Tesis Diseño de Una VPN

UNIVERSIDAD NACIONAL
PEDRO RUZ GALLO

FACULTAD DE CIENCIAS FSICAS Y MATEMTICAS
ESCUELA PROFESIONAL DE INGENIERA
ELECTRNICA
DISEO DE UN MODELO DE RED PRIVADA VIRTUAL

PARA OPTIMIZAR LA INTERCONEXN ENTRE LAS
SUCURSALES DE LA EMPRESA TERRACARGO SAC
TESIS
PARA OPTAR EL TTULO PROFESIONAL DE INGENIERO ELECTRNICO
ELABORADO POR:
Bach. DAZ LLATANCE MANUEL AUNER
Bach. VIEYRA DIOSES GINO LUIS ALBERTO
ASESOR:
Ing. Chiclayo Padilla Hugo
Lambayeque Per
2015
Universidad Nacional Pedro Ruz Gallo

Facultad de Ciencias Fsicas y Matemticas
Escuela Profesional de Ingeniera Electrnica

Tesis presentada para obtener el grado de
Ingeniero Electrnico
DISEO DE UN MODELO DE RED PRIVADA

VIRTUAL PARA OPTIMIZAR LA
INTERCONEXIN ENTRE LAS SUCURSALES
DE LA EMPRESA TERRACARGO SAC
Por:
Bach. DAZ LLATANCE MANUEL AUNER.
Bach. VIEYRA DIOSES GINO LUIS ALBERTO.
Lambayeque Per
2015
Tesis presentada por:

Bach. Daz Llatance Manuel Auner.
Bach. Vieyra Dioses Gino Luis Alberto.
Como requisito para obtener el Ttulo de Ingeniero Electrnico

Aceptada por la Escuela Profesional de Ingeniera Electrnica.
____________________________
____________________________
Ing. Manuel Javier Ramrez Castro.
Ing. Julio Ernesto Quispe Rojas
Presidente
Secretario
.
____________________________
Ing. Enrique Alberto. Reao Gonzles
Vocal
____________________________
_______________________________
Bach. Manuel Auner Daz Llatance
Bach. Gino Luis Alberto Vieyra Dioses
Autor
Autor
____________________________
Ing. Hugo Javier Chiclayo Padilla
Asesor
Abril del 2015
DEDICATORIA
A las personas, ms importantes en nuestras vidas, maestros,

hermanos y amigos que estuvieron listas para brindarnos todo
su apoyo, ahora nos toca contribuir a todos ellos con este logro
que es fruto de todos en conjunto.
A nuestras familias, en especial a nuestros padres.
AGRADECIMIENTO
Gracias a Dios y a nuestros Padres. A Dios porque ha estado con nosotros en

los momentos ms difciles de nuestra carrera. A nuestros Padres por
cuidarnos y brindarnos fortaleza para continuar con nuestras metas propuestas.
A todos nuestros amigos de la vida, con quienes hemos compartido tantas

alegras y penas, y siempre estuvieron ah para brindarnos sus consejos y
apoyo.
A nuestros maestros que nos guiaron y supieron compartirnos todos sus

conocimientos con el fin de que podamos lograr ser grandes profesionales y
ser exitosos en la vida.
Contenido
INTRODUCCION ............................................................................................... 1
ABSTRACT........................................................................................................ 2
...................................................................................................... 3
1.
ASPECTO INFORMATIVO ..................................................................... 4

1.1.
TTULO. ......................................................................................................... 4
1.2.
AUTORES. ..................................................................................................... 4
1.3.
ASESOR. ....................................................................................................... 4
1.4.
REA DE INVESTIGACIN........................................................................... 4
1.5.
LUGAR DE EJECUCIN. .............................................................................. 4
...................................................................................................... 5
2.
ASPECTO DE LA INVESTIGACION ....................................................... 6

2.1.
ANTECEDENTES. ......................................................................................... 6
2.2.
PLANTEAMIENTO DEL PROBLEMA CIENTFICO. ...................................... 7
2.3.
FORMULACIN DEL PROBLEMA CIENTFICO........................................... 7
2.4.
OBJETIVOS. .................................................................................................. 7
2.4.1.
Objetivo General .................................................................................... 7
2.4.2.
Objetivo Especfico ................................................................................ 7
2.5.
JUSTIFICACIN E IMPORTANCIA. .............................................................. 8
2.6.
HIPTESIS. ................................................................................................... 8
...................................................................................................... 9
3.
MARCO TERICO. ................................................................................ 10

3.1.
REDES DE COMPUTADORAS.................................................................... 10
3.1.1.
Definicin de red de computadoras ................................................... 10
3.1.2.
Clasificacin de las redes de computadoras ..................................... 10
3.1.3.
Componentes de una red de computadoras ..................................... 16
3.2.
EL MODELO OSI ......................................................................................... 20
3.2.1.
Definicin del modelo OSI ................................................................... 20
3.2.2.
Las capas del modelo OSI ................................................................... 21
3.3.
El modelo TCP/IP ........................................................................................ 24
3.3.1.
3.4.
Las capas del modelo TCP/IP ............................................................. 24
CONEXIONES WAN Y ACCESO REMOTO ................................................ 28
3.4.1.
Internet, intranets y extranets ............................................................. 28
3.4.2.
Acceso remoto ..................................................................................... 30
3.4.3.
3.5.
Conexiones WAN ................................................................................. 34
DIRECCIN IP ............................................................................................. 46
3.5.1.
Direcciones IPV4 .................................................................................. 46
3.5.2.
Direcciones IPV6 .................................................................................. 53
3.6.
INTERNET.................................................................................................... 55
3.6.1.
Topologa de Internet ........................................................................... 56
3.6.2.
Acceso a Internet ................................................................................. 58
3.6.3.
Nombres de dominio ........................................................................... 60
3.6.4.
Usos modernos .................................................................................... 61
3.7.
RED PRIVADA VIRTUAL (VPN) .................................................................. 64
3.7.1.
Definicin .............................................................................................. 64
3.7.2.
Estructura ............................................................................................. 65
3.7.3.
Arquitecturas bsicas .......................................................................... 67
3.7.4.
Funcionamiento ................................................................................... 68
3.7.5.
Tipos de encriptacin ........................................................................... 69
3.7.6.
Tecnologas del servicio VPN ............................................................. 70
3.7.7.
Ventajas de implementar un servicio VPN ......................................... 71
3.7.8.
Caractersticas y requerimientos. ...................................................... 73
3.7.9.
Protocolos utilizados en las VPN ....................................................... 73
3.8.
WINDOWS SERVER 2008 ........................................................................... 81
3.8.1.
Requisitos de hardware: ..................................................................... 84
3.8.2.
ACTIVE DIRECTORY ............................................................................ 86
3.8.3.
Funcionalidad de dominios y bosques .............................................. 89
3.8.4.
FOREFRONT TMG ................................................................................ 98
.................................................................................................. 102
4.
SITUACIN ACTUAL DE LA EMPRESA ............................................ 103

