITA BASADO EN LAS

PRÁCTICAS DE GESTIÓN DE SERVICIOS DE LA INFORMACIÓN ITIL

Jaime Andrés Pardo Galvisjapardog@correo.udistrital.edu.co

Dirigido Por:Ph.D, Msc. Roberto Ferro Escobar

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDASProyecto curricular de Ingeniería Electrónica

Bogotá, Febrero de 2016

2

Dedicatoria

Dedico este proyecto de grado a mis padres y hermanos,ya que sin su incondicional apoyo, paciencia , sacrificio y esfuerzo

no hubiera sido posible cumplircon este gran logro.

3

Resumen

En esta monografía se presenta el diseño y la implementación de una política deacceso remoto a la red de investigaciones RITA, basada en la norma ISO 27001 ydesarrollada con una metodología basada en las prácticas de gestión de servicios de lainformación ITIL en su versión tres, lo que permitirá que estudiantes, docentes oinvestigadores pertenecientes a la Universidad Distrital puedan acceder a la red sin necesidadde desplazarse hasta el campus.

Para llevar a cabo la implementación de la política se utilizó una herramienta que hacelas veces de servidor VPN, a través de la cual se crea el enlace remoto, utilizando las redespúblicas (Internet), como medio para establecer la conexión, y así poder ingresar a la red.

El uso de la conexión remota hace que se acepten las normas y procedimientosdefinidos en la política, esto con el fin de preservar y salvaguardar la información y losservicios disponibles al interior de la red RITA.

Palabras Clave:

VPN, ITIL, Política, IPv4, IPv6, ISO 27001, Acceso Remoto, Open VPN.

4

Tabla de Contenido

Índice de Figuras........................................................................................................................9Índice de Tablas........................................................................................................................10CAPITULO 1...........................................................................................................................11

1.1 Introducción................................................................................................................111.1 Planteamiento del Problema......................................................................................121.2 Objetivos....................................................................................................................13

1.2.1 Objetivo General................................................................................................13 1.2.2 Objetivos Específicos........................................................................................13

1.3 Justificación...............................................................................................................14 1.4 Antecedentes..................................................................................................................15 1.5 Metodología...................................................................................................................16

1.5.1 Fase 1. Estrategia..............................................................................................161.5.1.1 Análisis de servicios....................................................................................161.5.1.2 Planificación y actualización del portafolio..................................................16

1.5.2 Fase 2. Diseño...................................................................................................161.5.3 Fase 3. Transición..............................................................................................16

1.5.3.1 Desarrollo de despliegue............................................................................171.5.3.2 Validación y Pruebas...................................................................................17

CAPITULO 2...........................................................................................................................182. Marco Referencial................................................................................................................18

2.1 Antecedentes.............................................................................................................182.1.1 IPv4....................................................................................................................182.1.2 IPv6....................................................................................................................192.1.3 Coexistencia de los protocolos IPv4 e IPv6........................................................20

2.1.3.1 Dual Stack..................................................................................................212.1.3.2 Tunneling....................................................................................................21

2.1.4 Redes Académicas.............................................................................................222.1.4.1 Red RUMBO...............................................................................................222.2.4.2 Red RITA....................................................................................................22

2.1.5 Software Libre....................................................................................................232.1.6 CECAD...............................................................................................................232.1.7 Grupo de Investigación LÍDER...........................................................................23

2.2 Marco Legal y Normatividad.......................................................................................242.2.1 Normatividad Mundial.........................................................................................242.2.2 Normatividad en Colombia.................................................................................242.2.3 Política para la Seguridad de la Información de la Universidad Distrital.............252.2.4 Norma ISO 27001...............................................................................................252.2.5 Norma ISO 27005...............................................................................................25

2.3 Marco Conceptual......................................................................................................252.3.1 Introducción a las VPN.......................................................................................26

2.3.1.1 Arquitectura.................................................................................................262.3.1.2 Topologías...................................................................................................27

2.3.1.2.1 Topología Radial..................................................................................272.3.1.2.2 Topología de Malla Completa o Parcial...............................................272.3.1.2.3 Topología de Acceso Remoto..............................................................28

CAPITULO 3...........................................................................................................................29

5

3. Implementación....................................................................................................................293.1 Estrategia...................................................................................................................29

3.1.1 Requerimientos del servicio................................................................................303.1.2 Portafolio de servicio..........................................................................................33

3.2 Diseño........................................................................................................................353.2.1Diseño de la política de acceso segura a la red RITA..........................................35

3.2.1.1 Establecimiento del Contexto......................................................................363.2.1.2 Alcance y Límites........................................................................................373.2.1.3 Valoración de Riesgos Tecnológicos...........................................................373.2.1.4 Identificación de..........................................................................................383.2.1.5 Identificación de Vulnerabilidades...............................................................38

3.2.2 Política de Acceso Remoto.................................................................................413.2.2.1 Disposiciones Generales............................................................................42 3.2.2.2 Responsabilidades.....................................................................................423.2.2.3 Procedimientos...........................................................................................433.2.2.4 Vigencia......................................................................................................43

3.2.3 Protocolo de implementación.............................................................................443.2.3.1 Configuración de Zentyal............................................................................45

3.3 Transición...................................................................................................................533.3.1 Pruebas técnicas................................................................................................543.3.2 Verificación de la configuración de la herramienta..............................................573.3.3 Pruebas funcionales...........................................................................................59

CAPITULO 4...........................................................................................................................644. Análisis de resultados...........................................................................................................64CONCLUSIONES....................................................................................................................66TRABAJO FUTURO...............................................................................................................68ANEXOS..................................................................................................................................69

Anexo A: Política de Acceso segura a la red de investigaciones RITA.............................69Anexo B: Configuración del cliente VPN para Linux (Ubuntu)..........................................74Anexo C: Código Fuente de la Plataforma Web...............................................................77

REFERENCIAS.......................................................................................................................87

6

Índice de Figuras

Figura 1. Encabezado de un paquete IPv4 (Tanenbaum & Wetherall, 1996)...........................13Figura 2. Encabezado de un paquete IPv6 (Tanenbaum & Wetherall, 1996)...........................14Figura 3. Nodo con el mecanismos Dual Stack (Durand, 2001)..............................................15Figura 4. Tunneling de paquetes ipv6 a través de una red ipv4 (van Beijnum, 2006).............16Figura 5. VPN de Intranet (Gonzales Morales & Hernandez Mendoza, 2006).......................20Figura 6. VPN de extranet (Gonzales Morales & Hernandez Mendoza, 2006).......................21Figura 7. Configuración de la interfaz de red de Zentyal.........................................................35Figura 8. Configuración de la puerta de enlace de Zentyal......................................................36Figura 9. Configuración de servidores DNS de Zentyal..........................................................36Figura 10. Configuración de objetos de red de Zentyal...........................................................37Figura 11. Adición de miembros al objeto de red de Zentyal...................................................37Figura 12. Expedición del certificado de la Autoridad de Certificación en Zentyal................38Figura 13. Servidor VPN en Zentyal........................................................................................38Figura 14. Expedición certificado para el servidor VPN en Zentyal.......................................39Figura 15. Habilitación del servidor VPN en Zentyal..............................................................39Figura 16. Configuración del servidor VPN en Zentyal...........................................................40Figura 17. Configuración del servidor VPN en Zentyal...........................................................41Figura 18. Redes anunciadas para el servidor VPN en Zentyal...............................................41Figura 19. Descarga de certificados de acceso a través de VPN en Zentyal............................42Figura 20. Topología de la red de prueba de acceso remoto....................................................43Figura 21. Conexión por medio de ssh al servidor VPN..........................................................43Figura 22. Plataforma web de pruebas de conexión a redes....................................................44Figura 23. Administración web del servidor VPN...................................................................44Figura 24. Conexion a traves de la VPN..................................................................................45Figura 25. Administración vía web Webmin............................................................................45Figura 26. Configuración del archivo hook post configuracion del modulo de red.................46Figura 27. Prueba de ping6 a servidor de google.....................................................................47Figura 28. Prueba de traceroute6 a servidor de google............................................................47Figura 29. Plataforma Web para comprobacion de conexión a redes......................................48Figura 30. Página de prueba de conexión con el comando ping..............................................49Figura 31. Página de prueba de conexión con el comando TraceRoute...................................49Figura 32. Página de prueba de conexión con el comando DNSLookup.................................50Figura 33. Prueba de ping on usuario remoto conectado a VPN..............................................50Figura 34. Prueba de traceroute con usuario remoto conectado a VPN...................................51Figura 35. Prueba de NSLookup con usuario remoto conectado a VPN.................................51

7

Índice de Tablas

Tabla 1. Definición de tareas y plazos de acuerdo a los requerimientos..................................24Tabla 2. Dominios y objetivos de la norma ISO 27001 a implementar....................................27Tabla 4. Tasación de activos inmersos en el proyecto..............................................................28Tabla 5. Identificación de Vulnerabilidades.............................................................................29Tabla 6. Establecimiento del criterio de la probabilidad de ocurrencia...................................30Tabla 7. Matriz de Riesgo.........................................................................................................30Tabla 8. Matriz de probabilidad/Impacto.................................................................................31Tabla 9. Características de las herramientas Zentyal vs IPCop................................................34Tabla 10. Resultados de las pruebas de ping, jitter y pérdida de paquetes a través de la VPN...................................................................................................................................................52

8

CAPITULO 1

1 Introducción

El rápido crecimiento de internet basado en IPv4 ha repercutido en el agotamiento dedirecciones IP libres para asignar (Park, Lee, & Choe, 2004), por lo cual se ha hechonecesario que desde niveles gubernamentales hasta las redes de pequeñas empresas seplanifique la migración al protocolo versión 6 en mediano plazo.

Este proyecto pretende plantear la definición de una política de acceso segura y suimplementación que permita el acceso al servicio de conectividad a redes IPv6 para usuariosde la red RITA que utilizan IPv4 aprovechando la red IPv6 de la Universidad DistritalFrancisco José de Caldas, para ello se requerirá que el usuario sea acreditado con uncertificado para el acceso a una red privada virtual o Virtual Private Network (VPN), la cualtendrá el servidor en las instalaciones de la red RITA con la cual se proveerá acceso a lasredes IPv6.

El aporte al medio tecnológico radica en la capacidad de acceder a servicios de redIPv6 para usuarios que aún trabajan con redes basadas en IPv4, por medio de la definición deuna política de acceso segura, la cual por lo reciente de la implementación de la red RITA nose ha definido aún, además de que la conectividad hacia redes IPv6 no se ha popularizado enColombia y los ISP privados no los ofrecen abiertamente, ni lo harán a corto plazo,adicionalmente será una herramienta académica y de pruebas para los desarrollos al interiorde la universidad sobre el protocolo IPv6 sin tener que realizar una migración completa deIPv4 a IPv6. La herramienta será propuesta en uso exclusivo de software de licencia GNU oGPL, que garantizará su escalabilidad y sostenibilidad. Además esta herramienta estará sujetaal estatuto de propiedad intelectual de la Universidad Distrital y a las políticas seguridad delcentro de computación de alto desempeño (CECAD).

9

1.1 Planteamiento del Problema

El constante crecimiento de las redes y en general de Internet a nivel mundial en lasúltimas décadas han causado problemas de agotamiento de direcciones IP y por tanto deenrutamiento (Park et al., 2004), esto ha llevado a la necesidad de comenzar a migrar lasredes al nuevo protocolo de Internet IPv6, ya que expande la capacidad de direccionamiento,simplifica el formato del encabezado de los paquetes, capacidad de privacidad y autenticacióny capacidad de flujo por etiquetas (Deering & Hinden, 1998) pero debido a que aún no seimplementa de forma masiva, no se ha logrado medir los alcances y puntos de quiebre de estepaso de transición.

Tomando como ejemplo un ámbito menos global, se puede decir que, incluso unamigración completa de una red como la de la universidad Distrital Francisco José de Caldasno solo sería costosa sino también conlleva un esfuerzo y tiempo aún no medido por lainstitución. Tampoco hay un estudio que pueda decirnos la compatibilidad de lainfraestructura de la red con ambos protocolos de acuerdo al método de migración que fueraescogido, y si llegase a ser necesario la adquisición de nuevo hardware compatible setraducirá en tiempo y costos adicionales.

Por lo anterior la propuesta de este documento es diseñar e implementar una políticade acceso segura a la red RITA, que permitirá acceder a servicios de conectividad, quepermitan seguir utilizando la red actual IPv4 para acceder a un sistema de transición hacia lared compatible IPv6, sin mayores cambios en los equipos; esto es, de manera virtualizada,permitir a un equipo que se encuentre al interior de la universidad o se conecte a la red demanera remota, tener ambos entornos conectados; para ello se requiere que seapreferiblemente un servidor con más de una interfaz de red, y que alguna de ellas seacompatible con IPv6.

Por tanto se proyecta un sistema que comprende, un cortafuegos sobre el que seimplementa una VPN cliente a sitio para dar acceso a un servidor que provee servicios de unared IPv6 y permite realizar la ejecución de comandos sencillos para IPv6.

Tanto el cortafuegos como el servidor serán máquinas virtuales de sistemas operativosde licencia GNU, de tal manera que de acuerdo a las necesidades de la red pueda serfácilmente modificado y escalado.

¿Cuál es la forma de obtener un acceso seguro a la red avanzada de investigaciónRITA y mediante cuál práctica de gestión de servicios del modelo ITIL se puede generar unapolítica de acceso seguro a dicha red?

10

1.2 Objetivos

1.2.1 Objetivo General

Diseño e implementación de una política de acceso segura a la red de investigaciónRITA, que permita a investigadores de la Universidad Distrital Francisco José de Caldasobtener conectividad a las redes de nueva generación IPv6, independientemente de su lugarde conexión, basado en las prácticas de gestión de servicios de la información ITIL, usandosoftware bajo licencias GPL Y GNU.

1.2.2 Objetivos Específicos

● Diseñar una política de acceso seguro mediante clientes VPN haciendo uso desoftware que certifique, autentique y provea conectividad a redes de nuevageneración IPv6.

● Seleccionar una herramienta de software orientada a la conexión segura sobreuna red privada cumpliendo los estándares basados en las prácticas de gestiónITIL y los requerimientos basados en normas internacionales para acceder a lared de investigación avanzada RITA

● Implementar una política de acceso seguro mediante clientes VPN asegurandola conexión, enrutamiento y acceso a un portal de servicios sobre plataformaWEB a redes IPv6.

● Diseñar e implementar un protocolo de pruebas basado en la gestión y buenasprácticas de ITIL para evaluar el funcionamiento de la política de accesoseguro sobre la red de investigación avanzada RITA

● Documentar y analizar los resultados obtenidos en la implementaciónevaluando parámetros de calidad de la conexión como lo son latencia, pérdidade paquetes, jitter, a través de la política de acceso seguro a la red deinvestigación RITA

11

1.3 Justificación

Desde el lenguaje como primera herramienta de comunicación, hasta la mensajeríainstantánea por dispositivos móviles, la necesidad del ser humano de romper las fronteras decomunicación ha sido su escalera como especie de éxito sobre la tierra.

Las fronteras de comunicación parecían extinguirse con la explosión de internet, pero,con la llegada del siglo XXI se vieron las limitaciones para satisfacer el continuo yvoluminoso incremento de usuarios (Tatipamula, Grossetete, & Esaki, 2004). Las pruebas ydiseños de nuevos protocolos para continuar con el crecimiento y evolución del protocolo seiniciaban en la década del 90 (Carlberg, Bhatti, & Crowcroft, 2009) y en el año de 1995 seformalizó la primera versión del protocolo de internet versión 6, IPv6 (Carlberg et al., 2009),con el cual se espera no sólo suplir la necesidad creciente de direcciones, sino eliminardefinitivamente la preocupación de que algún día se agoten.