4.1.
UBICACIN DE LA EMPRESA TERRACARGO SAC............................... 104
4.2.
INFRAESTRUCTURA DE TERRACARGO SAC. ....................................... 105
4.3.
CANTIDAD DE USUARIOS. ...................................................................... 105
4.3.1.
Oficinas en la Ate ............................................................................... 105
4.3.2.
Otras oficinas. .................................................................................... 106
4.4.
INFRAESTRUCTURA DEL DATA CENTER .............................................. 107
4.4.1.
Equipos de TI ..................................................................................... 108
4.4.2.
Cableado Estructurado ...................................................................... 109
4.5.
SERVICIOS DE INTERNET. ...................................................................... 109
.................................................................................................. 110
5.
DISEO DE UN MODELO DE RED VPN ............................................ 111

5.1.
TOPOLOGA .............................................................................................. 111
5.2.
INSTALAR WINDOWS SERVER 2008 R2 ................................................. 112
5.2.1.
INSTALAR SISTEMA OPERATIVO PARA SERVIDORES WINDOWS

SERVER 2008 R2 EN LOS 2 SERVIDORES QUE UTILIZAREMOS
PARA ACTIVE DIRECTORY Y PARA FOREFRONT TMG ................ 113
5.3.
SERVIDOR - ACTIVE DIRECTORY ........................................................... 123
ACTIVE DIRECTORY ................................................................................ 128
DNS ............................................................................................................ 131
5.4.
SERVIDOR VPN - FOREFRONT TMG ....................................................... 143
I.
EJECUTAR WINDOWS UPDATE. ...................................................... 145
II.
EJECUTAR HERRAMIENTA DE PREPARACIN ............................. 146
III.
PASOS PARA EJECUTAR EL ASISTENTE PARA INSTALACIN .. 149
IV.
ADMINISTRACIN DE FOREFRONT TMG ........................................ 156
5.5.
CONFIGURAR SERVIDOR VPN. ............................................................... 168
I.
Configurar el mtodo de asignacin de direcciones ...................... 169
II.
Habilitar el acceso de clientes vpn (habilitar roles de enrutamiento y

acceso remoto)................................................................................... 171
III.
Especifique usuarios de Windows. .................................................. 174
5.6.
ONFIGURACIN DE REDUNDANCIA DE ISP. ......................................... 183
I.
Asistente para la configuracin de redundancia de ISP: ............... 184
II.
Modo de redundancia de ISP: ........................................................... 185
III.
Conexin de ISP 1: ............................................................................. 185
IV.
Conexin de ISP 1 - Configuracin: ................................................. 186
V.
Conexin de ISP 1 servidores dedicados: .................................... 187
VI.
Conexin de ISP 2: ............................................................................. 188
VII.
Conexin de ISP 2 Servidores dedicados: .................................... 189
VIII.
Configuracin de equilibrio de la carga: .......................................... 189
IX.
Finalizacin del Asistente para la configuracin de redundancia de

ISP: ...................................................................................................... 190
5.7.
CLIENTE VPN ............................................................................................ 193
.................................................................................................. 195
6.
CONCLUSIONES Y RECOMENDACIONES ....................................... 196

6.1.
CONCLUSIONES. ...................................................................................... 196
6.2.
RECOMENDACIONES............................................................................... 197
.................................................................................................. 198
7.
DEFINICIN DE TRMINOS Y CONCEPTOS. ................................... 199

7.1.
GLOSARIO: ............................................................................................... 199
7.2.
SIGLARIO: ................................................................................................. 203
.................................................................................................. 205
8.
REVISION BIBLIOGRFICA Y LINKOGRFICA ............................... 206

8.1.
BIBLIOGRAFIA. ......................................................................................... 206
8.2.
LINKOGRAFIA. .......................................................................................... 207
INTRODUCCION
Una Red se extiende sobre un rea geogrfica amplia, entre departamentos, a
veces un pas o un continente; adems, contiene una coleccin de mquinas
dedicadas a ejecutar programas de usuario (aplicaciones). En los ltimos aos las
redes se han convertido en un factor crtico para cualquier organizacin. Cada vez
en mayor medida, las redes transmiten informacin vital, por tanto, dichas redes
cumplen con atributos tales como seguridad, confiabilidad, alcance geogrfico y
efectividad en costos.
Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los
gastos de las empresas, eso ha significado una gran ventaja para las
organizaciones sobre todo las que cuentan con oficinas remotas a varios
kilmetros de distancia, pero tambin es cierto que estas redes remotas han
despertado la curiosidad de algunas personas que se dedican a atacar los
servidores y las redes para obtener informacin confidencial. Por tal motivo la
seguridad de las redes es de suma importancia, es por eso que escuchamos
hablar tanto de los famosos firewalls y las VPN.
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra
red. VPN logra este objetivo mediante la conexin de los usuarios de distintas
redes a travs de un tnel que se construye sobre Internet o sobre cualquier red
pblica, permitiendo a los usuarios trabajar en sus casas o empresas conectados
de una forma segura con el servidor corporativo, usando la infraestructura provista
por la red pblica (Internet).
Desde el punto de vista del usuario, la VPN es una conexin entre el usuario y el
servidor corporativo. La naturaleza de la interconexin que est en el medio de los
dos es transparente para el usuario ya que los datos le aparecen como si fueran
enviados a travs de su red LAN, como si estuviera en la empresa. Esta tecnologa
tambin habilita a las empresas a tener conectadas oficinas centrales con sus
sucursales sobre cualquier red pblica, mientras se mantienen conexiones seguras
y confiables.
Es as como hacemos uso de la tecnologa VPN para poder resolver el problema
de interconexin que tenemos en nuestra empresa con sus sucursales ubicados
en un rea geogrfica distinta de su local central.
ABSTRACT
A net spreads on a geographical wide area, between departments, sometimes

a country or a continent; besides, it contains a collection of machines dedicated
to executing user's programs (applications). In the last years the nets have
turned into a critical factor for any organization. Every time in major
measurement, the nets transmit vital information, therefore, the above
mentioned nets expire with such attributes as safety, reliability, geographical
scope and efficiency in costs.
There has been demonstrated at present that the nets reduce in time and
money the expenses of the companies, it has meant a great advantage for the
organizations especially that count with remote offices to several kilometres of
distance, but also it is true that these remote nets have woken up the curiosity
of some persons who devote themselves to attack the servants and the nets to
obtain confidential information. For such a motive the safety of the nets
performs supreme importance, is because of it to that we listen to speak so
much of the famous firewalls and the VPN.
Virtual Private Net (VPN) connects the components of a net on another net.
VPN achieves this objective by means of the connection of the users of different
nets across a tunnel that is constructed on Internet or on any public net,
allowing to the users to be employed at their houses or companies connected of
a sure form with the corporate servant, using the infrastructure provided by the
public net (Internet).
From the point of view of the user, the VPN is a connection between the user
and the corporate servant. The nature of the interconnection that is in the way
of the two is transparent for the user since the information appears as if they
were sent across their net LAN, as if it was in the company. This technology
also enables to the companies to have connected head offices with their
branches on any public net, while there are kept sure and reliable connections.
We use the technology VPN in this form to be able to solve the problem of
interconnection that we have in our company with the branches located in a
geographical area different from their central place.
1.
ASPECTO INFORMATIVO
1.1. TTULO.
Diseo de un modelo de Red Privada Virtual para optimizar la
interconexin entre las sucursales de la empresa TERRACARGO
S.A.C.
1.2. AUTORES.
Diaz Llatance, Manuel Auner
Cdigo: 080857-A
E-mail: manudi11d3@gmail.com
Vieyra Dioses, Gino Luis Albeto

Cdigo: 082280-C
E-mail: ginovieyra.d@gmail.com
1.3. ASESOR.
Ing. Hugo Chiclayo Padilla Ing. Electrnico de la Universidad Nacional
Pedro Ruiz Gallo.
1.4. REA DE INVESTIGACIN.

Ingeniera electrnica y de telecomunicaciones.
1.5. LUGAR DE EJECUCIN.

El proyecto se llevara a cabo en los ambientes de la empresa Terracargo
Sac.
2.
ASPECTO DE LA INVESTIGACION
2.1. ANTECEDENTES.
Ttulo: DISEO E IMPLEMENTACION DE UNA VPN EN UNA
EMPRESA COMERCIALIZADORA UTILIZANDO IPSEC.
Autor: EDISON RAFAEL TRUJILLO MACHADO.
Objetivo:
Se buscar la mejor alternativa y se elaborar una

propuesta tcnica que garantice la escalabilidad y calidad
de servicio que las grandes empresas requieren para sus
VPN.
Ttulo: ESTUDIO DEL DESEMPEO E IMPLEMENTACIN DE

UNA SOLUCIN MPLS-VPN SOBRE MLTIPLES SISTEMAS
AUTNOMOS.
Autor: RICARDO ARMANDO MENENDEZ AVILA.
Objetivo:
El objetivo de la presente tesis es realizar un estudio de

cuatro tipos de implementacin de la solucin Multi-As
VPN. Se dar a conocer las ventajas y desventajas de
cada solucin mediante pruebas de laboratorio.
Ttulo: IMPLEMENTACIN DE UNA RED PRIVADA VIRTUAL

(VPN) BAJO SOFTWARE LIBRE PARA OPTIMIZAR EL MANEJO
DE
INFORMACIN
ENTRE LOS LOCALES DE LA
CORPORACIN EDUCATIVA ADEU, DE LA CIUDAD DE

CHICLAYO.
Autor: VIRGILIO AMENERO VAZQUEZ.
Objetivo:
Se buscar la mejor alternativa y se elaborar una

propuesta tcnica que garantice la escalabilidad y calidad
de servicio que las grandes empresas requieren para sus
VPN.
2.2. PLANTEAMIENTO DEL PROBLEMA CIENTFICO.

Terracargo SAC actualmente no cuento con interconexin entre todas
sus sucursales, stas sucursales se encuentran
distribuidas en
diferentes departamentos de nuestro pas y para que Terracargo SAC

Pueda brindar un servicio de calidad con los estndares que exige hoy
en da el mercado, es necesario que todas sus sucursales estn
interconectadas y puedan compartir la informacin con la que trabajan
en tiempo real.
2.3. FORMULACIN DEL PROBLEMA CIENTFICO.
De qu manera ayudar el diseo de un modelo de Red Privada

Virtual a optimizar la interconexin entre las sucursales de la empresa
Terracargo SAC. ?
2.4. OBJETIVOS.
2.4.1.
Objetivo General
Disear un modelo de red VPN para optimizar la interconexin entre

las sucursales de la empresa Terracargo SAC.
2.4.2.
Objetivo Especfico
Plantear un modelo de red VPN en Windows Server 2008 r2, para

interconectar las sucursales de la empresa Terracargo SAC.
Seleccionar dispositivos para el diseo de la VPN.
Instalar Windows
Server
y complementos
que
permitan
la
configuracin de una VPN.

Seleccionar la Topologa apropiada, de acuerdo a la actualidad en
la empresa.
Crear una lista de usuarios para permitir acceso a cada sucursal
2.5. JUSTIFICACIN E IMPORTANCIA.
Actualmente Terracargo SAC. Cuenta con una conexin por fibra ptica
entre sus 02 sucursales en Lima, este enlace es de muy alta calidad
pero demanda un muy alto costo a la empresa. Adems las sucursales
de las ciudades de Piura, Chiclayo y Tumbes no se encuentran
interconectadas, esto dificulta la operatividad del sistema de la
empresa.
Una Red Privada Virtual permitir interconectar todas las sucursales,
sin necesidad de tener un enlace fsico, esto reemplazar al enlace de
fibra ptica y permitir la interconexin de las dems sucursales en una
misma red de forma ptima y segura.
2.6. HIPTESIS.
Si se disea un modelo de red VPN, se podr optimizar la

interconexin entre las sucursales de la empresa Terracargo SAC.
3. MARCO TERICO.
3.1. REDES DE COMPUTADORAS

3.1.1.
Una
Definicin de red de computadoras
red
de
computadoras
es
un
grupo
de
computadoras
interconectadas entre s las cuales comparten informacin y recursos.

La interconexin se puede realizar de diferentes maneras, ya sea cable
de cobre, fibra ptica, rayos infrarrojos o microondas. Los recursos y la
informacin que se pueden compartir pueden ser los siguientes:
Archivos
Aplicaciones
Correo electrnico
Impresoras
Las redes de computadoras ofrecen muchas ventajas. Sin ellas todo el

envo de la informacin tendra que hacerse de forma manual o por
medio de unidades de almacenamiento.
Esto hara el proceso algo muy lento. Con las redes no slo se puede
intercambiar informacin a nivel local, sino tambin a grandes
distancias incluso mundiales y de forma instantnea.
3.1.2.
Clasificacin de las redes de computadoras
El mundo de las redes de computadoras es muy complejo, por lo que

es necesario clasificarlas para facilitar su estudio, ya que existen
muchos tipos de redes. Las redes pueden ser clasificadas en cuanto a
cobertura, topologa y propiedad.
10
3.1.2.1. Cobertura
La clasificacin de las redes en cuanto a cobertura se refiere a la

extensin que tiene una red dentro de un rea geogrfica. Utilizando
este criterio, las redes de computadoras se pueden clasificar de
acuerdo a la tabla 1.1
Tabla 1.1 Clasificacin de las redes en cuanto a cobertura

Sin embargo, esencialmente las redes pueden clasificarse simplemente
como Redes de rea Local (que abarcan desde un cuarto hasta un
campus) y Redes de rea Amplia (que abarcan distancias mayores a
un campus hasta abarcar todo el planeta). Resulta ms prctico
clasificarlas solamente as al momento de describir las tecnologas y
dispositivos de redes.
a) Red de rea Local (LAN). Es aquella red donde todas las

computadoras conectadas en red estn dentro de una habitacin,
un edificio e incluso varios edificios dentro de una localidad
pequea. Las LAN realizan lo siguiente:
Operan dentro de una zona geogrfica limitada.
Permiten a los usuarios acceder a medios de gran ancho de
banda.
Proporcionan conectividad de tiempo completo a los servicios
locales.
11
Conectan fsicamente dispositivos adyacentes.
Las principales tecnologas LAN son las siguientes:
Ethernet
Token Ring
FDDI
Siendo Ethernet la ms popular y ms difundida de todas ellas.