A pesar de que el protocolo IPv6 no requiere mayores cambios a nivel deinfraestructura, (cableado e interfaces son básicamente las mismas), la migración si necesitaplanificación ya que no es del todo transparente para las capas de la red que trabajan sobre IP(Waddington & Chang, 2002). Además se necesita la identificación de incompatibilidades,mayormente a nivel de software o de capacidad de proceso, y alistamiento de la red para sufuncionamiento en versión 6, debido a que el éxito del protocolo IPv6 va a depender de quétan fácil sea su integración con la arquitectura y servicios existentes (Tatipamula et al., 2004).

Con este documento se propone el diseño e implementación de un mecanismo deautenticación de los usuarios que pertenezcan a la Universidad Distrital y que ademásfuncione como un método de transición hacia IPv6 sin la necesidad de realizar cambios en lared para que los usuarios tengan un acercamiento a lo que sería una red usandoexclusivamente IPv6.

El trabajo a realizar, constituye en el diseño e implementación de una política deacceso segura a la red de investigaciones RITA que a su vez sirva como una herramienta detransición para el acercamiento al protocolo de internet versión 6, basada en las que propusola IETF (Gilligan & Nordmark, 2005) sin modificar la red actual y permitiendo que cualquierusuario que disponga de las credenciales pueda acceder a ella desde cualquier ISP.

12

1.4 Antecedentes

Desde hace mas de 20 años hasta la actualidad las compañías usualmente manejanoficinas a grandes distancias de sus sedes principales, y estas necesitan interconectarse.Además de el cada vez mayor uso de los teletrabajadores, hacen que las compañías necesitenuna forma de interconexión mas fiable y económica, incrementando la productividad yescalabilidad de sus redes (Fisli, 2005).

A lo largo de los años se han desarrollado diferentes protocolos de interconexiónbasados en VPN, pero recientemente se centran los esfuerzos a desarrollar VPN de acuerdo alas necesidades que se tengan o al entorno que se maneje (Sun, 2011).

VPN confiables y seguras es una de las divisiones que dio el VPN Consortium(VPNC), estas consisten en uno o varias rutas arrendadas por un proveedor. La seguridad y laintegridad de la información que se puede esperar dependerá del proveedor ya que esteasegura que nadie mas usara estos caminos (Jaha, 2008).

Otra categoría es la basada en clientes, la cual requiere de un software que se debeinstalar en el dispositivo del usuario que se conectará de forma remota a la red corporativa,esto le permite a los usuarios acceder a todos los servicios con los que cuenta dicha red (Jaha,2008).

Los usos de las VPN al igual que la tecnología están en constante cambio, por lo quehan surgido nuevos usos, como lo es el transporte VoIP, el streaming de audio y vídeo,además de los nuevos túneles para interconectar redes IPv4 con redes IPv6.

Es debido a estos nuevos retos que se hace necesario una exploración hacia lascapacidades de la tecnología VPN, ya que por su versatilidad se pueden potenciar aún mássus usos, ayudados de las tecnologías correctas.

13

1.5 Metodología

El proyecto será desarrollado en tres fases de acuerdo al manual de ITIL v3 (OSIATISS.A., n.d.), las cuales fueron seleccionadas debido a la naturaleza del proyecto que es de tipoexploratorio. La primera fase es la estrategia de selección del portafolio de servicios, lasegunda es la fase de diseño, la tercera es la de transición del servicio y es donde se realizaránlas pruebas y se evaluarán los resultados. Estas fases se encuentran numeradas tal y como seencuentra en el manual ITIL versión 3. A su vez las etapas están sub-divididas y acontinuación se dará una breve explicación de su función.

1.5.1 Fase 1. Estrategia

Esta fase en general ayudará a determinar los requerimientos necesarios para el diseñoy la implementación de la política de acceso segura basada en VPN, además servirá paraestablecer metas y gestionar los recursos para prestar este servicio. En esta fase se hará usodel proceso llamado Gestión del portafolio de servicio.

1.5.1.1 Análisis de servicios

Este es un subproceso que permitirá identificar y definir los requerimientos que lapolítica de seguridad y su implementación deben cumplir para alcanzar los objetivospropuestos en el presente proyecto. Además ayudará a establecer y asignar los recursos demanera óptima para que se puedan prestar los servicios de conectividad a redes ipv6 medianteel uso de una política de acceso segura basada en VPN conforme a los requerimientosplanteados.

1.5.1.2 Planificación y actualización del portafolio

Este sub proceso permitirá la definición de tareas y plazos de acuerdo a losrequerimientos planteados en el análisis de servicios, para que así se puedan prestar de formaadecuada los servicios de conectividad a redes ipv6 mediante el uso de una política de accesosegura basada en VPN.

1.5.2 Fase 2. Diseño

Esta fase tiene en cuenta los requerimientos propuestos en la fase de Estrategia y conellos se diseñarán los servicios de conectividad a redes ipv6 mediante el uso de una políticade acceso segura basada en VPN que se adecuen a las necesidades y sean eficientes. Elproceso que se usará de esta fase se llama Gestión de la Seguridad de la Información.

Este proceso ayudará a diseñar una política de seguridad de acuerdo a losrequerimientos propuestos en la fase anterior, minimizando los riesgos de seguridad queamenacen la continuidad del servicio, ya que se debe asegurar que la información seaconfidencial, integral y esté disponible. Para esto, se asignan los recursos necesarios, segenerarán documentos de referencia, se seleccionará una herramienta de software conforme alos requerimientos establecidos en la fase 1 para garantizar la seguridad

1.5.3 Fase 3. Transición

Con esta fase se podrá supervisar y dar soporte a la implementación de los servicios,de conectividad a redes ipv6 mediante el uso de una política de acceso seguro basada enVPN, esto mediante el diseño propuesto en la fase 2, además de la planificación y creación de

14

entornos de pruebas, que permitan un correcto funcionamiento de los servicios. Se usarán dosprocesos de esta fase los cuales son Gestión de entregas y Despliegue y Validación y Pruebas.

1.5.3.1 Desarrollo de despliegue

Este proceso es el encargado de Implementar los servicios de conexión a redes ipv6mediante el uso de una política de acceso segura basada en VPN, además de asegurar que lascorrecciones hechas se implementen con la debida documentación en torno a la configuracióntanto de software como de hardware.

1.5.3.2 Validación y Pruebas

En este proceso se diseñará e implementará un protocolo de pruebas que permitaevaluar parámetros de calidad de los servicios como lo son latencia, pérdida de paquetes,jitter, a través de la política de acceso seguro a la red de investigación RITA, estas pruebas sedeben hacer en un entorno idéntico al entorno final para que los resultados de las mismas nose vean distorsionados. Además se documentarán y analizarán los resultados para que sehagan los respectivos ajustes para el buen funcionamiento de los servicios.

15

CAPITULO 2

2. Marco Referencial

2.1 Antecedentes

La versión 4 del protocolo de internet (IP) ha estado en uso por más de veinticincoaños y ha sobrepasado su tiempo de vida efectivo y continúa esforzándose por mantener lasdemandas actuales que tiene internet hoy en día (Durand, 2001) IPv6 es el protocolo sucesorpor evolución natural a IPv4 (Durand, 2001), ya que puede manejar las limitaciones que tieneactualmente IPv4 y las futuras modificaciones que se pudieran implementar (Carlberg et al.,2009).

2.1.1 IPv4

La pila de protocolos TCP/IP se venía desarrollando desde la década de 1970 pero nofue sino hasta la versión 3 del protocolo cuando se definió la arquitectura formal de la pila deprotocolos TCP/IP. En 1980 se estandarizó formalmente el protocolo IP donde las principalescaracterísticas de este protocolo son el empaquetado de datos y el enrutamiento de losmismos, de forma tal que se pudieran transmitir mensajes fragmentados, reconstruyéndoseúnicamente en el equipo de destino (Darpa Internet Program, 1981).

Una característica que define a IPv4 son sus direcciones de 32 bits, cada host y routeren internet tiene una dirección IP asociada que permite que se utilice como dirección deorigen o destino para enviar paquetes (Tanenbaum & Wetherall, 1996). Las direcciones paraIPv4 fueron definidas como una estructura de cuatro clases: la clase A (Redes amplias), B(redes de tamaño mediano), C (redes pequeñas), D (Multicast) y E (experimental) todas de 32bits de longitud (Carlberg et al., 2009).

Los principales inconvenientes con este protocolo llegaron al mismo tiempo queinternet crecía, estos eran principalmente el agotamiento de las direcciones IP y elcrecimiento en las tablas de enrutamiento o RIB (Routing Information Base), que también seextendió a las tablas de envío o FIB (Forwarding Information Base) (Carlberg et al., 2009).Se crearon dos soluciones a corto plazo para solucionar la falta de direcciones IP, mientras setrabajaba en la solución definitiva (Carlberg et al., 2009). La primera consistía en asignar lasdirecciones IP restantes, en bloques de tamaño variable, sin tener en cuenta las clases, a estatécnica se le llamó CIDR (Classless Inter-Domain Routing) (Rekhter & Li, 1993). La segundaNAT (Network Address Translator) consistía en reutilizar las direcciones IP públicas, ya queen la mayoría de las redes con IP privadas, el tráfico que se genera tiene como origen odestino los host de la propia red (Francis & Egevang, 1994).

16

Figura 1. Encabezado de un paquete IPv4 (Tanenbaum & Wetherall, 1996).

2.1.2 IPv6

La encargada de desarrollar la alternativa a IPv4 fue la IETF (Internet EngineeringTask Force), que invitó a toda la comunidad interesada en el desarrollo de IPng (InternetProtocol Next Generation) como se empezó a conocer a la nueva generación del protocolo, aparticipar enviando comentarios y requerimientos específicos que ellos creyeran pertinentespara que fuera incluido en la selección del nuevo protocolo (Bradner & Mankin, 1993).Luego de varias discusiones y consensos la IETF definió los criterios definitivos con los queevaluará las propuestas de los desarrolladores (Partridge & Kastenholz, 1994).

Entre 1993 y 1994 surgieron las dos mejores propuestas que fueron Simple IP y Paul’sIP, cada una con sus características atractivas con lo cual era difícil escoger una. Luego en el94 se llegó a un compromiso entre los dos candidatos, para realizar una propuesta unificadacon el nombre de Simple IP Plus (SIPP), que sería la que finalmente se seleccionó, y se le diola designación de IPv6 (Carlberg et al., 2009). IPv6 mantiene todas las características másdestacadas de IPv4, descarta y reduce las malas, e integra nuevas donde se hace necesario.Básicamente los cambios que implementa este protocolo respecto a IPv4 según Deering(1998) son los siguientes:

● Capacidad de direccionamiento extendida: En el protocolo IPv6 se incrementa eltamaño de las direcciones IP de 32 a 128 bits, esto para soportar más niveles dejerarquía de direccionamiento, un número más grande de nodos direccionables, y unaauto configuración de direcciones simple. La escalabilidad del enrutamiento multicastes mejorada con la incorporación de un campo “scope” para direcciones multicast

● Simplificación del formato de cabecera: Algunos campos de cabecera del protocoloIPv4 (13 campos) son descartados o se vuelven opcionales, para reducir el costo deprocesamiento de casos comunes de manejo de paquetes y para limitar el costo delancho de banda de la cabecera IPv6 (7 campos), esto mejora la velocidad detransporte, ya que los enrutadores procesan con mayor rapidez los paquetes

● Soporte para extensiones y opciones mejorado: Los cambios en la manera en que secodifican las opciones de cabecera IP, permiten un reenvío más eficiente, límitesmenos estrictos en el tamaño de las opciones, esto permite que los enrutadores omitanlas opciones que no van dirigidas a ellos, y en general mucha más flexibilidad paraagregar nuevas opciones en el futuro

● Capacidad de flujo etiquetado: Una nueva característica es agregada para permitir queel etiquetado de paquetes pertenezcan a un flujo de tráfico particular, para los cuales

17

el remitente solicita un manejo especial, como la calidad de servicio nopredeterminada o servicio “en tiempo real”

● Soporte para autenticación y privacidad: IPv6 incluye la definición de una extensiónque provee soporte para autenticación e integridad de los datos. Esta extensión esbásica de IPv6 y será requerida en todas las implementaciones. También se incluye ladefinición de una extensión que soporta confidencialidad mediante la encriptación

● Soporte para auto configuración: Se soportan múltiples formas de auto configuracióndesde una configuración de direccionamiento de nodo “plug and play” hasta laconfiguración de todas las características brindadas por DHCP

● Soporte para rutas fuente: Incluye una función extendida de encabezado para fuentede rutas, diseñado para soportar el protocolo SDRP

Figura 2. Encabezado de un paquete IPv6 (Tanenbaum & Wetherall, 1996).

2.1.3 Coexistencia de los protocolos IPv4 e IPv6

Se espera que IPv6 reemplace al protocolo IPv4 gradualmente durante los próximosaños. Mientras esta transición gradual se da se espera que estos dos protocolos coexistanmediante diferentes herramientas de transición que permitan cumplir con las necesidades quelas diferentes redes tienen (Samad & Yusuf, 2002). Los mecanismos o herramientas detransición generalmente vienen en una de estas tres formas: dual stacks, tunneling ytranslation (Waddington & Chang, 2002).

Además de estos se han estado proponiendo más mecanismos que aún están endiscusión pero podría ser una alternativa viable como lo son los enlaces de datos dedicados yMPLS backbone (Tatipamula et al., 2004). A continuación abordaremos los dos mecanismosmás básicos y recomendados por la IETF (Gilligan & Nordmark, 2005), estos mecanismosson el dual stack y el de tunneling.

18

2.1.3.1 Dual Stack

En este esquema definido en Gillighan (2005), un nodo de la red instala ambosprotocolos IPv4 e IPv6 en paralelo. Las aplicaciones que trabajan con IPv4 se comunican conel protocolo IPv4 instalado en el nodo, de la misma forma para las aplicaciones que trabajancon el protocolo IPv6. Cuando las dos opciones están disponibles el host usualmente escogela ruta con IPv6 (Durand, 2001).

Los tipos de direcciones ya sea IPv4 o IPv6 vienen dadas por el DNS lookup. Luegode que el DNS responde con el tipo de registro utilizado se escoge el stack apropiado ya seaIPv4 cuando el tipo de registro sea ‘A’ o IPv6 cuando sea ‘AAAA’ (Waddington & Chang,2002). Una condición de este mecanismo es que todos los routers de la red puedan soportardual stack, de otra forma no funcionaria. Esto repercute en que los administradores de la redtendrán que definir un esquema de doble direccionamiento, una administración doble deprotocolos de enrutamiento, tanto para IPv4 como para IPv6, y finalmente deberán tenersuficiente memoria para manejar las tablas de enrutamiento de IPv4 e IPv6 (Tatipamula et al.,2004).

Figura 3. Nodo con el mecanismos Dual Stack (Durand, 2001).

2.1.3.2 Tunneling

El tunneling es usado como puente entre redes compatibles con el protocolo IPv6 ylas que son incompatibles a que soportan es la versión 4 del protocolo IP. Básicamente estemecanismo consiste en encapsular los paquetes del protocolo IPv6 para que pueda viajar através de redes IPv4 o viceversa (Waddington & Chang, 2002). El mecanismo de túneles paraIPv6/IPv4 está diseñado para permitir a una infraestructura IPv4 existente llevar los paquetesIPv6 encapsulando la información de IPv6 dentro de datagramas IPv4 (Samad & Yusuf,2002).

El método de Tunneling proporciona una manera conveniente para que una isla IPv6pueda conectarse a otras islas IPv6 a través de un océano de redes IPv4 (Durand, 2001). Laencapsulación es realizada al inicio del túnel es decir al entrar en la red, y la desencapsulaciónes realizada al final del túnel cuando se deben entregar los paquetes a una red o hostcompatible con el protocolo usado (Waddington & Chang, 2002). Su principal inconvenientees la configuración de las direcciones finales del túnel, ya que se requiere definir donde sedebe hacer la encapsulación y a que paquetes se le debe aplicar (Waddington & Chang,2002).

19

Figura 4. Tunneling de paquetes ipv6 a través de una red ipv4 (van Beijnum, 2006).

2.1.4 Redes Académicas

La red académica, puede concebirse como un mecanismo de apoyo, de intercambio deinformación y una comunidad de comunicación horizontal, cuya base es una red social, untejido, una madeja compleja en la que se sinergizan –a través de interacciones entre vínculos-dinamismos, intereses, fuerzas, energías y puntos de apoyo y encuentro (nodos), con elpropósito principal de dialogar, encontrar respuestas, construir conocimientos y unirse en labúsqueda o creación de soluciones respecto a una temática o problema (Reynaga Obregón &Farfán Flores Pedro Emiliano, 2004).

2.1.4.1 Red RUMBO

La Red Universitaria Metropolitana de Bogotá es la red conformada por un grupo deuniversidades de Bogotá con el fin de conectarse a la red RENATA para propiciar ycomunicar estrategias de colaboración entre la comunidad académica y científica deColombia, la comunidad académica internacional y los centros de investigación másdesarrollados del mundo (RUMBO, n.d.).

RUMBO actualmente cuenta con 32 universidades, 3 instituciones hospitalarias, 4centros de desarrollo tecnológico y 1 biblioteca como miembros de la red. Implementa unared alterna a la existente para Internet, utilizando como medio fibra óptica mono modo conanchos de banda de 30 y 100 Mbps.

2.2.4.2 Red RITA

La Red de Investigación de Tecnología Avanzada tiene como principal justificación, laconstrucción, dotación. administración y mantenimiento de una infraestructura para la Red deInvestigación de Tecnología Avanzada de Nueva Generación que le permita a la UniversidadDistrital iniciar el camino hacia la convergencia de redes y servicios, para fortalecer losprocesos académicos e investigativos e impulsar el desarrollo de la banda ancha, comoelemento fundamental para su interacción local y global con otras Universidades, centros deInvestigación, dentro de un entorno altamente eficiente, administrado y configurada porpersonal académico y de investigación de la Universidad, de acuerdo a los requerimientos ydemanda técnica de las nuevas tendencias tecnológicas (RITA, n.d.).

20

2.1.5 Software Libre

Se define como aplicaciones para las que sus desarrolladores ofrecen y garantizan las4 libertades básicas, como son, libertad de ejecutar, libertad de estudiar, libertad de distribuiry libertad de mejorar dicho desarrollo.

Estas libertades otorgan al usuario el poder de controlar el programa, para lo cual,individuos y colectivos se prestan a potenciarlo y mejorarlo. .

Se debe diferenciar Software Libre del FREEWARE, debido a que las distribucionesde Software Libre tienen un costo por lo general de cero, como lo es también el FREEWARE,pero este último no respeta las cuatro libertades.

2.1.6 CECAD

El CECAD nació con base en la necesidad del procesamiento a gran escala de datos,información y conocimiento en las distintas áreas del saber. Hará parte de un colaboratoriointernacional al cual se vincularon la universidad de Nuevo México en cabeza del Dr. RamiroJordan, de la Universidad del Sur de la Florida con el apoyo del Dr. Wilfrido Moreno y delCentro de Supercomputación de Barcelona con la colaboración del Dr. Mateo Valero.

El profesor José Nelson Pérez Castillo, Doctor en Informática de la Universidad deOviedo (España), ha dedicado su vida a aprender y compartir conocimiento en las áreas de laciencia que él puede soportar para fomentar de esta manera el crecimiento académico de laUniversidad Distrital y el desarrollo de la investigación a través del grupo GICOGE del cuales su Director.

Fue él quien a través de una de sus ex-alumnas obtuvo los equipos donados porimportantes empresas industriales y financieras del ámbito nacional, y el apoyo detransnacionales del ámbito informático y del hardware de computadores.

Estos equipos serán utilizados para la conformación de un laboratorio que hará partede la malla computacional académica para propósitos investigativos antes mencionados,donde se llevarán a cabo grandes procesos de datos en áreas del conocimiento tales comoInteligencia Artificial, agentes y multiagentes para el análisis espacial y planeación urbana,montaje de interfaces multimodales para la visualización de información geográfica,procesamiento de clasificación de imágenes con algoritmos genéticos y autómatas celulares,procesamiento de modelos de crecimiento urbano vía Jade y sistemas multiagentes medianteRepast Simphony y los demás que requieran alto poder de cómputo.

Este tipo de procesamiento genera grandes cantidades de datos, en especial losprocesos de simulaciones matemáticas, físicos, mecánicos, eléctricos, ciencias de laingeniería forestal, civil, etc., por lo que parte de ésta plataforma también tendrán la funciónde repositorio. El trabajo investigativo será adelantado por los grupos de investigación de laUniversidad Distrital y otras Universidades asociadas al proyecto.

2.1.7 Grupo de Investigación LÍDER

El grupo de investigación LIDER (Grupo de Investigación y Desarrollo enElectrónica y Redes) fue creado en el año 2007 e institucionalizado a través de Acta 005-09del Centro de Investigaciones y Desarrollo Científico (CIDC) de la universidad Distrital, ensesión realizada el 24 de Febrero del 2009, con el aval del Consejo de Facultad. Actualmenteestá conformado por su director el Ing. Msc Roberto Ferro, su codirector el Ing. Carlos

21

Martínez, docentes de la Universidad Francisco José de Caldas, estudiantes de doctorado ypregrado. El Grupo de Investigación se encuentra estrechamente ligado al Doctorado enIngeniería con un énfasis inicial en Ciencia y Tecnología de la información y delconocimiento, y la red RITA, convirtiéndose en un grupo de extensión en pregrado, dado quesus objetivos, misión y visión tienen un alto grado de afinidad.

2.2 Marco Legal y Normatividad

La normatividad en internet ha sido un tema de debates agitados, ya que toca temas defraude, difamación, calumnia, falsedad, la política fiscal, protección de la propiedadintelectual, incluyendo marcas comerciales y derechos de autor, la protección del consumidor,operativo políticas asociadas con la estabilidad y la integridad de DNS, protección de laprivacidad de la información personal recopilada por nombre de dominio registrados y deregistros, y políticas para la interceptación de correo electrónico, la comunicación VOIP,instantáneo mensajería y otras modalidades de comunicación (Cerf, 2004).

Además, como se quiere tener unas normas y reglas globales, muchas veces se tomanacciones que van en contra de la cultura, leyes y prácticas sociales de las personas (Cerf,2004). Es por esto que la reglamentación del uso de internet es un tema tan complicado demanejar, pero no por esto dejan de haber intentos por tener un poco de control en el uso de lared.

2.2.1 Normatividad Mundial

La ITU en la Conferencia Administrativa Internacional de Telegrafía y Telefonía de1988, desarrollo el tratado de normativas internacionales sobre telecomunicaciones ITR. ElITR tiene como objetivos “establecer principios generales relativos a la prestación y elfuncionamiento de servicios internacionales de telecomunicaciones ofrecidos al público, asícomo a los medios de transporte de telecomunicaciones internacionales subyacentesutilizados para prestar dichos servicios. También establecen normas aplicables a lasadministraciones” (UIT, 1988).

Las normativas, aunque amplias y de alto nivel, pretenden imponer unas normasobligatorias para todos los aspectos del intercambio internacional del tráfico detelecomunicaciones: ofrecen un marco de cooperación internacional en el que se alcanza lainteroperabilidad global. Las normativas, en la actualidad, se ocupan de problemas como losprecios y la contabilidad, la seguridad de la vida, la responsabilidad y los impuestos. Tambiénexiste una disposición sobre “Acuerdos especiales”. Ese texto ha sido importante en el rápidocrecimiento del intercambio de tráfico del Protocolo de Internet, el uso de redes privadasvirtuales y la oferta de servicios de valor añadido (Internet Society, 2012).

2.2.2 Normatividad en Colombia

La Ley 1341 de 2009 determina el marco general para la formulación de las políticaspúblicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones, suordenamiento general, el régimen de competencia, la protección al usuario, así como loconcerniente a la cobertura, la calidad del servicio, la promoción de la inversión en el sector yel desarrollo de estas tecnologías, el uso eficiente de las redes y del espectro radioeléctrico,así como las potestades del Estado en relación con la planeación, la gestión, la administraciónadecuada y eficiente de los recursos, regulación, control y vigilancia del mismo y facilitandoel libre acceso y sin discriminación de los habitantes del territorio nacional a la Sociedad de

22

la Información (Congreso de Colombia, 2009). De manera complementaria, en el 2010 nacióla propuesta política del Plan Vive Digital como estrategia público-privada para afrontar elreto de ampliar la cobertura y la penetración de la Banda Ancha, tanto para los hogares comopara las micro, pequeñas y medianas empresas del país (Gutiérrez Sánchez, 2011).

2.2.3 Política para la Seguridad de la Información de la Universidad Distrital

Dentro del planmaestro(http://rita.udistrital.edu.co/images/pdf/normatividad/pmit_ud.pdf) que tiene laUniversidad Distrital que rige a la red de investigación RITA, se destaca el uso de políticas deseguridad de la información la cual debe estar acorde especialmente con la ISO 27001.Además estas políticas deben estar alineadas con las políticas de seguridad de la informaciónque posee la Universidad Distrital (), las cuales indican que se debe tener un accesorestringido y controlado, además de documentar la configuración de las herramientas que seutilicen.

2.2.4 Norma ISO 27001

La norma ISO 27001 es un conjunto de estándares definidos por la organizacióninternacional ISO que proporcionan un marco para la gestión de la seguridad de lainformación. Su objetivo es el de definir los requisitos que se deben cumplir en la gestión dela seguridad de la información, para así establecer los controles de seguridad adecuados, loscuales se basan en la preservación de características de confidencialidad, integridad ydisponibilidad.

2.2.5 Norma ISO 27005

La norma ISO 27005proporciona las directrices para la gestión de riesgo de lainformación, donde se soportan los requisitos de un sistema de gestión de seguridad de lainformación. Esta norma toma en cuenta un análisis de riesgos, donde se identifican lasamenazas y vulnerabilidades relacionadas con el proyecto o la empresa.

2.3 Marco Conceptual

A medida que crecían las diferentes organizaciones a nivel mundial, lo hizo tambiénsu necesidad de comunicación, independientemente de la ubicación geográfica de socios oclientes, se necesitaba poder brindar acceso en algunos casos total a todos los recursos de lacompañía, sin comprometer en algún momento su seguridad y/o privacidad; todo esto debíalograrse de una manera eficaz y asequible, ya que contratar un canal dedicado de datos paraeste fin era muy costoso.

A partir de esta necesidad de comunicación y de ahorro de costos, nació la red privadavirtual o VPN, esta tecnología es capaz de simular la operación de una red de área extendidao WAN sobre Internet (Lee, Hwang, Kang, & Jun, 2000). Las VPN hacen uso de lainfraestructura física de la red pública existente, reemplazando de una forma más barata lascostosas líneas arrendadas para conectar puntos separados por una larga distancia.

Una característica importante sobre las VPN es su versatilidad al momento de serimplementadas, ya que se puede hacer sobre una variedad de redes públicas, no solo internet,como por ejemplo Frame Relay y redes ATM(Lee et al., 2000).

23

2.3.1 Introducción a las VPN

Para empezar tenemos que decir que las VPN funcionan como una red tradicional,que provee de interconectividad para poder intercambiar información entre varios usuariospertenecientes a una misma entidad. También hay que resaltar que es privada, las VPN tienentodas las características de una red privada; soporta una comunidad cerrada de usuarios,permitiéndoles todo el acceso a los servicios y recursos de la red. Además el tráfico privadode la red no es afectado, ni tampoco afecta a otro tráfico externo a esta, ya que el tráfico seorigina y termina en nodos que pertenecen a la red privada. Por último las VPN son virtuales,este tipo de topología existe o son construidas sobre redes compartidas existentes(Venkateswaran, 2001).

2.3.1.1 Arquitectura

Existen básicamente dos tipos de arquitectura para una VPN (Jaha, Shatwan, &Ashibani, 2008). Estos son:

• VPN de acceso remoto• VPN de sitio a sitio

Las VPN de acceso remoto permite acceder de forma segura a los recursos de lacompañía estableciendo un túnel encriptado a través de internet, aprovechando su ubicuidadjunto a las tecnologías actuales de VPN. Esta tecnología la utilizan las compañías que tienenempleados en sitios remotos quienes necesitan conectarse a la red privada. Para que laconexión sea realizada tanto cliente como servidor necesitan “hablar” el mismo protocolo deVPN (Joha, Shatwan, & Ashibani, 2007).

Las VPN sitio a sitio utiliza un equipo dedicado, en donde las compañías puedenconectar múltiple sitios, utilizando redes públicas, como internet. Estas VPN también sesubdividen en Intranet y Extranet.

Las VPN de Intranet se utilizan para la comunicación interna de una compañía quetenga oficinas en distintas ubicaciones geográficas y que requiera una solución de bajo costo.Un enrutador realiza la conexión VPN de sitio a sitio, conectando dos partes de una redprivada, en este caso la oficina central con las sucursales. El servidor VPN proporciona unaconexión enrutada a la red que está solicitando conectividad al servidor (Gonzales Morales &Hernandez Mendoza, 2006).

Figura 5. VPN de Intranet (Gonzales Morales & Hernandez Mendoza, 2006).

24

La infraestructura de las VPN de Extranet permite a vendedores, proveedores yconsumidores acceder a áreas específicas de la Intranet de la compañía (Venkateswaran,2001). Este tipo de VPN se puede implementar de mutuo acuerdo con entre miembros dediferentes organizaciones. Sin embargo las VPN de extranet son mucho más vulnerables enmateria de seguridad que las VPN de intranet, es por esta razón que su diseño debe ser másriguroso, estableciendo los métodos de control de acceso y autenticación necesarios, juntocon acuerdos de seguridad entre los miembros de la extranet (Gonzales Morales & HernandezMendoza, 2006).

Figura 6. VPN de extranet (Gonzales Morales & Hernandez Mendoza, 2006).

2.3.1.2 Topologías

De acuerdo a su arquitectura podemos encontrar diferentes tipos de VPN, tambiéndepende de las necesidades que necesitan suplir las compañías, se implementará alguna de lassiguientes topologías.

2.3.1.2.1 Topología Radial

Esta es la topología más común que podemos encontrar, ya que las sucursales remotasse encuentran conectadas a una oficina central; también conocida como hub and spoke enesta topología las oficinas (spokes) se conectan a una oficina central (hub) (Cosios Castillo &Simbaña Loachamin, 2004). Cabe anotar que los datos intercambiados entre oficinassucursales siempre viajan a través de la oficina central (Gonzales Morales & HernandezMendoza, 2006).

2.3.1.2.2 Topología de Malla Completa o Parcial

Este tipo de implementaciones es más común de ver en corporaciones que no tienenuna estructura jerárquica tan definida, ya que aquí las diversas redes LAN que pertenecen a lacompañía pueden realizar un intercambio de datos entre ellas sin la necesidad de pasar poruna oficina central (Gonzales Morales & Hernandez Mendoza, 2006).