Una LAN puede intercomunicarse por medio de un cableado que
transmita seales punto a punto; o bien, por medio de una zona de
influencia de un punto de acceso (access point) inalmbrico. La
velocidad que se puede alcanzar en este tipo de red abarca desde
los 10 Mbps hasta los 10 Gbps y se estn desarrollando normas
para 40 Gbps, 100 Gbps y 160 Gbps.
b) Red de rea Amplia (WAN). Es aquella red que est formada por
la interconexin de varias LAN. Una WAN abarca una gran rea
geogrfica de varios kilmetros.
Las WAN son tiles cuando los usuarios de una red necesitan
acceder a los recursos de otra red. Esto ocurre por ejemplo cuando
las oficinas principales de una compaa necesitan utilizar recursos
de la red que se encuentra en alguna de sus fbricas ubicada a
varios kilmetros de distancia. Las WAN realizan lo siguiente:
Operan sobre grandes reas geogrficamente separadas
Permiten que los usuarios mantengan comunicacin en tiempo
real con otros
Proporcionan acceso a los recursos remotos de una LAN
Ofrecen servicios de correo electrnico, web, transferencia de
archivos y comercio electrnico
12
Las principales tecnologas WAN son:
Mdems
Red Digital de Servicios Integrados (RDSI)
Lnea de Abonado Digital (DSL, Digital Suscriber Line)
Frame Relay
Modo de Transferencia Asncrono (ATM, Asynchronous

Transfer Mode)
Portadoras T1, E1.
Red ptica Sncrona (SONET, Synchronous Optical Network)
En la figura 1.1 se pueden observar distintas redes LAN

conectadas a una red WAN que puede utilizar diferentes
tecnologas.
Figura 1.1 LAN y WAN
13
3.1.2.2. Topologa
En cuanto a la topologa, como se muestra en la figura 1.2, existen
bsicamente cuatro tipos de redes de las cuales se desprenden varias
combinaciones. Estas topologas son:
Red tipo bus
Red tipo malla
Red tipo estrella
Red tipo hbrida
Red tipo anillo
a) Red tipo bus. En esta topologa se utiliza un cable o serie de

cables
como eje
computadoras.
En
central al cual se conectan
todas las
este
todas
conductor
se
efectan
las
comunicaciones entre las computadoras. Esta red conviene usarse

si no son muchas las computadoras que se van a conectar.
b) Red tipo estrella. Se caracteriza por tener un ncleo del cual se

desprenden lneas guiadas a varios terminales. Fueron las
primeras en utilizarse en el mundo de la computacin. Esta
topologa es til cuando se tiene una computadora central muy
potente rodeada de mquinas de menor potencia. Esta topologa
es la ms comn porque es la que ms utilizan las redes Ethernet.
c) Red tipo anillo. Aqu tambin se utiliza un bus como eje central
para conectar todos los equipos, sin embargo, dicho bus forma un
anillo. Esta topologa es utilizada en redes Token Ring y FDDI
adems de que es favorecida por los principales proveedores de
acceso a Internet.
d) Red tipo malla. En esta topologa, todos los dispositivos o algunos

de ellos son conectados con todos los dems con el fin de
conseguir redundancia y tolerancia a fallos. Si un enlace falla, la
informacin puede fluir por otro enlace. Las redes de malla suelen
implementarse solamente en redes WAN.
14
e) Red tipo hbrida. La topologa hbrida es una red que utiliza

combinaciones de las topologas anteriores.
Figura 1.2 Topologa de redes: a) Bus b) Estrella c) Anillo d) Malla
3.1.2.3. Propiedad
La clasificacin de las redes en cuanto a propiedad se refiere a la

forma de administracin de la red. As pues, como se muestra en la
figura 1.3, las redes de computadoras se pueden clasificar de la
siguiente forma:
Redes privadas
Redes pblicas
a) Red privada. Es aquella red exclusiva de una sola compaa u

organizacin en particular. La informacin no se comparte con
otras compaas u organizaciones.
En una red privada la informacin estar protegida, se podr
controlar el uso que se le da a la red y se podr predecir el ancho
de banda disponible.
b) Red pblica. Es una red a travs de la cual circula informacin de

muchas compaas y organizaciones. Una red pblica siempre ser
menos segura que una red privada, pero resultan ser ms
econmicas y no se requiere que un administrador de red local de
mantenimiento a una de estas redes. Como ejemplo de red pblica
tenemos a Internet.
15
Figura 1.3 Red pblica y red privada
3.1.3.
Componentes de una red de computadoras
Una red de computadoras consta de varios equipos necesarios para el

correcto funcionamiento de la red. Entre los componentes de una red
podemos encontrar el cableado y dispositivos de red como aparece en
la figura 1.4.
3.1.3.1. Sistema de cableado
ste se refiere al medio fsico que se usa para conectar entre s las
estaciones de trabajo de los usuarios y con otros dispositivos o nodos
de la red para lograr un intercambio de informacin. La eleccin del
sistema de cableado depende de varios factores, como los que se
mencionan a continuacin:
Tipo de ambiente donde se va a instalar
Tipo de equipo por conectar
Tipo de aplicacin y requerimiento
Capacidad econmica (relacin costo/beneficio)
16
Se utilizan tres tipos de cables para instalar redes de cmputo, de los

cuales los dos primeros son almbricos y el tercero es ptico:
Par trenzado
Cable coaxial
Fibra ptica.
El cable par trenzado es el medio de transmisin ms utilizado

actualmente. Se trata cuatro pares de dos conductores de cobre
forrados con plstico, torcidos entre s y protegidos por una cubierta de
plstico. Existen dos clases de par trenzado: el UTP, que es el que ms
se usa y que tiene diferentes categoras que van desde la categora 3
hasta la 7 con velocidades desde 10 Mbps hasta 1 Gbps y el STP, el
cual tiene mayor resistencia al ruido y del cual hay cuatro tipos
diferentes.
El cable coaxial es utilizado cada vez menos debido al auge del UTP.
Existen dos tipos de cable coaxial: el delgado, el cual tiene un grosor
de 6 mm y puede transportar seales a distancias de hasta 185 m. y el
grueso, el cual tiene un dimetro de 12 mm y puede transportar
seales a distancias de hasta 500 m.
La fibra ptica consiste en un ncleo central muy delgado de vidrio con