Dependiendo de las necesidades que tenga la compañía de comunicar todas las redesde la compañía, puede implementar la topología de malla completa ya que esta permite quetodos los nodos se comuniquen entre sí, mientras que si se tiene la necesidad decomunicación sólo entre algunas redes se puede implementar la topología de malla parcial(Gonzales Morales & Hernandez Mendoza, 2006). La topología de malla completaproporciona mucha redundancia, pero debido a los costos de su implementación

25

generalmente se reserva únicamente para los backbone de la red (Cosios Castillo & SimbañaLoachamin, 2004).

2.3.1.2.3 Topología de Acceso Remoto

Este tipo de topología se basa en un enlace punto a punto, entre un usuario remoto y laoficina central. Este tipo de topología utiliza tunneling de tramas PPP, que se intercambianentre el usuario remoto y el servidor VPN que se encuentra en la oficina central. La conexiónque se establece entre usuario y servidor se basa en protocolos de capa 3 donde el más comúnes el protocolo IP, todo esto se hace sobre el tunneling PPP que permite el intercambio dedatos (Gonzales Morales & Hernandez Mendoza, 2006).

26

CAPITULO 3

3. Implementación

A continuación se desarrollará la metodología propuesta para lograr diseñar e implementar lapolítica de acceso segura a la red de investigación RITA mediante las prácticas de gestión deservicios de la información ITIL. Esta metodología como se indica en el párrafo anterior estabasada en la gestión de servicios de ITIL, es decir, que se usarán y adaptarán algunosprocesos de esta gestión de servicios para el desarrollo de este proyecto.

3.1 Estrategia

Antes de hacer cualquier cosa, es necesario hacerse unas preguntas, que cuyas respuestas nosdarán los argumentos principales que serán tomados en cuenta al momento de realizar losrequerimientos y luego la posterior implementación de la política de acceso segura a la red deinvestigaciones RITA.

¿Porque era necesario implementar una política de acceso segura basada en clientes VPN?Era necesario implementar una política de acceso seguro a la red de investigaciones RITAporque la red no contaba con una política de acceso remoto de usuarios, además a través deella se estableció una herramienta de transición entre redes IPv4 a redes IPv6.

¿Quienes son los usuarios?Inicialmente y para el alcance del proyecto eran usuarios de prueba, con los cuales se pudoverificar la funcionalidad del proyecto. Además estos usuarios eran los únicos con los cualesse realizaron pruebas, ya que en los objetivos del proyecto no está contemplado manejarusuarios finales.

¿Que tipo de datos se manejaron en la política de acceso segura a la red de investigacionesRITA?Debido a las características del proyecto, solo se manejo un tráfico de información quepermitiera comprobar la conectividad a redes IPv4 e IPv6, este tipo de datos son mensajesICMP de comprobación de conectividad en las redes.

¿Cómo se integró la política de acceso seguro a la red de investigación RITA?Esta política se integró mediante la implementación de un servidor VPN en los equipos alinterior de la red, que permite que clientes remotos VPN se conecten a este y a su vez a la redde investigación permitiéndoles así obtener la conectividad a redes IPv6, sin importar la reddesde la cual se conectan.

¿Que respuesta o resultados se obtuvieron?Los resultados que se obtuvieron al desarrollar este proyecto, fueron la implementación deuna herramienta de transición entre redes IPv4 e IPv6 de bajo costo, que permita a losmiembros de la comunidad académica acceder a las redes IPv6, sin importar donde esténconectados, además de brindar un acceso seguro a la red RITA para los miembrosinvestigadores de dicha red, al desarrollar una política de seguridad que está alineada con lanorma ISO 27001.

¿Que tipo de seguridad se utilizó en el proyecto?

27

La seguridad que se utilizó para la implementación de la herramienta consto de autenticaciónde los usuarios a través de certificados que se generaron a través del servidor de VPN, unavez el certificado sea validado, se dará acceso al usuario.

¿Qué recursos y capacidades fueron necesarias para mantener este servicio?Los recursos mínimos con los cuales se contó en el proyecto para lograr su funcionamientofueron: una máquina virtual que permite alojar el servidor de conexión VPN con el cual selogra establecer la conexión del cliente con la red interna de RITA, gracias a la herramientaseleccionada se pudo alojar en la misma máquina el servidor web que fue donde seimplementó el portal web para que los usuarios puedan comprobar su conectividad con lasredes IPv6.

Con estas preguntas resueltas, se pueden definieron los requerimientos para el proyecto. Conestas preguntas resueltas, se pueden definieron los requerimientos para el proyecto. Como loindica el proceso de Análisis de la fase de Estrategia de ITIL versión 3 a partir de lasrespuestas a las preguntas anteriores se formularon los requerimientos del proyecto. Estosrequerimientos se encuentran a continuación

3.1.1 Requerimientos del servicio

● Se requiere implementar una herramienta de transición que permita a usuariosremotos de la red de investigaciones RITA, conectarse a redes IPv6independientemente del tipo de red desde donde origina su conexión.

● Establecer usuarios únicos con el fin de probar esta herramienta, y además minimizarlos riesgos de ataques a la red por el ingreso de usuarios no autorizados

● Establecer un protocolo de integración entre la política de acceso segura a la red deinvestigaciones y la red RITA

● Se deben manejar herramientas de código abierto para asegurar un bajo costo deimplementación y para asegurar que se podrán hacer experimentos a partir delpresente proyecto

● Se debe asegurar la conexión, enrutamiento y acceso a una plataforma Web quecontará con herramientas para verificar la conectividad a redes IPv6

28

Tabla 1. Definición de tareas y plazos de acuerdo a los requerimientos.

29

Fase Objetivos Actividades Resultado

Estrategia

Diseño

Transición

Determinación de los requerimientos necesarios para el desarrollo de la política y su implementación

Establecer y determinar los requerimientos, además de asignar los recursos

Definición de tareas de acuerdo a los requerimientos

Implementar una política de acceso seguro mediante clientes VPN asegurando laconexión, enrollamiento y acceso a un portal de servicios sobre plataforma WEBa redes IPv6.

Revisión de la norma ISO 27001

Definición de la política de acceso segura a la red RITA

Revisión de las políticas de seguridad de la información de la universidad

Seleccionar una herramienta de software orientada a la conexión segura sobreuna red privada cumpliendo los estándares basados en las prácticas de gestiónITIL y los requerimientos basados en normas internacionales para acceder a lared de investigación avanzada RITA

Explorar soluciones de conectividad entre redes IPv4 e IPv6 Definir y configurar la

herramienta con la cual se desarrollara la implementación de la política de acceso seguro

Identificar herramientas que permitan la conectividad hacia redes IPv6 desde redes IPv4/IPv6 (VPNs)

Diseñar e implementar un protocolo de pruebas basado en la gestión y buenasprácticas de ITIL para evaluar el funcionamiento de la política de acceso segurosobre la red de investigación avanzada RITA

Definir la topología en la que probará el servicio de conectividad

Definición del plan de pruebas técnicas y funcionales

Establecer los usuarios de prueba con los que se desarrollaran las pruebas de la herramienta seleccionada

Documentar y analizar los resultados obtenidos en la implementación evaluandoparámetros de calidad de la conexión como lo son latencia, pérdida de paquetes,jitter, a través de la política de acceso seguro a la red de investigación RITA

Desarrollo de las pruebas técnicas y funcionales

Documentación de las pruebas técnicas y funcionales

3.1.2 Portafolio de servicio

Requisitos y especificaciones funcionales : Para que el servidor VPN funcionara de la mejormanera se hizo uso de una máquina virtual al interior de la red RITA, la cual aloja el servidorVPN, el cual permite la conexión, enrutamiento y conectividad de los usuarios con las redesIPv6. Además también esta máquina virtual debía alojar el servidor web, en donde funcionarael portal web donde los usuarios podrán comprobar la conectividad a las redes IPv6.

Descripción detallada del servicio: El servicio que se presta con la implementación delproyecto es el de una conexión remota de usuarios, la cual permite a los usuarios obtenerconectividad a redes ipv4 e IPv6 independientemente del tipo de red donde se encuentren,esto gracias a que se usa la conexión de la red y no la del usuario, guardando la seguridad eintegridad de los datos y servicios al interior de la red, gracias a la definición de una políticade seguridad.

Esta conectividad es brindada a través de un cliente VPN, que el usuario tendrá que instalaren su computador para poder comunicarse con el servidor VPN, que se encontrara en lasinstalaciones de la red de investigación RITA, una vez instalado el cliente, el usuario inicia lacomunicación con el servidor, el servidor preguntara por un certificado y una contraseña quepreviamente se ha debido otorgar, si el certificado y la contraseña son validadospositivamente, el usuario será redirigido a un portal web, donde encontrara las herramientasbásicas para comprobar la conectividad con redes IPv6, como lo son ping, tracert, lookup,etc. La conexión con la política de acceso se perderá si el usuario cierra su sesión o si registraun periodo de inactividad de 15 minutos. Si pasado ese tiempo desea volver acceder tendráque repetir el proceso anteriormente descrito.

Propuesta de valor añadido: Se definirá una política de acceso segura a la red deinvestigaciones RITA que será la base para definir y reglamentar el acceso a dicha red, ya quepor lo reciente de su implementación, no contaba con una política de acceso a los serviciosque se tienen en dicha red.

Además de garantizar el acceso a la red de investigación RITA y a los servicios que losadministradores de dicha red permite tener a los usuarios, se garantizará la interconexión conotras redes IPv6, esto sin importar si el usuario esté trabajando desde una red IPv4. Esto conel fin de implementar un método de transición entre redes IPv4 a IPv6, para los usuarios ymiembros de la Universidad Distrital. También se pretende que la política se establezca comouna herramienta para la investigación de alternativas de transición a redes IPv6.

Prioridad: La prioridad que se tiene con el presente proyecto, es garantizar el acceso ausuarios autorizados a la red de investigaciones RITA por medio del establecimiento de unapolítica de acceso segura, además de brindar conectividad a redes IPv6 a los usuarios una vezautenticados.

Riesgos: Los riesgos asociados al presente proyecto son los de fuga de tráfico VPN, ysuplantación de identidad, por lo que en la definición de la política se deben tener en cuentaestos riesgos y plantear soluciones para evitarlos.

30

Costes asociados: Los costes asociados son mínimos ya que uno de los requisitos del presenteproyecto es que se utilicen herramientas de código abierto, las cuales por su filosofía serángratis o de precio muy bajo. Los demás costes están implícitos en el funcionamiento de la redRITA, como lo son servicios de energía y conexión a internet.

3.2 Diseño

Luego de establecer los requerimientos del proyecto, se procedió a diseñar como tal lapolítica de acceso seguro a la red de investigación RITA. Esta política está unida a un plan deseguridad, el cual se desarrolla para ofrecer un servicio más efectivo sin riesgos en laseguridad.

Este plan se compone de un protocolo de implementación el cual permitirá que no se sufraningún riesgo en la seguridad de la red mientras se implementa la política de seguridad,además de una serie de pruebas y la respectiva documentación acerca del uso correcto de lapolítica de acceso seguro, esto con el fin de que los usuarios únicamente ingresen a la red dela forma indicada, para que puedan disfrutar de un óptimo servicio.

3.2.1Diseño de la política de acceso segura a la red RITA

Para establecer una política de acceso seguro a la red rita, y siguiendo los requerimientosestablecidos, se hizo una revisión de la norma internacional ISO 27001, en la cual se basanlas políticas de seguridad de la información que tiene la Universidad Distrital, de igual formala norma Colombiana también se rige bajo este estándar, por lo que su implementación estáalineada con las políticas de la nación y la universidad.

Al ser el objetivo de este proyecto establecer una política de acceso, segura a la red deinvestigaciones rita, y no el de establecer un sistema de gestión de seguridad de lainformación, se realizó un análisis de riesgo sumado a la política de acceso segura, que es laencargada de gestionar el riesgo que se genera al implementar una conexión remota con la redde investigaciones, este análisis de riesgos se hizo basados en la norma internacional ISO/IEC27005:2005, pero con la finalidad de desarrollar una política que pueda implementarse afuturo con un SGSI desarrollado por los administradores de la red.

De la norma internacional ISO/IEC 27001, se usaron solamente el dominio de control deaccesos, debido a que es el dominio que está enfocado al objetivo general del proyecto, elcual es establecer una política acceso segura para usuarios remotos. En la Tabla 2 se muestranlos objetivos que abarca este dominio

31

Tabla 2. Dominios y objetivos de la norma ISO 27001 a implementar.

3.2.1.1 Establecimiento del Contexto

La Red de Investigaciones de Tecnología Avanzada RITA de la Universidad DistritalFrancisco José de Caldas es una red académica que está comprometida con laimplementación, mantenimiento y soporte de una plataforma tecnológica de alta velocidad yservicios asociados, con el objetivo de fortalecer la ejecución de proyectos de investigación,la innovación científica, el desarrollo tecnológico, el apoyo a los procesos académicosbasados en entornos virtuales y la creación de nuevos protocolos y estándares paraintercambio de información entre comunidades académicas, científicas e investigativas de laciudad, la región y el país.

En este momento la red no cuenta con una forma de establecer conexiones remotas con losmiembros de la comunidad académica, lo cual obliga a los usuarios a estar dentro del campuspara lograr acceder a los servicios que presta la red actualmente.

De acuerdo a lo anterior se requiere implementar un mecanismo para que los usuarios puedanacceder de forma remota, sin que esto comprometa los activos de la red, ni de la universidad.El presente proyecto plantea la implementación de un servidor VPN dentro de la red para que

32

Numero Nombre Descripción / Justificación9 Control de Acceso

9.1 Objetivo: Limitar el acceso a información

9.1.1

9.1.2

9.2

9.2.1

9.2.2

9.3

9.3.1

Requisitos del negocio para el control de acceso

Política de control de acceso

Control: Establecer y documentar una política de control de acceso con base a la seguridad de la información que maneje la universidad

Política sobre el uso de los servicios de red

Objetivo: Solo se permitirá el acceso a la red mediante la política de acceso segura a la red de investigaciones a los usuarios que hayan sido autorizados específicamente

Gestión de acceso a usuarios

Objetivo: Asegurar el acceso a usuarios autorizados

Registro y cancelación de usuarios

Control: Definir un proceso de registro y cancelación de usuarios, para posibilitar los derechos de acceso a la red de investigaciones

Suministro de acceso a usuarios

Control: Definir un proceso de suministro de acceso a los usuarios autorizados, para dar o quitar el acceso a dichos usuarios

Responsabilidades de los usuarios

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación

Uso de la información de autenticación secreta

Control: Definir reglas a los usuarios autorizados para ingresar a la red de forma remota para el uso de la información de autenticación secreta

los usuarios remotos tengan una forma de conectarse a la red y así poder acceder a losservicios que presta la misma.

Debido a que la conexión por medio de la topología cliente-servidor de una red VPN se debehacer utilizando las redes públicas (Internet), es necesario establecer controles y mecanismosde seguridad, que prevengan y protejan la red de ataques maliciosos, que tengan comofinalidad afectar los activos de la red y/o la universidad.

Criterios de evaluación del riesgoDebido a la naturaleza del proyecto, los criterios que se escogieron para evaluar los riesgosson los siguientes:

● Bajo: No produce alteraciones al funcionamiento de los servicios de la red, ni a la red misma

● Medio: Produce alteraciones de funcionamiento a los servicios de la red, pero no al funcionamiento de la red misma

● Alto: Produce alteraciones al funcionamiento de los servicios de la red, y al funcionamiento de la red misma

3.2.1.2 Alcance y Límites

El alcance del proceso de gestión del riesgo dentro de este documento llega hasta la ejecucióndel análisis de riesgos para el proceso de conexión remota a la red de investigaciones RITA,que estará limitado a la Política de acceso segura que se desarrollará posteriormente en estedocumento.

3.2.1.3 Valoración de Riesgos Tecnológicos

Los activos pueden ser cualquier cosa que genere valor para la organización y que se debanproteger, en ese orden de ideas, a continuación se identificaron los activos que se quierenproteger con la implementación de la política de acceso segura a la red de RITA, así como lasdebilidades que se tienen, junto con las posibles amenazas que puedan surgir.

El criterio para tasar los activos se muestra en la tabla 3

Grado de Impacto Valor

Muy Bajo 1

Bajo 2

Medio 3

Alto 4

Muy Alto 5

Tabla 3. Criterio de impacto para tasación de activos

33

Luego, se tasan los activos dependiendo su grado de impacto en cada una de lascaracterísticas que debe tener la información, que son confidencialidad, integridad ydisponibilidad, luego se suman y se dividen por tres.

Tabla 4. Tasación de activos inmersos en el proyecto

3.2.1.4 Identificación de Amenazas

Las vulnerabilidades se ven como debilidades de seguridad en el sistema asociadas, a losdiferentes activos de la información que posea la organización, y se pueden clasificar de lasiguiente forma:

● Seguridad de Recursos Humanos● Control de Acceso● Seguridad Física y Ambiental● Gestión de Operaciones y Comunicación● Mantenimiento, Desarrollo y Adquisición de Sistemas de Información

En el caso del proyecto, solo se tomarán en cuenta las asociadas a recursos humanos, controlde acceso y seguridad física y ambiental.

3.2.1.5 Identificación de Vulnerabilidades

Una vez identificadas las amenazas, podemos listar las vulnerabilidades, ya que se requiereuna amenaza para que exista una vulnerabilidad. Estas vulnerabilidades se pueden relacionaren algunas ocasiones a las propiedades del activo.

34

Activos Propietarios Confidencialidad Integridad Disponibilidad TotalServidor VPN Administrador de la Red 5 5 5 5Switches Administrador de la Red 1 1 5 2Routers Administrador de la Red 1 1 5 2

Tabla 5. Identificación de Vulnerabilidades

Una vez identificadas las vulnerabilidades, se debe evaluar la posibilidad de que cada una deellas ocurra, para esto se define la Tabla 6:

Tabla 6. Establecimiento del criterio de la probabilidad de ocurrencia

Una vez establecido el criterio, el siguiente paso es realizar la matriz de riesgos, donde seidentifican las vulnerabilidades con una probabilidad de ocurrencia alta, para así tomaracciones y evitar que sucedan.

35

Tipo Vulnerabilidades Amenaza

Espionaje Remoto

Piratería

Accesos no Autorizados

Suplantación de Identidad

Software Malicioso

Fallas TécnicasFalla del equipo

Saturación del Sistema

Compromiso de la información

Ausencia de Políticas de seguridad

Transferencia de contraseñas

Transferencia de contraseñas

Ausencia de Políticas de seguridad

Descarga y uso no controlado de software

Falta de planes de mantenimiento

Gestión inadecuada del servicio

Valor Probabilidad de ocurrencia

1 Muy Baja

2 Baja

3 Media

4 Alta

No existen condiciones que permitan que el situación se presente

Hay una posibilidad muy pequeña de que la situación se presente

Hay una posibilidad de que la situación se presente,

Se presentara el hecho, ya que no existen condiciones que lo impidan

Tabla 7. Matriz de Riesgo

Luego de obtener la matriz de riesgo se analizan los resultados comparándolos con la matrizde probabilidad/impacto

Tabla 8. Matriz de probabilidad/Impacto

Dado que los niveles aceptables de riesgo van de uno (1) a cinco (5), y que en la matriz deriesgo que se realizó solamente se obtienen valores que superan el nivel de riesgo aceptable,confirma la necesidad de implementar la política de acceso seguro a la red de investigacionesRITA.

A continuación se desarrolla la política conforme a los resultados del análisis de riesgorealizado para el acceso remoto a usuarios a la red RITA. Esta política consta de unasdisposiciones generales, responsabilidades, procedimientos, adicionalmente se propone unavigencia que deberá ser estudiada por los administradores de la red, para que se implementeen su totalidad.

|

3.2.2 Política de Acceso Remoto

36

Matriz de análisis de riesgo Posibilidad de amenaza

Activos

Espio

naje

Remo

to

Pirat

ería

Acce

sos n

o Auto

rizad

os

Softw

are M

alicio

so

Falla

del e

quipo

Satur

ación

del S

istem

a

4 4 3 2 4 3 2Servidor VPN 4 16 16 12 8 16 12 8Switches 4 16 16 12 8 16 12 8Routers 4 16 16 12 8 16 12 8Sistema operativo 4 16 16 12 8 16 12 8Administrador 3 12 12 9 6 12 9 6Usuarios 3 12 12 9 6 12 9 6Personal de mantenimiento 4 16 16 12 8 16 12 8

Magnitud de Daño [ 1= Insignificante; 2= Baja; 3= Media;

4= Alta] Supla

ntació

n de

Iden

tidad

Pro

babi

lidad 4 4 8 12 16 20

3 3 6 9 12 152 2 4 6 8 10

1 1 2 3 4 5

1 2 3 4 5

Impacto

3.2.2.1 Disposiciones Generales

1. Todo miembro de la comunidad académica de la Universidad que requiera conectarse de forma remota a la Red por medio de la política de acceso segura, deberá diligenciarla solicitud de acceso remoto, para su respectiva autorización.

2. Una vez autorizado el acceso remoto a la red por medio de la política de accesosegura, deber seguir las instrucciones de conexión a la red que se encuentran anexas aldocumento.

3. El acceso remoto a la red por medio de la política de acceso segura, se realizará por medio de una VPN.

4. Cualquier usuario autorizado ya sea estudiante, docente o administrativo, perteneciente a la comunidad universitaria, deberá proteger los recursos de la universidad en todo momento.

5. Todo acceso autorizado a la red por medio de la política de acceso segura, deberá eliminarse una vez el trabajo a realizar sea finalizado.

6. Está prohibido el uso de herramientas de hardware o software para violar los controlesde seguridad de la política de acceso segura a la red.

7. No se debe escribir, generar, copiar, ejecutar o introducir cualquier tipo de código o programa conocido como virus, malware, spyware o similares diseñado para afectar a los equipos o el desempeño de la red.

3.2.2.2 Responsabilidades

1. Los administradores de la Red tendrán la responsabilidad de: a. Mantener los recursos tecnológicos que se necesiten para que la universidad

pueda proveer el servicio de acceso remoto a la redb. Ofrecer apoyo a los usuarios autorizados, para que puedan establecer la

conexión remota con la red de acuerdo con las normas de seguridad establecidas

c. Dar mantenimiento adecuado a la herramienta que utiliza la política de acceso segura, para que esta funcione correctamente

d. Recibir y evaluar solicitudes de acceso remotoe. Monitorear la red de forma que se puedan detectar intentos de acceso no

autorizadosf. Identificar actividad inusual en el servicio de acceso remoto, como :

i. múltiples conexiones de una misma cuenta a la vezii. tráfico inusual, uso de ancho de banda excesivo, tráfico fuera de horas

si es el caso2. Los directores de dependencia, grupo de investigación o directores de oficinas tendrán

la responsabilidad de: a. Solicitar el acceso remoto, utilizando la plantilla de solicitud de acceso

remoto, justificando la necesidad del solicitante para que se le provea el servicio.

3. Todo usuario que requiera conectarse a la red de forma remota tendrá la responsabilidad de:

37

a. Solicitar el acceso remoto a la red, al director de la dependencia, grupo de investigación o director de la oficina correspondiente

b. Hacer uso adecuado del recurso de acceso remoto a la red de acuerdo con las políticas y regulaciones de la Universidad

c. Asegurarse de que personas ajenas a la comunidad universitaria no utilicendicha conexión para lograr acceso a los recursos de la universidad

3.2.2.3 Procedimientos

1. Activación y terminación de cuentasa. El administrador de la red o un delegado creará la cuenta de usuario, una vez

que reciba la solicitud autorizada por los directores de dependencia, grupo de investigación o directores de oficinas.

b. El administrador o delegado de la red notificará a la persona solicitante las claves y certificados de acceso correspondientes, junto con un manual de acceso a la red de forma remota.

c. El administrador o delegado de la red inhabilitará la cuenta del usuario, cuando los directores de dependencia, grupo de investigación o directores de oficinas soliciten la desactivación, o cuando el administrador de la red detecte alguna actividad sospechosa

2. Conexión a la red de forma remotaa. Al usuario que se le ha dado autorización, deberá seguir el manual de

conexión a la red de forma remota que contiene en detalle la forma de conexión que se describe a continuación:

i. Obtener las claves y certificados de acceso remoto mediante un cliente VPN, las cuales las dará el administrador o delegado de la red.

ii. Instalar un cliente de OpenVPN, por el medio del cual se realizará la conexión de forma remota.

iii. Configurar la sesión de usuario con los certificados otorgados por el administrador o delegado de la red

3.2.2.4 Vigencia

Estas normas y procedimientos entrarán en vigencia una vez sean aprobadas por eladministrador de la red, y las entidades de regulación de políticas de seguridad informática dela Universidad Distrital.

Con esta política se pretende establecer una cultura que asegure que la información de la redtendrá un manejo adecuado.

Para la adecuada implementación de posteriores políticas que están alineadas en el marco dela norma ISO 27001, se necesita que todas las personas pertenecientes a la red seanconscientes de que la información debe tener un manejo adecuado y que se comprometan acumplir y seguir las normas que se establezcan con la política desarrollada en este proyecto.

38

3.2.3 Protocolo de implementación

El primer paso de acuerdo a los requerimientos del proyecto, fue explorar las diferentesalternativas que se tenían a la mano para brindar conectividad desde redes ipv4/ipv6 a redesipv6 que son principalmente las redes académicas.

Conforme al marco teórico existen dos principales tipos de alternativas para que coexistan lasredes IPv4 e IPv6, estas dos alternativas son el esquema Dual Stack y el Tunneling otunelamiento. Para el primer esquema es necesario trabajar con equipos que soporten los dosprotocolos, y para lograrlo se requiere de una inversión que por las características delproyecto no se puede realizar.

El tunelamiento es usado para llevar paquetes IPv6 a través de las redes IPv4 y viceversa através de un encapsulamiento que se realiza al inicio del túnel. Su inconveniente son lasdirecciones finales, ya que se debe definir a qué paquetes hacer la encapsulación y en dondehacerla. Pero la idea general de permitir que paquetes de tipo IPv6 viajan a través de una redIPv4 que sería el escenario general de la actualidad, permite desarrollar el concepto de lapolítica de seguridad que se maneja en este proyecto.

Utilizando una VPN se pueden encapsular los paquetes para que viajen de forma segura através de internet, y convirtiendo al servidor de la VPN que se encuentra inmerso dentro de lared de investigación RITA, la cual cuenta con conectividad IPv6, se convirtió al servidor en elnuevo gateway del usuario. Una vez realizada la conexión con la VPN, los paquetes deinformación del usuario, se enviaran a través de la VPN, y está al contar con conectividadIPv6 permitirá al usuario disfrutar de esta conectividad.

Ya definida la alternativa a utilizar, se procedió a explorar las diferentes herramientas quepermitieran ejecutar tareas de servidor de VPN y Gateway a la vez. De esta exploración seeligieron finalmente dos herramientas que contaban con las características necesarias paracumplir con las funciones establecidas: IPCop y Zentyal.

39

Tabla 9. Características de las herramientas Zentyal vs IPCop

La Tabla 9 muestra un comparativo entre las dos herramientas, se decantó por Zentyal, ya queofrece una administración más sencilla, y puede configurarse para agregar o quitar móduloscuando se necesite, además de poder conectar más redes si se vuelve necesario.

3.2.3.1 Configuración de Zentyal

Una vez instalado Zentyal, nos dispondremos a configurar sus módulos para que la políticade acceso segura trabaje sin ningún inconveniente. A continuación se detalla la configuraciónutilizada.

El primer paso es establecer la configuración de red de Zentyal, ya que con ella es quepodremos establecer la conexión entre los clientes (usuarios) y el servidor. Esta configuraciónla podemos realizar entrando al menú de Red > Interfaces, allí encontraremos las tarjetas dered que tiene instalada la máquina, en nuestro caso particular, tenemos 1 tarjeta de red virtualllamada eth0 conectada a la red por medio de una interfaz virtual en puente, que permite lacomunicación entre la red en la que se encuentra el servidor físico y nuestra máquina virtual.A esta interfaz podemos ponerle un nombre si resulta más cómodo, pero en nuestro caso ledejaremos el nombre que trae por defecto.

Como es nuestra única interfaz de red, marcamos la casilla como Externo (WAN), esto se hacepara indicar que esa interfaz está conectada al router que conecta la red a Internet. Finalmente

40

Características Zentyal IPCop

Sistema Operativo Basado en Linux Basado en Linux

Licencia GNU GNUInterfaz de aplicación Fácil FácilIdiomas disponibles Varios Idiomas Varios IdiomasAdministración Web Si SiExtensión Mediante Módulos Mediante Módulos

Altamente Configurable Altamente Configurable

Servidor VPN Si SiGateway Si Si

Protocolos IPSec, OpenVPN

Certificados Exporta solo certificados

Monitor de trafico Si Si

Monitor de clientes VPN Si No

Conexión host a Red Si SiConexión Red a Red Si No

Configuración de módulos

OpenVPN, IPSec, PP2T

Exporta certificados y cliente OpenVPN para

Windows

establecemos la dirección IP que tendrá el servidor VPN, junto con su respectiva mascara dered. Una vez configurado hacemos clic en el botón Cambiar y luego en Guardar Cambiospara que estos queden persistentes, de lo contrario se debe configurar de nuevo la interfaz.

Figura 7. Configuración de la interfaz de red de Zentyal.

Luego se debe configurar la puerta de enlace de nuestro servidor, esto lo podemos hacermediante el menú de Red > Puertas de Enlace, allí encontraremos un botón que dice añadirnuevo, cuando se hace clic se despliega un formulario el cual contiene un check para indicarsi se habilita la puerta de enlace, se define un nombre y la dirección IP que tiene dentro de lared, se escoge un peso si se cuenta con más de 1 router dentro de la red y finalmente si seestablece como puerta de enlace predeterminada. Una vez finalizada la configuración se daclick en el botón Añadir y luego en Guardar Cambios .

41

Figura 8. Configuración de la puerta de enlace de Zentyal

Una vez hecha la configuración de Red, se debe indicar la dirección de uno o mas servidoresde nombres o DNS, esto con el fin de que el sistema sea capaz de resolver nombres dedominio. Es recomendable usar los DNS de Google, ya que tienen una muy buenadisponibilidad.

Figura 9. Configuración de servidores DNS de Zentyal

Para que los usuarios remotos puedan ver todos los recursos de la red, debemos crear unObjeto de Red, estos son abstracciones de alto nivel que se crean para que representen unelemento o conjunto de elementos dentro de una red, con el fin de facilitar la configuración ygestión de todos ellos.

42

Figura 10. Configuración de objetos de red de Zentyal.

Una vez creado el objeto se añaden miembros a este, los miembros son las subredes oequipos que se quieran ver dentro de la red, en nuestro caso vamos a añadir la red en la que seencuentra nuestro servidor.

Figura 11. Adición de miembros al objeto de red de Zentyal.

Ahora es necesario crear un certificado para nuestro servidor VPN, esto lo podemos hacer enel módulo Autoridad de Certificación, cuando accedemos a él encontraremos un formulario,que nos pedirá el nombre y el número de días para expirar, y como especificacionesopcionales podemos ingresar el código del país, la ciudad y el estado.