alto ndice de refraccin de la luz. Alrededor del ncleo hay un
revestimiento de vidrio pero con un ndice de refraccin ms bajo que
protege al ncleo de contaminacin. La fibra ptica posee un ancho de
banda muy grande y poca prdida de seal, lo que las hace ideales
para transmitir un gran volumen de datos y a grandes distancias. La
desventaja es que su instalacin es muy costosa todava.
17
3.1.3.2. Dispositivos de interconexin de redes
Los dispositivos de interconexin de redes conectan a los dispositivos

terminales de redes para formar la red y controlar el flujo de la
informacin. Estos son:
Concentrador (hub)
Conmutador (switch)
Enrutador (router)
a) Concentrador o hub: Es un dispositivo que conecta varios cables

de red que llegan desde computadoras cliente a la red. Existen
concentradores de diferente tamao en los cuales se puede
conectar desde dos computadoras hasta ms de 60 equipos. La
informacin que llega al nodo de un hub es retransmitida a todos
los dems nodos conectados a este equipo, lo que puede afectar el
desempeo de una red.
b) Conmutador o switch: Se trata de un dispositivo que conmuta de

forma dinmica sus distintos puertos para crear las conexiones. Un
switch es un equipo semejante a un hub con la diferencia de que
todas las conexiones de red tienen su propio dominio de colisin,
esto hace que cada conexin de red sea privada, lo cual
incrementa el desempeo de una red.
c) Enrutador o Router: Es un equipo que direcciona los paquetes de

datos de una red a otra. Las dos redes se conectan al router
usando sus propios cableados y tipos de conexin. Este dispositivo
puede determinar cul es la ruta ms corta de un paquete hacia su
destino, adems de que tambin pueden optimizar el ancho de
banda de la red y ajustarse de manera dinmica a problemas de
patrones de trfico cambiantes dentro de la red. Para que un router
funcione de manera correcta, necesita ser programado, esto se
puede realizar conectando una PC a una terminal del router y
18
utilizando algn software de terminal o un programa en modo

grfico.
3.1.3.3. Dispositivos terminales de redes o de usuario final
Los dispositivos terminales de redes o de usuario final son aquellos que

son conectados por los dispositivos de interconexin de redes y son los
puntos finales de una red que transmiten o envan la informacin. Estos
dispositivos son:
Estacin de trabajo (host)
Servidor
Tarjeta de Interfaz de Red (NIC)
a) Estacin de trabajo. Son las computadoras que componen la red.

Permiten a los usuarios crear, compartir y obtener informacin. A
las estaciones de trabajo tambin se les denomina hosts y el
trmino incluye a las impresoras en red.
b) Servidor. Es aquella computadora que proporciona funciones o

servicios a otras computadoras. Existen diferentes tipos de
servidores de acuerdo a la funcin que realizan como servidores de
archivos, de red, de acceso remoto, de Internet, etc.
c) Tarjeta de Interfaz de Red (NIC, Network Interface Card). Es un

dispositivo electrnico que permite a un ordenador o impresora
acceder a una red y compartir recursos entre dos o ms equipo.
19
Figura 1.4 Componentes de una red de computadoras
3.2. EL MODELO OSI

3.2.1.
Definicin del modelo OSI
El modelo OSI (Sistemas Abiertos de Interconexin) define los mtodos

y protocolos necesarios para lograr la comunicacin entre los equipos
en una red. Fue desarrollado por la Organizacin Internacional de
Estandarizacin (ISO) con el fin de proporcionar un modelo de
referencia para la normalizacin y qued definido en la norma ISO
7498.
El modelo divide las funciones en un conjunto jerrquico de capas.

Cada capa realiza un conjunto de tareas necesarias para lograr la
comunicacin con otros sistemas. Cada capa se sustenta en la
inmediatamente inferior, la cual realiza funciones ms primitivas
ocultando los detalles a las capas superiores. El modelo define en
trminos generales las funciones que se deben realizar en cada capa.
El modelo OSI consta de siete capas, e idealmente, cada sistema debe
poseer las siete capas. Estas capas se muestran en la figura 1.5.
20
Figura 1.5 Las siete capas del modelo OSI
3.2.2.
Las capas del modelo OSI
3.2.2.1. Capa fsica
La capa fsica se encarga de la interfaz fsica entre los dispositivos, as

como las reglas que rigen la transmisin de los bits. Esta capa tiene
cuatro caractersticas importantes:
Mecnicas
Elctricas
Funcionales
De procedimiento
Las caractersticas mecnicas definen las propiedades fsicas de la

interfaz con el medio de transmisin, como por ejemplo la
especificacin del conector que transmite las seales a travs de los
conductores. Las caractersticas elctricas especifican la forma en
cmo se representan los bits, tales como niveles de voltaje, as como
su velocidad de transmisin. Las caractersticas funcionales especifican
las funciones que realiza cada uno de los circuitos de la interfaz fsica
21
entre el sistema y el medio de transmisin. Por ltimo, las

caractersticas de procedimiento definen la secuencia de eventos que
se llevan a cabo en el intercambio del flujo de bits a travs del medio
fsico.
3.2.2.2. Capa de enlace de datos
La capa de enlace de datos proporciona los medios para activar,

mantener y desactivar el enlace, as como intentar hacer que el enlace
fsico sea fiable. Uno de los principales servicios de esta capa es
proporcionar deteccin y correccin de errores. Los elementos de
informacin que circulan por esta capa se denominan tramas. En la
mayor parte de los sistemas, los controladores de las NIC realizan el
trabajo de esta capa.
Esta capa se divide normalmente en dos subcapas las cuales son LLC
(Control de Enlace Lgico) y MAC (Control de Acceso a Medios). LLC
realiza establecimiento y terminacin de conexin, adems de la
transferencia de datos. MAC controla el ensamble y fragmentacin de
tramas, deteccin y correccin de errores, y direccionamiento. Los
protocolos MAC ms importantes son:
802.3 Ethernet
802.5 Token Ring
802.7 Banda Ancha
802.11 Inalmbrico
802.12 100BaseVBG [20]
3.2.2.3. Capa de red
La capa de red realiza la transferencia de informacin entre sistemas

finales a travs de algn tipo de red de comunicacin. Aqu es donde
se define la forma en que los paquetes llegan de un punto a otro dentro
de una red y lo que lleva cada paquete. Esta capa define distintos
22
protocolos de transmisin de paquetes. Estos protocolos definen las

direcciones fuente y destino. Adems, en esta capa se realizan las
funciones de conmutacin y enrutamiento de los paquetes. Los
protocolos ms importantes de esta capa son IP, IPX, AppleTalk y
NetBIOS.
3.2.2.4. Capa de transporte
En la capa de transporte se proporciona un mecanismo para