43

Figura 12. Expedición del certificado de la Autoridad de Certificación en Zentyal.

Una vez expedido el certificado de autoridad, se puede crear el servidor VPN, esto se hacesolo indicando el nombre del servidor.

Figura 13. Servidor VPN en Zentyal.

Para habilitar el servidor, se debe expedir el certificado para el servidor VPN, esto se haceingresando un nombre común y un número de días para expirar el certificado, sino se expideel certificado para el servidor VPN, este no podrá ser habilitado. Luego de expedirse, elcertificado entrara a la lista de certificados, cabe aclarar que estos certificados se puedenrevocar en cualquier momento, al igual que se puede cambiar su fecha de expiración.

44

Figura 14. Expedición certificado para el servidor VPN en Zentyal

Con el certificado del servidor VPN expedido solo basta con habilitarlo en el checkbox y el servidor estará habilitado para funcionar.

Figura 15. Habilitación del servidor VPN en Zentyal.

Antes de que funcione, se deben configurar las opciones con las cuales trabaja el servidor.Por defecto el servidor trabaja con el protocolo UDP en el puerto 1194, se utiliza UDP porqueal no ser orientado a la conexión hay menos peligro de que se rastree la información de la redsi interceptan algún paquete de datos. Se debe especificar una dirección de red, esto con el finde asignarle una nueva dirección privada a los clientes VPN (usuarios), por lo tanto ladirección que se especifique no debe solaparse con otra que esté siendo usada en la redinterna.

45

Se debe seleccionar el certificado del servidor VPN, que se creó anteriormente, sin estecertificado el servidor no puede funcionar. La opción de nombre común establece que losusuarios se podrán conectar solamente si su certificado contienen el nombre comúnespecificado, en nuestro caso será el de vpn-Politicaacceso.vpn.

Se habilita la interfaz TUN, para que se cree un túnel con la información cifrada a través delas redes públicas con el fin de que no puedan hacer uso de los datos de los clientes. Sehabilita la opción de traducción de direcciones NAT ya que nuestro servidor VPN no es lapuerta de enlace por defecto.

Figura 16. Configuración del servidor VPN en Zentyal.

Establecemos que el servidor escuche todas las interfaces de red, esto con el fin de si secambia la interfaz de red del servidor, no afecte el funcionamiento del servicio. Finalmenteestablecemos que el servidor va a ser la nueva puerta de enlace de los clientes, esto se hacecon el fin de redirigir todo el trafico a través del servidor, para que las peticiones hacia redesIPv6 puedan ser resueltas por el servidor VPN y no por el router propio del cliente.

46

Figura 17. Configuración del servidor VPN en Zentyal

Ahora se deben anunciar las redes que podrán ver los clientes una vez accedan con laconexión remota, estas redes las configuramos en la lista de objetos que se mencionóanteriormente. Si es necesario anunciar más redes, se puede hacer, solo basta con crear losobjetos y luego añadirlos a la lista de redes anunciadas.

Figura 18. Redes anunciadas para el servidor VPN en Zentyal.

Finalmente se pueden configurar los clientes, Zentyal genera paquetes de instalación queincluye el archivo de configuración VPN específico para cada usuario, el usuario debe contarcon un certificado ya expedido, sino se tiene que generar el certificado, el cual solo requiereel nombre y los días de expiración. Una vez obtenido el certificado se puede generar elpaquete de configuración para el cliente. Este archivo se genera en la opción Descargarpaquete de configuración cliente en el módulo de VPN. El paquete especifica el tipo desistema operativo que tiene el cliente, el nombre del certificado del cliente, existe la opciónpara usuarios del sistema operativo windows, de descargar el instalador de OpenVPN, seselecciona la estrategia de conexión en aleatorio, y por último se ingresa la dirección onombre de host con la cual los clientes se conectaran con el servidor VPN, luego se ingresa ladirección donde esta alojado el servidor VPN.

Una vez se completa la configuración del servidor, solo resta hacer la configuración de losclientes, con los cuales los usuarios obtendrán el acceso remoto. Esta configuración se logragracias a los certificados que se descargan desde el servidor de VPN, para esto se debeindicar el tipo de sistema operativo y el certificado a descargar, que sera el de la política deacceso.

47

Figura 19. Descarga de certificados de acceso a través de VPN en Zentyal.

Una vez se descargan los certificados solamente resta configurar el cliente de VPN para asíobtener la conexión con la red RITA, en el anexo X se presenta la forma de configurar elcliente para sistemas operativos Linux y Windows que son los más comunes entre lacomunidad académica.

3.3 Transición

Luego de completar la configuración del servidor, se desarrolló un protocolo de pruebas paraanalizar los parámetros de conexión a la red en términos de calidad de conexión, para estoprimero se definió la topología en la cual se desarrollaron las pruebas, está relaciona alusuario remoto que usará como medio de conexión las redes públicas (Internet) para alcanzarel servidor VPN, y a través de el lograr la conexión con la red de investigación RITA.

Este protocolo de pruebas consta de:1. Definición de la topología de prueba2. Realización de pruebas técnicas

a. Comprobación de la correcta instalación del servidor VPNb. Acceso por todos los puertos solicitadosc. Correcta configuración del servidor VPNd. Pruebas de conexión del servidor VPN a redes IPV6

3. Realización de pruebas funcionalesa. Funcionamiento de la plataforma web de pruebas de conexión

48

Figura 20. Topología de la red de prueba de acceso remoto

3.3.1 Pruebas técnicas

Correcta instalación de la herramienta de código abierto seleccionada: Para la instalación dela herramienta seleccionada, primero se instalo y configuro en una máquina virtual, haciendolas pruebas locales, donde luego de funcionar correctamente se exporto la imagen deextensión .img para que fuera compatible con la herramienta de virtualización utilizadadentro de la red RITA, la cual es KVM, una vez exportada e instalada correctamente, seprocedió a solicitar los permisos de acceso a puertos con el administrador de la red, estospuertos fueron los 23409, 23410, 23420, 1194 y 23424, los cuales se solicitaron para obteneracceso ssh (23409), el cual se utilizó para realizar las configuraciones que no se pudieronrealizar por medio de la administración web, las cuales fueron la creación y configuración delos archivos hooks, que permiten al servidor no perder la configuración IPv6.

Figura 21. Conexión por medio de ssh al servidor VPN.

49

El acceso web (23410), sirve a los usuarios remotos para hacer la comprobación deconectividad a redes IPv6, ya que se desarrolló una plataforma web, donde pueden hacerpruebas a cualquier host que se encuentre dentro de las redes IPv4 o IPv6 y así comprobar laconexión. Esta plataforma permite hacer pruebas de ping, traceroute y nslookup para verificarla velocidad de conexión, perdida de paquetes, ruta hacia el host e información del hostelegido.

Figura 22. Plataforma web de pruebas de conexión a redes.

El acceso a la herramienta de administración vía web (23420), se solicitó con el fin deconfigurar el servidor VPN de forma remota, esto con el fin de que se pueda realizarcualquier cambio si tener que ir hasta el servidor físico.

Figura 23. Administración web del servidor VPN.

50

El acceso para el túnel VPN (1194), se solicitó con el fin de que los usuarios remotospudieran conectarse con el servidor VPN y así obtener la conectividad que brinda la redRITA, ya que sin este permiso no se podría obtener un acceso remoto.

Figura 24. Conexión a través de la VPN

Finalmente el acceso para la administración de las interfaces de la herramienta vía web(23424). Este acceso se solicite con el fin de controlar las interfaces de red del servidor VPN,además con tener una administración del modulo de red más amigable, ya que desde estaherramienta se pueden modificar además de las interfaces, los servidores DNS, gateways yservidor web que se tenga instalado.

Figura 25. Administración vía web Webmin

Con el acceso a estos recursos se pudo comprobar el correcto funcionamiento de los puertoshabilitados en el firewall, y así el correcto funcionamiento de la configuración del servidorVPN a nivel de instalación.

51

3.3.2 Verificación de la configuración de la herramienta

Luego de instalar el servidor VPN en el servidor virtual al interior de la red RITA, se dispusoconfigurar las interfaces de red, esto debido a que antes de la instalación al interior de la redRITA, la configuración de las interfaces de red estaban con direcciones locales, con el fin derealizar pruebas en la herramienta antes de la instalación e implementación final.La interfaz de red eth0 se configuró con los siguientes parámetros:

● dirección IPv4: 172.16.5.188● dirección gateway IPv4: 172.16.5.1● dirección IPv6: 2008:14::CE5E::188/64● dirección gateway IPv6: 2008:14::CE5E:1

Para la configuración de IPv6 en la interfaz de red fue necesario hacer uso de los archivoshooks, para la configuración del módulo de red, estos archivos permiten establecer unaconfiguración del módulo de red antes y/o después de establecer una configuración delmódulo, de igual forma también funciona los archivos para configurar antes y/o después deencender el servicio de red.

Esto debido a que la herramienta al apagarse reiniciarse o guardarse algún cambio que afectecualquier módulo del sistema, reescribe todos los módulos que se tengan habilitados en esemomento, es decir que una configuración normal del archivo interfaces no funcionaria debidoa esta característica de la herramienta.

Figura 26. Configuración del archivo hook post configuración del modulo de red.

Una vez configurados estos archivos hooks del módulo de red, se comprobó la conexión aredes IPv6 por medio de los comandos de ping y traceroute. Estas pruebas también validan laconexión que tiene el servidor a redes externas que manejan el protocolo IPv6.

52

Figura 27. Prueba de ping6 a servidor de Google.

Figura 28. Prueba de traceroute6 a servidor de Google.

Correcto funcionamiento de las herramientas del portal web para comprobar conectividadentre redes.

Debido a que los usuarios finales a los que va dirigido este proyecto muchas veces no sabencómo ejecutar un comando que pruebe la conexión de la red, se desarrolló una plataformaweb donde encontraran una forma sencilla y simple de ejecutar esos comandos sin necesidadde ingresar a la consola del equipo.

Esta plataforma está alojada en un servidor web junto con el servidor VPN, esto fue posiblegracias a que la herramienta seleccionada Zentyal, permite habilitar varios módulos entreellos, el módulo de servidor VPN y el módulo de servidor WEB. Además se habilito el accesoa esta plataforma a través del firewall de la red RITA, por lo cual simplemente se debeingresar la url http :// rita . udistrital . edu . co :23410

53

Allí el usuario encontrará un menú donde se mostrarán las herramientas con las que podrácomprobar la conexión a redes con la que podrá contar si accede a través del acceso remotopor medio de VPN, cumpliendo con la Política propuesta en este documento.

Figura 29. Plataforma Web para comprobación de conexión a redes.

3.3.3 Pruebas funcionales

Funcionamiento del portal web: Una vez que el usuario remoto ha ingresado por el servidorde VPN, tendrá conectividad a internet a través del mismo servidor, ya que al momento deingresar, este se convierte en la puerta de enlace hacia otras redes. Esto se hizo con el fin deque todo el tráfico generado por el usuario remoto, pase por el servidor, y así se pueda tenerun monitoreo de la red constante, durante todo el tiempo que el usuario esté conectado.

Pero debido a que no todos los usuarios finales saben comprobar la conexión a un redmediante la ejecución de comandos de red, se decidió implementar la plataforma web, quetiene la misma conexión a redes que el usuario que ha ingresado a través de la VPN. Estaplataforma consta de una página de Inicio donde se explica que hace cada comando, y luegose tiene una página por los tres comandos donde se muestran las opciones de elegir en quétipo de red (IPv4 o IPv6) se quiere realizar la prueba, y el cuadro de respuesta que arroja laejecución del comando.

Se usan tres comandos los cuales son: Ping, Traceroute y NsLookup, el primero nos indica eltiempo de respuesta desde nuestra máquina, hasta la que queremos hacer la prueba, tambiénnos indica si se perdieron paquetes durante la prueba y al final se muestra un resumen deltotal de la prueba. En segundo lugar tenemos el Traceroute, este comando nos muestra la rutadesde nuestra máquina hasta el host de destino, esta ruta muestra los saltos que tienen que darlos mensajes antes de llegar al destino.

Finalmente tenemos el NsLookup, este comando nos muestra el servidor DNS donde seencuentra almacenada la información del host, además de información adicional sobre el hostdel cual estamos haciendo la consulta.

54

Figura 30. Página de prueba de conexión con el comando ping.

Figura 31. Página de prueba de conexión con el comando TraceRoute.

55

Figura 32. Página de prueba de conexión con el comando DNSLookup.

Se realizaron estas mismas pruebas de ping, traceroute y lookup desde la consola del equipo remoto, para comprobar que efectivamente la puerta de enlace es el servidor VPN, y que este es que brinda la conectividad al usuario una vez se establece la conexión.

Figura 33. Prueba de ping con usuario remoto conectado a VPN.

En la prueba de traceroute presentada en la Figura 34, se puede apreciar que los datos salenpor el gateway de la VPN, que es nuestro servidor, comprobando que una vez el usuarioremoto se conecta a la VPN, esta se convierte inmediatamente en el gateway de enlace a otrasredes.

56

Figura 34. Prueba de traceroute con usuario remoto conectado a VPN.

Figura 35. Prueba de NSLookup con usuario remoto conectado a VPN

Finalmente se hicieron prueba de conexión donde se encontró que la conexión por medio dela VPN funciona correctamente al nivel de una conexión de internet normal ya que por logeneral una conexión de banda ancha actual tiene una respuesta de los paquetes enviados dealrededor de 60-100 ms.

Pruebas Tiempo de respuesta promedio Pérdida de paquetes Jitter

50 paquetes 71.523 ms 0 10 ms

100 paquetes 73.924 ms 0 12 ms

150 paquetes 74.182 ms 1 11 ms

57

200 paquetes 75.364 ms 3 10 ms

300 paquetes 75.490 ms 3 11 ms

400 paquetes 76.234 ms 5 12 ms

Tabla 10. Resultados de las pruebas de ping, jitter y pérdida de paquetes a través de la VPN.

58

CAPITULO 4

4. Análisis de resultados

De acuerdo a la tabla 10 de las pruebas de latencia, pérdida de paquetes y jitter, se puedeobservar que el servidor VPN trabaja como si fuera una conexión común de internet, esto esdebido a que los resultados demuestran que a nivel de conexión no se sufre ninguna pérdidasignificativa, en cambio se gana la posibilidad de conexión a redes IPv6 sin necesidad deimplementar un sistema de transición de redes.

Esto es realmente bueno ya que la idea de que el servidor VPN sea el gateway del usuarioremoto, es con el fin de poder monitorear su trafico en la red, y al no sacrificar la velocidadde conexión, la experiencia de usuario no se verá afectada.

Con esto se puede asegurar además que se podrá monitorear el trafico generado por cadausuario remoto que se conecte a la red, a través de la VPN, se tendrá más control y se podránobservar posibles comportamientos indebidos al interior de la red.

El siguiente paso luego de lograr conectividad a redes IPv6, demostrada en las pruebasdesarrolladas en la plataforma web, es crear un método de NAT IPv6-IPv4, que permita a losusuarios navegar libremente a través de estas redes, ya que debido a este factor, actualmenteno es posible realizarlo.

La política desarrollada abarca todas las posibles vulnerabilidades en cuanto a conexión deusuarios remotos, ya que se basó en el estándar internacional ISO 27005, que tiene en cuentalos aspectos más relevantes en cuanto a la seguridad de la información.

Las vulnerabilidades mas relevantes encontradas en el estudio de análisis de riego que serealizó demostró que la parte que mas vulnerabilidades tiene el acceso remoto a la red, esdebido a sus mismos usuarios.

Teniendo en cuenta estas vulnerabilidades se pudo desarrollar una política, acorde a lasnecesidades del proyecto, la cual esta pensada para proteger la red de posibles ataques debidoa estas vulnerabilidades.

La herramienta seleccionada como servidor de VPN puede en un futuro expandirse paracumplir más funciones al interior de la red, esto es debido a su capacidad de manejo demódulos, cada uno de los cuales es bastante configurable desde la opción web, y si no sepuede lograr por allí, quedan los archivos hooks y stubs, los cuales se configuran y reescribenla configuración del módulo deseado, dándole potencial adecuado para personalizar laherramienta y así poder operar casi en cualquier ambiente.

Si en algún momento es requerido, el trafico al cual los usuarios pueden acceder, puede serrestringido, esto es gracias a que el servidor VPN cuenta con su propio Firewall, el cual poseevarias formas de configuración, acorde a la forma en la que se accede o se sale hacia otras

59

redes, de esta forma se puede controlar tanto la información que entra como la que sale de lared, cuando los usuarios están conectadas a través del servidor VPN.

En términos generales la política de acceso segura en su conjunto esta lista para operarcuando los administradores de la red decidan que es pertinente.

60

CONCLUSIONES

Fue posible desarrollar un método de conexión remota que permitiera el acceso a la red deinvestigaciones RITA, basándose en un estándar de buenas practicas ITIL, el cual asegura queel proyecto pueda ser integrado a futuros desarrollos que sigan con esa metodología, o puedaser integrado de forma más simple cuando se use una metodología distinta, ya que sedesarrollaron tareas con los lineamientos orientados hacia el desarrollo de buenas prácticaspara el tratamiento de la información.

Además el proyecto tiene en cuenta las normas internacionales para el tratamiento de lainformación definidas en la norma ISO 27001, esto con el fin fin de que se encontraraalineado con todas las mas recientes buenas practicas y normas internacionales y que suintegración a otros proyectos sea de manera eficiente, si que se incurra en un desperdicio detiempo y esfuerzo al tratar de actualizarlas.

También se incluyo un análisis de riesgos definido en el estándar ISO 27005, el cual estaalineado con la norma ISO 27001, ya que en su conjunto dan una visión mas clara y objetivade lo que se quiere en cuanto a la seguridad de la información.

Es posible impulsar el desarrollo y la investigación dentro de la comunidad académica, si sesigue mejorando este método de conexión, ya que permite trabajar en los campos de las redesde comunicaciones, además de los demás campos que existen dentro de la universidad, yaque les resultará más sencillo a los investigadores trabajar más tiempo en sus proyectos,debido a que no tienen que desplazarse siempre a las instalaciones de la universidad parapoder tener acceso a la red y sus recursos.

Adicionalmente se puede modelar la herramienta utilizada como VPN, para las necesidadesque requiera la red de investigación, ya que por su estructura modular y su implementacióncomo maquina virtual permite ampliar su capacidad, ya que si se requiere un trabajo de tipoinfraestructura, la herramienta posee los módulos adecuados para resolver casi cualquiernecesidad que se presente.

También se puede desarrollar algún modulo especial dentro de la red, ya que al ser de unalicencia de software libre, se puede tener acceso a los repositorios y código fuente de laherramienta, lo que conlleva a que los estudiantes puedan desarrollar herramientas propiaspara el servicio de la universidad.

Por otra parte, si se requiere por algún motivo, la herramienta cuenta con una licencia paga,con la cual se accede al soporte empresarial que brinda la compañía que la desarrolló, porotra parte el soporte para su utilización como herramienta libre también existe, y se basa enforos y tutoriales, donde existe una comunidad dedicada al desarrollo y mejoramiento de estaherramienta.

El desarrollo de una política de acceso remoto, segura hacia la red de investigaciones RITA,basándose en el estándar internacional ISO 27001, es un primer paso hacia la implementación

61

de estándares y metodologías de buenas prácticas que aseguren el buen uso y la integridad dela información que se maneja al interior de la red.

Es de utilidad que se den a conocer estas metodologías y estándares dentro de la universidad,ya que cada vez más se utiliza internet, y más aún cuando se están manejando conceptoscomo lo son el internet de las cosas y el internet de todo, donde se manejara cada vez másinformación personal, y se debe tratar la información con la mayor seguridad posible.

La integración de la herramienta que sirve como servidor VPN puede ser de gran ayuda parala red, ya que permite la instalación de más módulos que están orientados hacia lainfraestructura de la empresa, lo cual puede convertir al servidor VPN en una herramienta queprovea más servicios para usuarios dentro de la red de investigación, simplementeconfigurando los respectivos módulos.

Este tipo de control es realmente pertinente en este tipo de redes, ya que en esta época se debeasegurar la integridad disponibilidad y seguridad de la información a cualquier costo

Una vez el usuario remoto tenga el acceso concedido por el administrador de la red el cual serefleja en obtener los certificados de acceso y configurado el cliente VPN, se puede estableceruna conexión remota para acceder a la red de investigación.

De esta forma se tiene un total control sobre quienes pueden acceder a la red, y en cualquiermomento revocarle los certificados, ya sea por vencimiento o por mal uso de los recursos dela red.

También es acertado crear una canal de comunicación concreto entre los administradores dela red y las dependencias de la universidad que requieran este tipo de accesos, puesto que sino hay ningún control, ni tampoco un mecanismo claro para solicitar los recursos, se puedeincurrir en un potencial riesgo, ya que no se tendrá claridad de quien, o porque tuvo eseacceso, ni tampoco de lo que se hizo con ese acceso a la red.

Es necesario que a medida que toma popularidad e interés este tipo de acceso, se destinepersonal para monitorear constantemente la red, puesto que se debe asegurar, que no se pongaen riesgo la información, ya sea por desconocimiento o por falta de información

62

TRABAJO FUTURO

Ya que el acceso remoto solo pretende brindar conectividad a redes IPV6, no es posibleactualmente abrir una página web que esté alojada en un servidor de redes IPv6, por lo cualse propone implementar un sistema NAT IPv4 a IPv6, con lo cual se solucionaría esteproblema y daría más potencia al método de conexión remota.

Integrar el método de conexión remota a otros servicios que se encuentren al interior de lared, ya que actualmente los usuarios remotos pueden comunicarse con los demás equipo de lared, pero no utilizar sus recursos.

Desarrollar un plan de actualización de estándares y buenas prácticas al interior de la red, yaque no son muy claras en algunos puntos o no existen como en el caso del acceso remoto.

63

ANEXOS

Anexo A: Política de Acceso segura a la red de investigaciones RITA

Universidad Distrital Francisco José de Caldas

Política de Acceso segura a la red de investigaciones RITA

Normas y Procedimientos de acceso remoto a usuarios

Introducción

En la Universidad Distrital Francisco José de Caldas actualmente se tiene adisposición de los miembros de la comunidad académica los servicios ofrecidos por la red deinvestigaciones RITA, estos servicios deben estar a disposición tanto para los miembros quese encuentren dentro del campus como para los usuarios que se conecten de forma remota.

El adecuado uso de estos recursos y servicios junto con el seguimiento de las normasy procedimientos que se encuentran dentro de esta norma son los mejores sistemas deseguridad con los que se pueda blindar la red de investigaciones, en contra de cualquierataque.

Las siguientes normas y procedimientos se establecen en armonía con las políticas deseguridad de la información que rigen dentro de la Universidad Distrital.

I. Base Normativa

Estas normas y procedimientos se establecen en alineación con las políticas deseguridad de la información que maneja la Universidad Distrital, y conforme a la norma

64

internacional ISO/IEC 27001:2013, que dicta las pautas que se siguen en el presentedocumento.

II. Propósito

El propósito de este documento es establecer normas y procedimientos que losusuarios deberán seguir si quieren establecer una conexión remota con la red de investigaciónRITA. Con esta política de seguridad se busca blindar la red de investigaciones RITA deataques que busquen robar información, que puede resultar comprometida por el tipo deconexiones que se pretenden realizar.

III. Alcance

Las normas y procedimientos que se establecen en el presente documento aplican atodo el usuario autorizado por la Universidad Distrital y los administradores de la red deinvestigaciones RITA, para operar un computador con capacidad de acceso remoto.

IV. Definiciones

A continuación se hace la definición de los términos usados en este documento:

▪ Comunidad Académica: Se refiere a todos los miembros docentes, estudiantes,administrativos que tienen un estatus activo dentro de la universidad

▪ Firewall: Sistema perteneciente a una red que maneja las políticas delcontenido o comunicaciones que se admiten o se bloquean dentro de esa red

▪ Protocolo TCP/IP: Pila de protocolos de comunicación entre redesinterconectadas como internet

▪ Universidad: Universidad Distrital Francisco José de Caldas

▪ Usuario autorizado: Usuario miembro de la comunidad académica al cual se lepermite el acceso a la red

▪ VPN: Red Privada Virtual por medio de la cual se realizaran las conexionescon usuarios remotos, utilizando la infraestructura de la red publica(Internet), cifrando el contenido de las comunicaciones que se envíen através de ella.

▪ Administradores de la red: Funcionarios a cargo de administrar los serviciosque ofrece la red de investigaciones RITA.

65

▪ Red: Red de Investigaciones RITA

V. Disposiciones Generales

1 Toda miembro de la comunidad académica de la Universidad que requieraconectarse de forma remota a la Red por medio de la política de acceso segura,deberá diligenciar la solicitud de acceso remoto, para su respectivaautorización.

2 Una vez autorizado el acceso remoto a la red por medio de la política deacceso segura, deber seguir las instrucciones de conexión a la red que seencuentran anexas al documento.

3 El acceso remoto a la red por medio de la política de acceso segura, serealizara por medio de una VPN.

4 Cualquier usuario autorizado ya sea estudiante, docente o administrativo,perteneciente a la comunidad universitaria, deberá proteger los recursos de launiversidad en todo momento.

5 Todo acceso autorizado a la red por medio de la política de acceso segura,deberá eliminarse una vez el trabajo a realizar sea finalizado.

6 Esta prohibido el uso de herramientas de hardware o software para violar loscontroles de seguridad de la política de acceso segura a la red .

7 No se debe escribir, generar, copiar, ejecutar o introducir cualquier tipo decódigo o programa conocido como virus, malware, spyware o similaresdiseñado para afectar a los equipos o el desempeño de la red.

VI. Responsabilidades

1. Los administradores de la Red tendrán la responsabilidad de:

a) Mantener los recursos tecnológicos que se necesiten para que launiversidad pueda proveer el servicio de acceso remoto a la red

b) Ofrecer apoyo a los usuarios autorizados, para que puedan establecer laconexión remota con la red de acuerdo con las normas de seguridadestablecidas

66

c) Dar mantenimiento adecuado a la herramienta que utiliza la política deacceso segura, para que esta funcione correctamente

d) Recibir y evaluar solicitudes de acceso remoto

e) Monitorear la red de forma que se puedan detectar intentos de acceso noautorizados

f) Identificar actividad inusual en el servicio de acceso remoto, como :

▪ múltiples conexiones de una misma cuenta a la vez

▪ trafico inusual, uso de ancho de banda excesivo, trafico fuera de horassi es el caso

2. Los directores de dependencia, grupo de investigación o directores de oficinas tendrán laresponsabilidad de:

a) Solicitar el acceso remoto, utilizando la plantilla de solicitud de accesoremoto, justificando la necesidad del solicitante para que se le provea elservicio.

3. Todo usuario que requiera conectarse a la red de forma remota tendrá la responsabilidadde:

a) Solicitar el acceso remoto a la red, al director de la dependencia, grupo deinvestigación o director de la oficina correspondiente

b) Hacer uso adecuado del recurso de acceso remoto a la red de acuerdo conlas políticas y regulaciones de la Universidad

c) Asegurarse de que personas ajenas a la comunidad universitaria no utilicendicha conexión para lograr acceso a los recursos de la universidad

VII. Procedimientos

1. Activación y terminación de cuentas

67

a) El administrador de la red o un delegado abrirá la cuenta de usuario, unavez que reciba la solicitud autorizada por los directores de dependencia,grupo de investigación o directores de oficinas.

b) El administrador o delegado de la red notificara a la persona solicitante lasclaves y certificados de acceso correspondientes, junto con un manual deacceso a la red de forma remota.

c) El administrador o delegado de la red desactivara la cuenta del usuario,cuando los directores de dependencia, grupo de investigación o directoresde oficinas soliciten la desactivación, o cuando el administrador de la reddetecte alguna actividad sospechosa

2. Conexión a la red de forma remota

a) Al usuario que se le ha dado autorización, deberá seguir el manual deconexión a la red de forma remota que contiene en detalle la forma deconexión que se describe a continuación:

i. Obtener las claves y certificados de acceso remoto mediante un clienteVPN, las cuales las dará el administrador o delegado de la red.

ii. Instalar un cliente de OpenVPN, por el medio del cual se realizara laconexión de forma remota.

iii. Configurar la sesión de usuario con los certificados otorgados por eladministrador o delegado de la red

VIII. Vigencia

Estas normas y procedimientos entraran en vigencia una vez sean aprobadas por eladministrador de la red, y las entidades de regulación de políticas de seguridad informática dela Universidad Distrital.

68

Anexo B: Configuración del cliente VPN para Linux (Ubuntu)

Para empezar se debe ir al centro de redes y una vez allí, dar click en la opción de agregar conexión de red.

Se debe seleccionar la opción de VPN, y una vez se haga click se debe seleccionar la opción

de importar desde archivo.

69

El ultimo paso para completar la configuración del cliente es buscar la carpeta donde

descargamos los certificados y seleccionar el archivo de configuración, que en este caso se

llama Politicaacceso.vpn-client.conf.

Luego de abrir el archivo de configuración el cliente se configura automáticamente, con lo

cual solo resta dar click en añadir y tendremos el cliente completamente configurado.