intercambiar datos entre sistemas finales. El servicio de transporte
orientado a conexin asegura que los datos se entregan libres de
errores, en orden y sin prdidas ni duplicaciones.
En esta capa se realiza tambin una optimizacin de los servicios de
red. Algunos de los protocolos de transporte son TCP y UDP.
3.2.2.5. Capa de sesin
Esta capa proporciona los mecanismos para controlar el dilogo entre

las aplicaciones de los sistemas finales, es decir, se define la conexin
de un usuario en un servidor de red o desde un punto de una red hasta
otro punto. Estas conexiones virtuales se conocen como sesiones e
incluyen la negociacin entre el cliente y el anfitrin, la transferencia de
informacin del usuario y la autenticacin en la red.
3.2.2.6. Capa de presentacin
La capa de presentacin se encarga de definir el formato de los datos

que se intercambian entre las aplicaciones y adems ofrece un
conjunto de servicios para transformar dichos datos. En esta capa se
define la sintaxis utilizada entre las aplicaciones y proporciona los
medios para seleccionar y modificar la representacin utilizada. Las
funciones que se realizan en esta capa pueden incluir el cifrado y la
compresin de los datos.
23
3.2.2.7. Capa de aplicacin
Esta capa proporciona a los programas de aplicacin los medios

necesarios para que accedan al entorno OSI, es decir, controla la
forma en que el sistema operativo y sus aplicaciones interactan con la
red. En esta capa se encuentran las aplicaciones dedicadas a la
transferencia de archivos (FTP), el correo electrnico (SMTP), el
acceso remoto, etc.
3.3.
El modelo TCP/IP
TCP/IP fue diseado en base un modelo de cuatro capas. Este modelo
precedi al modelo OSI y fue muy importante. Aunque los nombres de
algunas capas del modelo TCP/IP son iguales a las del modelo OSI no
se debe confundirlas. Las funciones que realizan son diferentes. Estas
capas se muestran en la figura 1.6.
Figura 1.6 Las cuatro capas del modelo TCP/IP
3.3.1.
Las capas del modelo TCP/IP
3.3.1.1. Capa de aplicacin.
Esta capa proporciona servicios que pueden ser utilizados por otras
aplicaciones utilizadas para acceso remoto, correo electrnico,
transferencia de archivos y administracin de la red. La capa de
aplicacin de TCP/IP utiliza servicios de las tres capas superiores del
24
modelo OSI (aplicacin, presentacin y sesin). Como podemos

apreciar en la figura 1.7, TCP/IP no utiliza una estructura de capas
rgida, ya que la capa de aplicacin puede operar directamente sobre
las capas de transporte, Internet y red. Los protocolos de la capa de
aplicacin son los siguientes:
Protocolo de Transferencia de Hipertexto (HTTP, HyperText
Transfer Protocol)
Protocolo Trivial de Transferencia de Archivos (TFTP, Trivial File
Transfer Protocol)
Protocolo de Transferencia de Archivos (FTP, File Transfer
Protocol)
Sistema de Archivos de Red (NFS, Network File System)
Protocolo Simple de Transferencia de Correo (SMTP, Simple Mail
Transfer Protocol)
Emulacin de Terminal (Telnet)
Protocolo Simple de Administracin de Redes (SNMP, Simple
Network Management Protocol)
Sistema de Nombres de Dominio (DNS, Domain Name System)
3.3.1.2. Capa de transporte.
La capa de transporte se encarga de controlar las conexiones lgicas

entre las computadoras o hosts. Los protocolos de esta capa
segmentan y reensamblan los datos que las aplicaciones de la capa
superior envan. Los protocolos de la capa de transporte son los
siguientes:
Protocolo de Control de Transmisin (TCP, Transmission Control
Protocol)
Protocolo de Datagrama de Usuario (UDP, User Datagram Protocol)
25
3.3.1.3 Capa de Internet.
Gestiona la transferencia de informacin a lo largo de varias redes

mediante el uso de routers. La capa de Internet de TCP/IP es
equivalente a la capa de red del modelo OSI, ya que se encarga de la
transferencia de paquetes entre computadoras conectadas a distintas
redes. En esta capa se determina la mejor ruta a seguir y la
conmutacin de paquetes. Los protocolos de la capa de Internet son
los siguientes:
Protocolo de Internet (IP, Internet Protocol)
Protocolo de Mensajes de Control en Internet (ICMP, Internet

Control Message Protocol)
Protocolo
de
Resolucin
de
Direcciones
(ARP,
Address
Resolution Protocol)
Protocolo de Resolucin Inversa de Direcciones (RARP, Reverse

Address Resolution Protocol)
IP es un protocolo que funciona en la capa de red del modelo OSI el

cual define la forma en que se asignan las direcciones a los datos que
van del origen hasta el destino y la secuencia en que los datos deben
ser reensamblados en el otro extremo de la transmisin. En la figura
1.7 se puede apreciar la forma en que est estructurado un datagrama
IP.
26
Figura 1.7 Estructura de un datagrama IP
3.3.1.4. Capa de interfaz de red.
Se encarga de todo lo relacionado con la transferencia de paquetes

dependientes de la red. Realiza funciones que pertenecen a parte de la
capa de enlace de datos y la capa fsica del modelo OSI. Se ocupa de
los mtodos utilizados para que un paquete IP pueda obtener un
enlace fsico con el medio de red. Los protocolos de la capa de interfaz
de red son:
Tecnologas LAN (Ethernet, Fast Ethernet, FDDI)
Tecnologas WAN (ATM, Frame Relay)
Protocolo Punto a Punto (PPP, Point-to-Point Protocol)
ARP y RARP
27
3.4.
CONEXIONES WAN Y ACCESO REMOTO
3.4.1.
Internet, intranets y extranets
Internet es una red de redes que ha proporcionado muchas ventajas a

toda clase de organizaciones. A las empresas les aporta muchos
beneficios econmicos el hecho de conectarse a Internet y poder
realizar ah toda clase de negocios. Las corporaciones han descubierto
tambin que llevar la tecnologa sobre la cual se basa Internet a sus
propias redes privadas les trae muchos beneficios a todos sus
usuarios, de ah el surgimiento de las intranets. Finalmente, las
empresas requieren estar conectadas con sus socios y clientes, por lo
que pronto surgen las extranets. Internet, intranet y extranet son
conceptos muy importantes en el mundo de las VPN y no puede
hablarse de una VPN sin antes conocer en qu consisten dichos
conceptos.
3.4.1.2. Internet
Internet conecta decenas de millones de computadoras en todo el

mundo, permitindoles comunicarse entre s y compartir recursos.
Internet es una coleccin de redes organizada en una estructura
multinivel las cuales usan toda una variedad de tecnologas para
interconectarse. En el nivel ms bajo se encuentra algunas decenas o
cientos de computadoras conectadas a un router, formando una LAN.
Otras computadoras se conectarn a un router a travs de la red
telefnica usando un mdem. Una empresa o universidad podr tener
varios routers enlazados a un router principal. Estos routers se
encuentran conectados mediante lneas alquiladas a un router de un
Proveedor de Servicios de Internet (ISP, Internet Service Provider). A
su vez, el proveedor conecta sus routers a una WAN de alta velocidad
llamada backbone. Un pas puede tener varios backbones que
conectan a todos los ISP. Finalmente, los backbones de todos los
28
pases se interconectan en una malla usando lneas internacionales.