70

Una vez añadida la nueva conexión la podremos encontrar en las conexiones de red como se

muestra en la imagen

71

Anexo C: Código Fuente de la Plataforma Web

Pagina principal

<!DOCTYPE html>

<html>

<head>

<meta charset="utf-8">

<title>Política de Acceso Seguro a la red RITA</title>

<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">

<script src="http://code.jquery.com/jquery-latest.js"></script>

<link rel="stylesheet" href="css/estilos.css" >

</head>

<body>

<header>

<div class="wrapper">

<div class="logo">Red de Investigación RITA</div>

<nav>

<a href="ping/ping.html">Ping</a>

<a href="traceroute/traceroute.html">TraceRoute</a>

<a href="lookup/lookup.html">DnsLookup</a>

<a href="#">Inicio</a>

</nav>

</div>

72

</header>

<div>

<a href="ping/ping.html"><h1>Ping</h1></a>

<p>Se desarrollo la herramienta de ping online para que los usuarios de lapolítica de acceso seguro a la

red de investigaciones RITA-UD pudieran comprobar</p>

</div>

<div>

<a href="traceroute/traceroute.html"><h1>Traceroute</h1></a>

<p>Se desarrollo la herramienta de ping online para que los usuarios de lapolítica de acceso seguro a la

red de investigaciones RITA-UD pudieran comprobar</p>

</div>

<div>

<a href="lookup/lookup.html"><h1>Lookup</h1></a>

<p>Se desarrollo la herramienta de ping online para que los usuarios de lapolítica de acceso seguro a la

red de investigaciones RITA-UD pudieran comprobar</p>

</div>

</body>

</html><!DOCTYPE html>

<html>

<head>

73

<meta charset="utf-8">

<title>Política de Acceso Seguro a la red RITA</title>

<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">

<script src="http://code.jquery.com/jquery-latest.js"></script>

<link rel="stylesheet" href="css/estilos.css" >

</head>

<body>

<header>

<div class="wrapper">

<div class="logo">Red de Investigación RITA</div>

<nav>

<a href="ping/ping.html">Ping</a>

<a href="traceroute/traceroute.html">TraceRoute</a>

<a href="lookup/lookup.html">DnsLookup</a>

<a href="#">Inicio</a>

</nav>

</div>

</header>

<div>

<a href="ping/ping.html"><h1>Ping</h1></a>

<p>Se desarrollo la herramienta de ping online paraque los usuarios de la política de acceso seguro a la

red de investigaciones RITA-UD pudieran

74

comprobar</p>

</div>

<div>

<a href="traceroute/traceroute.html"><h1>Traceroute</h1></a>

<p>Se desarrollo la herramienta de ping online paraque los usuarios de la política de acceso seguro a la

red de investigaciones RITA-UD pudieran comprobar</p>

</div>

<div>

<a href="lookup/lookup.html"><h1>Lookup</h1></a>

<p>Se desarrollo la herramienta de ping online paraque los usuarios de la política de acceso seguro a la

red de investigaciones RITA-UD pudieran comprobar</p>

</div>

</body>

</html>

75

Pagina de Ping

<!DOCTYPE html>

<html> <head> <meta charset="utf-8" /> <title>Ping</title> <meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0"> <script type="text/javascript" src="http://code.jquery.com/jquery-latest.js"></script> <script type="text/javascript" src="js/envio.js"></script> <script type="text/javascript" src="js/sipv.js"></script> <link rel="stylesheet" href="css/estilos.css" > </head> <body>

<header> <div class="wrapper"> <div class="logo">Red de Investigación RITA</div> <nav> <a href="/ping/ping.html">Ping</a> <a href="../traceroute/traceroute.html">TraceRoute</a> <a href="../lookup/lookup.html">DnsLookup</a> <a href="../">Inicio</a> </nav> </div> </header> <div class="contenedor"> <h1>Herramienta de Ping</h1> <div class="izq"> <div id="ipp"><p id="tuip"></p></div> <ul id="lista"> <li> <input type="radio" name="tipoip" id="ipv4" checked="true"> <label class="radio-inline" for="ipv4"><span></span> IPv4</label> <input type="radio" name="tipoip" id="ipv6" > <label class="radio-inline" for="ipv6"><span></span> IPv6</label> </li><br><br> <li> <form id="formulario1" name="form1"> <label for="ip">Dominio ó dirección IP: </label><br> <input id="ip" name="ip" value="www.google.com" type="text" /><br> <label for="paq">Número de paquetes a enviar: </label><br> <input type="number" min="1" max="20" name="paq" value="1" /><br>

76

<input name="for1" id="for1" value="1"> <input name="enviar" value="enviar" type="submit" id="enviar" /><br> <br> </form> </li> <li> <form id="formulario2"> <label for="ip6">Escoja dominio ó dirección IPV6: </label><br> <input list="ips" name="ip6" id="ip6" /><br> <datalist id="ips"> <option value="ipv6.google.com"> <option value="fc00::1"> <option value="fc00::d2bf:9cff:fe91:b837"> <option value="2607:f0d0:1002:51::4"> </datalist> <input name="for2" id="for2" value="2"> <input name="enviar2" value="enviar" type="submit" id="enviar2" /><br> <br> </form> </li> </ul> </div> <div class="der"> <div id="respuesta"> <p>Respuesta</p> <div id="cargando"> <img src="img/cargando.gif" /> </div> <div id="contenido"></div> </div> </div> </div>

</body> </html>

77

Pagina de traceroute

<!DOCTYPE html>

<html> <head> <meta charset="utf-8" /><title>TraceRoute</title><meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0"><script type="text/javascript" src="http://code.jquery.com/jquery-latest.js"></script><script type="text/javascript" src="js/envio.js"></script><script type="text/javascript" src="js/sipv.js"></script> <link rel="stylesheet" href="css/estilos.css" > </head><body>

<header><div class="wrapper"><div class="logo">Red de Investigación RITA</div><nav><a href="../ping/ping.html">Ping</a><a href="../traceroute/traceroute.html">TraceRoute</a><a href="/lookup/lookup.html">DnsLookup</a><a href="../">Inicio</a></nav></div></header><div class="contenedor"><h1>Herramienta de TraceRoute</h1> <div class="izq"><div id="ipp"><p id="tuip"></p></div><ul id="lista"><li><input type="radio" name="tipoip" id="ipv4" checked="true"> <label class="radio-inline" for="ipv4"><span></span> IPv4</label><input type="radio" name="tipoip" id="ipv6" ><label class="radio-inline" for="ipv6"><span></span> IPv6</label></li><br><br><li><form id="formulario1" name="form1"><label for="ip">Dominio ó dirección IP: </label><br><input id="ip" name="ip" value="www.google.com" type="text" /><br><input name="for1" id="for1" value="1"><input name="enviar" value="enviar" type="submit" id="enviar" /><br>

78

<br> </form></li><li><form id="formulario2"><label for="ip6">Escoja dominio ó dirección IPV6: </label><br><input list="ips" name="ip6" /><br><datalist id="ips"><option value="ipv6.google.com"><option value="fc00::1"><option value="fc00::d2bf:9cff:fe91:b837"><option value="2607:f0d0:1002:51::4"></datalist><input name="for2" id="for2" value="2"><input name="enviar2" value="enviar" type="submit" id="enviar2" /><br><br> </form></li> </ul></div><div class="der"><div id="respuesta"><p>Respuesta</p><div id="cargando"><img src="../ping/img/cargando.gif" /></div><div id="contenido"></div></div></div></div>

</body></html>

79

Pagina de NSLookup

<!DOCTYPE html>

<html> <head> <meta charset="utf-8" /> <title>LookUp</title> <meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0"> <script type="text/javascript" src="http://code.jquery.com/jquery-latest.js"></script> <script type="text/javascript" src="js/envio.js"></script> <script type="text/javascript" src="js/sipv.js"></script> <link rel="stylesheet" href="css/estilos.css" > </head> <body>

<header> <div class="wrapper"> <div class="logo">Red de Investigación RITA</div> <nav> <a href="../ping/ping.html">Ping</a> <a href="/traceroute/traceroute.html">TraceRoute</a> <a href="../lookup/lookup.html">DnsLookup</a> <a href="../">Inicio</a> </nav> </div> </header> <div class="contenedor"> <h1>Herramienta de LookUp</h1> <div class="izq"> <div id="ipp"><p id="tuip"></p></div> <ul id="lista"> <li> <input type="radio" name="tipoip" id="ipv4" checked="true"> <label class="radio-inline" for="ipv4"><span></span> IPv4</label> <input type="radio" name="tipoip" id="ipv6" > <label class="radio-inline" for="ipv6"><span></span> IPv6</label> </li><br><br> <li> <form id="formulario1" name="form1"> <label for="ip">Dominio ó dirección IP: </label><br> <input id="ip" name="ip" value="www.google.com" type="text" /><br> <input name="for1" id="for1" value="1"> <input name="enviar" value="enviar" type="submit" id="enviar" /><br>

80

<br> </form> </li> <li> <form id="formulario2"> <label for="ip6">Escoja dominio ó dirección IPV6: </label><br> <input list="ips" name="ip6" /><br> <datalist id="ips"> <option value="ipv6.google.com"> <option value="fc00::1"> <option value="fc00::d2bf:9cff:fe91:b837"> <option value="2607:f0d0:1002:51::4"> </datalist> <input name="for2" id="for2" value="2"> <input name="enviar2" value="enviar" type="submit" id="enviar2" /><br> <br> </form> </li> </ul> </div> <div class="der"> <div id="respuesta"> <p>Respuesta</p> <div id="cargando"> <img src="../ping/img/cargando.gif" /> </div> <div id="contenido"></div> </div> </div> </div>

</body> </html>

81

REFERENCIAS

Bradner, S., & Mankin, A. (1993). IP: Next Generation (IPng) White Paper Solicitation.Retrieved March 27, 2015, from http://tools.ietf.org/pdf/rfc1550.pdf

Carlberg, K., Bhatti, S., & Crowcroft, J. (2009). Ip version 10.0: A strawman design beyondipv6. Transport, 19–23. Retrieved from http://dl.acm.org/citation.cfm?id=1658984

Cerf, V. G. (2004). On the evolution of Internet technologies. Proceedings of the IEEE, 92(9),1360–1370. http://doi.org/10.1109/JPROC.2004.832974

Congreso de Colombia. Ley 1341 (2009). Colombia: Ministerio de las TIC. Retrieved fromhttp://www.mintic.gov.co/portal/604/articles-3707_documento.pdf

Cosios Castillo, E. R., & Simbaña Loachamin, W. X. (2004). Estudio y Diseño de RedesVirtuales Privadas (VPN) basadas en tecnologia MPLS. Escuela Politécnica Nacional.

Darpa Internet Program. (1981). Internet Protocol. Retrieved March 26, 2015, fromhttp://tools.ietf.org/pdf/rfc791.pdf

Deering, S., & Hinden, R. (1998). Internet Protocol, Version 6 (IPv6) Specification. RetrievedMarch 26, 2015, from http://tools.ietf.org/pdf/rfc2460.pdf

Durand, A. (2001). Deploying ipv6. Internet Computing, IEEE, 5(1), 79–81. Retrieved fromhttp://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=895146

Fisli, R. (2005). “Secure Corporate Communications over VPN-Based WANs,”. Master’sThesis in Computer Science at the School of Computer Science and engineering, RoyalInstitute of Technology, sweden.

Francis, P., & Egevang, K. (1994). The IP Network Address Translator (NAT). RetrievedMarch 27, 2015, from http://tools.ietf.org/pdf/rfc1631.pdf

Free Software Foundation Inc. (n.d.). El sistema operativo GNU. Retrieved March 28, 2015,from https://www.gnu.org/home.es.html

Gilligan, R., & Nordmark, E. (2005). Basic Transition Mechanisms for IPv6 Hosts andRouters. Retrieved March 26, 2015, from http://tools.ietf.org/pdf/rfc4213.pdf

Gonzales Morales, A., & Hernandez Mendoza, S. L. (2006). Redes Privadas Virtuales.Universidad Autonoma del Estado de Hidalgo.

Gutiérrez Sánchez, A. (2011). MAPA NORMATIVO Y REGULATORIO DEL SECTOR TICY DEL ECOSISTEMA DIGITAL EN COLOMBIA. Bogota. Retrieved fromhttp://cintel.org.co/wpcontent/uploads/2013/05/07.Documentos_Sectoriales_2011_Mapa_Normativo_y_Regulatorio_Nuevo-Mapa-normativo-y-regulatorio-sector-TIC-_-2011.pdf

Internet Society. (2012). Normativas internacionales sobre telecomunicaciones. RetrievedMarch 28, 2015, from http://www.internetsociety.org/sites/default/files/Documento sobre losantecedentes de Internet Society- Normativas internacionales sobre telecomunicaciones.pdf

82

Jaha, A. a., Shatwan, F. Ben, & Ashibani, M. (2008). Proper Virtual Private Network (VPN)solution. Proceedings - The 2nd International Conference on Next Generation MobileApplications, Services, and Technologies, NGMAST 2008, 309–314. http://doi.org/10.1109/NGMAST.2008.18

Joha, A. a., Shatwan, F. Ben, & Ashibani, M. (2007). Performance evaluation for remoteaccess VPN on Windows server 2003 and fedora core 6. 8th International Conference onTelecommunications in Modern Satellite, Cable and Broadcasting Services, TELSIKS 2007,Proceedings of Papers, 587–592. http://doi.org/10.1109/TELSKS.2007.4376082

Lee, H. L. H., Hwang, J. H. J., Kang, B. K. B., & Jun, K. J. K. (2000). End-to-end QoSarchitecture for VPNs: MPLS VPN deployment in a backbone network. Proceedings 2000.International Workshop on Parallel Processing. http://doi.org/10.1109/ICPPW.2000.869153

Lopez Castaño, Luis Alberto. SISTEMA DE GESTIÓN DE SEGURIDAD DE LAINFORMACIÓN EN EL CLUB MILITAR DESDE LA NORMA ISO 27001:2005. RetrievedFebruari 01, 2015, fromhttp://repository.unimilitar.edu.co/bitstream/10654/10661/1/LopezCastanoLuisAlberto2013.pdf

OSIATIS S.A. (n.d.). ITIL- Gestión de servicios TI. Retrieved April 13, 2015, fromhttp://itilv3.osiatis.es

Park, E.-Y., Lee, J.-H., & Choe, B.-G. (2004). An IPv 4 -to-IPv6 Dual Stack TransitionMechanism Supporting Transparent Connections between IPv6 Hosts and IPv4 Hosts inIntegrated IPv6 / IPv4 Network (Vol. 00, pp. 1024–1027).

Partridge, C., & Kastenholz, F. (1994). Technical Criteria for Choosing IP The NextGeneration (IPng). Retrieved March 27, 2015, from http://tools.ietf.org/pdf/rfc1726.pdf

Pena, C. J. C., & Evans, J. (2000). Performance evaluation of software virtual privatenetworks (VPN). Proceedings 25th Annual IEEE Conference on Local Computer Networks.LCN 2000, 522–523. http://doi.org/10.1109/LCN.2000.891094

Rekhter, Y., & Li, T. (1993). An Architecture for IP Address Allocation with CIDR. Retrieved March 27, 2015, from http://tools.ietf.org/pdf/rfc1518.pdf

Reynaga Obregón, S., & Farfán Flores Pedro Emiliano. (2004). Redes Académicas:Potencialidades Académicas. In Retos y Expectativas de la Universidad (pp. 1–19).

RITA. (n.d.). Acerca de RITA. Retrieved March 28, 2015, fromhttp://rita.udistrital.edu.co/index.php/es/acerca-de-rita/que-es-rita

RUMBO. (n.d.). Que es RUMBO? Retrieved March 28, 2015, fromhttp://www.rumbo.edu.co/?page_id=2

Samad, M., & Yusuf, F. (2002). Deploying internet protocol version 6 (ipv6) over internetprotocol version 4 (ipv4) tunnel. … 2002. SCOReD 2002 …, 6(July 1991), 109–112.Retrieved from http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=1033069

83

Sun S.H., (2011). The advantages and the implementation of SSL VPN. CSESS 2011 -Proceedings: 2011 IEEE 2nd International Conference on Software Engineering and ServiceScience, , art. no. 5982375 , pp. 548-551.http://ieeexplore.ieee.org.bdigital.udistrital.edu.co:8080/stamp/stamp.jsp?tp=&arnumber=5982375

Tanenbaum, A. S., & Wetherall, D. J. (1996). Computer Networks. (M. Hirsch, Ed.)WorldWide Web Internet And Web Information Systems (5Th ed., Vol. 52). Boston: Prentice Hall.http://doi.org/10.1016/j.comnet.2008.04.002

Tatipamula, M., Grossetete, P., & Esaki, H. (2004). IPv6 integration and coexistencestrategies for next-generation networks. IEEE Communications Magazine, 42(1), 88–96.Retrieved from http://www.isoc.org/pubs/int/documents/IEEE_IPv6_0104.pdf

UIT. (1988). Reglamento de las Telecomunicaciones Internacionales. In Conferenciaadministrativa mundial telegrafica y telefonica (pp. 3–12). Melbourne. Retrieved fromhttp://www.itu.int/dms_pub/itu-t/oth/3F/01/T3F010000010001PDFS.pdf

Van Beijnum, I. (2006). Running IPv6. Berkeley, CA: Apress. http://doi.org/10.1007/978-1-4302-0090-1

Venkateswaran, R. (2001). Virtual Private Networks. IEEE Potencials, (March), 11–15.

Waddington, D., & Chang, F. (2002). Realizing the Transition to IPv6, (June), 138–148.

84