Todo esto es lo que finalmente forma Internet.
La base de Internet es TCP/IP. El xito de las redes basadas en IP se

debe precisamente a Internet. Dos conceptos definen la tecnologa de
Internet: los paquetes y la forma de direccionamiento.
Paquetes. Internet transporta toda la informacin en unidades llamadas

paquetes. Un paquete consta de dos partes: la informacin que
contiene, la cual se llama carga til y la informacin acerca de la
informacin, llamada cabecera. La cabecera contiene informacin
acerca de las direcciones origen y destino, longitud de los datos y tipo
de stos.
Direccionamiento. Las direcciones de la cabecera permiten el envo de

la informacin a travs de Internet. Los routers se encargan de realizar
esto. Los paquetes recorren diferentes caminos para llegar a su destino
y eventualmente pueden ser almacenados dentro del router.
3.4.1.3. Intranet
Una intranet es una Internet orientada a una organizacin en particular.

Los servidores web intranet difieren de los servidores web pblicos en
que estos ltimos no tienen acceso a la intranet de la empresa sin los
permisos y las contraseas adecuadas. Una intranet est diseada
para que accedan a ellas slo los usuarios con los debidos permisos
de acceso a una red interna de una empresa. Una intranet reside
dentro de un firewall y ste impide el acceso a los usuarios no
autorizados.
29
3.4.1.4. Extranet
Una extranet es una intranet orientada a las personas u organizaciones

que son externas a su empresa, pero necesitan acceder a alguna
informacin, as se les permite el acceso a este contenido adicional,
siempre bajo un sistema de autenticacin y control de acceso.
La diferencia entre una intranet y una extranet es el mtodo de acceso,
siendo similares en cuanto a las facilidades y funciones, el tipo de
recurso que utiliza y su filosofa general, de proporcionar acceso fcil,
rpido y seguro a la informacin requerida.
El concepto extranet nace cuando una empresa quiere dar acceso a

unas determinadas personas o grupos de personas a una determinada
informacin de su intranet. Sin hacerla pblica, la hace accesible a
otras personas que puedan necesitarla o con quien mantienen
relaciones comerciales. El ejemplo ms claro es la accesibilidad que
una empresa da a una parte de sus clientes o proveedores.
3.4.2.
Acceso remoto
Conectarse a una red desde una ubicacin distante es lo que se

denomina acceso remoto. El acceso remoto a una red ha sido algo de
gran importancia en el mundo de las redes, ya que muchas compaas
que promueven viajes de trabajo de sus empleados o el trabajo desde
el hogar o desde una pequea oficina remota. Y estos empleados
necesitan conectarse a la red privada de la compaa para consultar
ciertos archivos o correo electrnico. La necesidad del acceso remoto
ha sido la causa principal del auge de las redes privadas virtuales, por
lo que es preciso analizarlo un poco antes de verlo desde el punto de
vista de las VPN.
30
3.4.2.1.
Necesidades de acceso remoto
Con el incremento de las relaciones comerciales a nivel internacional,

la movilidad geogrfica de puestos de trabajo est llevando a las redes
privadas a una situacin bastante complicada. Los usuarios precisan
conexiones que les permitan el acceso a las corporaciones desde
cualquier lugar del mundo. Estas necesidades, unidas a las surgidas
como consecuencia de la demanda de telecomunicaciones a tiempo
completo, estn aumentando drsticamente el nmero de oficinas
remotas que una compaa debe interconectar. Como resultado,
muchas
redes
privadas
estn
convirtindose
en
redes
muy
complicadas de administrar.
El establecimiento de un sistema de acceso remoto en una red es algo

que debe ser planeado cuidadosamente por lo que se debe definir
claramente quines van a necesitar del acceso remoto y qu tecnologa
se utilizar para satisfacer las necesidades de esos usuarios.
De acuerdo a la figura 1.8, existen diferentes tipos de usuarios

dependiendo de las necesidades de una organizacin y esto har que
las soluciones de acceso remoto tambin varen de acuerdo a dichas
necesidades. Los usuarios pueden ser clasificados de la siguiente
forma:
Usuarios mviles
Usuarios de oficina remota
Usuarios mviles. Son aquellos que necesitan realizar viajes de
trabajo a otro estado o pas. Estos usuarios requieren de acceder a los

recursos de la red de la oficina principal tales como su correo
electrnico o sus archivos desde esa ubicacin distante. Si el usuario
viaja a otro pas, entonces tiene que lidiar con diferentes sistemas
telefnicos y compaas de telecomunicaciones, complicando la
conexin a la red corporativa.
31
Usuarios de oficina remota. Son aquellos que acceden a la red

corporativa desde una ubicacin fija distante como puede ser una
pequea oficina o el hogar.
El teletrabajo es una forma flexible de organizacin del trabajo que
consiste en el desempeo de la actividad profesional en el domicilio
del trabajador. Engloba una amplia gama de actividades, e implica el
uso de computadoras y la conexin permanente entre el trabajador y
la empresa. El usuario que trabaja desde su casa tiene su
computadora conectada a la red privada y desde ah tienen acceso
al correo electrnico o algunas aplicaciones de la empresa.
Figura 1.8 Acceso remoto
Si una compaa requiere de un sistema de acceso remoto lo

primero que se tiene que evaluar es que tipo de usuarios tiene, ya
sea mviles, de oficina remota o ambos. Una vez hecho esto, lo que
debe hacerse es definir las necesidades de estos usuarios que se
deben satisfacer. Estas necesidades pueden ser:
Acceso remoto al correo electrnico
Acceso remoto a los archivos del usuario
Acceso remoto a una aplicacin centralizada
Acceso remoto a aplicaciones personalizadas o programas
groupware
Acceso remoto a la intranet o extranet
32
Despus de examinar estas necesidades, el siguiente paso es estimar

los requerimientos del ancho de banda para los diferentes usuarios.
Esto es necesario para determinar qu tipo de conexin es necesaria
para establecer el acceso remoto. Tambin es importante determinar si
dicha conexin es econmicamente rentable para la empresa.
3.4.2.2. Acceso remoto antes de las VPN
Antes de que las VPN fueran tomadas como opcin para el acceso
remoto, era comn que una corporacin instalara mdems desde los
cuales el usuario remoto haca una llamada para estar en conexin con
la red corporativa. En redes donde no hay muchos usuarios remotos se
pueden agregar slo uno o dos mdems a una computadora
configurada como Servidor de Acceso Remoto (RAS, Remote Access
Server). En el caso de organizaciones que mantienen muchos usuarios
remotos, es preciso instalar desde decenas hasta cientos de mdems y
formar bancos o pilas de mdems como se puede ver en la figura 1.9.
El acceso remoto as resulta ser caro y requiere de un gran soporte por

parte de las empresas. Frecuentemente, los usuarios se encuentran
muy alejados de las oficinas centrales de la compaa y tienen que
realizar llamadas de larga distancia o llamada 0-800. Esto resulta ser
especialmente caro si las llamadas son internacionales y si los
teletrabajadores requieren estar conectados durante un tiempo largo. El
acceso remoto requiere tambin del uso de los RAS que tambin son
muy caros.
El uso de un mdem desde otro pas causa muchas dificultades ya que

las velocidades de conexin son muy lentas, una lnea telefnica no es
buena y puesto que la mayor parte del trfico internacional pasa a
travs de un satlite se producen muchos retrasos en la comunicacin.
33
Figura 1.9 Acceso remoto sin una VPN
3.4.3.
Conexiones WAN
Existen diversas tecnologas o conexiones para poder unir diferentes

LAN y crear una WAN. Un enlace WAN puede ser conmutado o
dedicado. Por conmutado se entiende que es aquel que no est
disponible todo el tiempo, la conexin se establece slo cuando es
necesaria. Un ejemplo de esto es una conexin de acceso telefnico a
redes a travs de un mdem. Por otra parte, un enlace dedicado es
aquel donde la conexin siempre estar disponible, incluso cuando no
se est utilizando. Como ejemplo podemos mencionar una conexin
que utiliza tecnologa ADSL. Las conexiones WAN se pueden clasificar
de la siguiente manera:
Servicios de conmutacin de circuitos
Servicios de conmutacin de paquetes
Servicios de conmutacin de celdas
Servicios digitales dedicados
Servicios de marcacin, cable e inalmbricos
34
3.4.3.1. Servicios de conmutacin de circuitos
La conmutacin de circuitos es un mtodo en el que se establece,

mantiene y termina un circuito fsico dedicado a travs de una red de
proveedor para cada sesin de comunicacin. Los servicios de circuitos
conmutados utilizan Multiplexacin por Divisin del Tiempo (TDM) y
son sncronos (utilizan STM). Los dos servicios de circuitos
conmutados son POTS y RDSI.
Servicio
Telefnico
Analgico
Convencional
(POTS,
Plain
Old
Telephone Service). Se trata de la red telefnica, tambin llamada Red

Pblica Telefnica Conmutada (PSTN, Public Switched Telephone
Network). Aunque no es propiamente un servicio de datos de
computadora, muchas de sus tecnologas son parte de la creciente
infraestructura de datos y es una red de telecomunicaciones fiable, fcil
de usar y de rea amplia. [2]
Red Digital de Servicios Integrados (RDSI o ISDN, Integrated Services

Digital Network). Se trata del primer servicio de conexin telefnica
digital. Es un sistema diseado para integrar voz y datos en una sola
conexin. Existen dos tipos principales de RDSI:
Interfaz de servicio bsico (BRI)
Interfaz de servicio primario (PRI)
La interfaz de servicio bsico (BRI) es una conexin que se puede

tener en cualquier hogar o pequea oficina. Consiste en dos
conexiones simultneas que pueden ser una mezcla de voz datos y
fax. Cuando es usado como una conexin de datos BRI ofrece dos
canales (llamados canales B) de 64 kbps o 128 kbps cuando se
combinan en una sola conexin.
La interfaz de servicio primario (PRI) ofrece 24 o 30 canales de 64 kbps
dando un total de 1.536 o 1920 kbps respectivamente. Al igual que en
35
BRI, cada canal puede conectarse para un propsito diferente o

combinarse para incrementar el ancho de banda.
Tanto BRI como PRI poseen un tercer canal llamado D el cual contiene
la informacin de configuracin de los canales B. El medio de
transmisin ms comn para una red RDSI es el cable de cobre de par
trenzado. [35]
3.4.3.2. Servicios de conmutacin de paquetes
La conmutacin de paquetes es un mtodo que enrruta pequeas

unidades de datos denominadas paquetes a travs de una red en base
a la direccin de destino contenida en el paquete. Los dos servicios de
paquetes conmutados son X.25 y Frame Relay.
X.25. Aunque se trata de una tecnologa antigua, todava sigue

utilizndose en muchos lugares. X.25 tiene capacidades extensivas de
comprobacin de errores debido a que al principio las WAN eran muy
propensas a fallar a causa de un error en la transmisin de informacin.
Esto hace que sea una tecnologa fiable, pero debido a esto su ancho
de banda queda limitado lo que lo hace ms lento que Frame Relay. El
ancho de banda que puede alcanzar es de hasta 2 Mbps. X.25 es
orientado a conexin y la comprobacin de errores trabaja en las capas
2 y 3 del modelo OSI. El medio de transmisin ms comn para una
red X.25 es el cable de cobre de par trenzado. El costo de X.25 es
moderado.
Retransmisin de tramas (Frame Relay). Es una tecnologa WAN de

alto desempeo que opera en las capas 1 y 2 del modelo OSI y es de
las tecnologas de redes ms populares. Es una versin de paquetes
conmutados del RDSI ya que originalmente fue diseado para trabajar
sobre este tipo de redes, aunque actualmente se utiliza en redes muy
variadas. Frame Relay ofrece sus servicios en la capa 2, a diferencia
de X.25 que tambin proporciona servicios en la capa 3.
36
Esto permite que las redes Frame Relay sean mucho ms rpidas que
las X.25.
Una red Frame Relay consta de dos tipos de dispositivos principales,

tal como aparece en la figura 1.10. Estos son:
Equipos Terminales de Datos (DTE, Data Terminal Equipment)
Equipos Terminadores de Circuitos de Datos (DCE, Data CircuitTerminating Equipment)
Los DTEs son considerados como equipos terminales de una red

especfica
estn
localizados
en
los
dominios
del
cliente
(corporaciones). De hecho, las corporaciones pueden ser propietarias

de estos equipos. Ejemplos de DTEs son terminales, computadoras
personales, routers y switches.
Los DCEs son dispositivos de redes portadores. El propsito de un

DCE es proporcionar servicios de sincronizacin y conmutacin en una
red. Son dispositivos que transmiten datos a travs de la WAN. Para el
caso de Frame Relay, se trata de dispositivos de conmutacin de
paquetes.
Figura 1.10 Red Frame Relay
37
Frame Relay proporciona comunicacin orientada a conexin en la

capa de enlace de datos. Esto significa que una comunicacin
determinada existe entre cada par de dispositivos y que estas
conexiones estn asociadas con un identificador de conexin. Este
servicio es implementado utilizando un circuito virtual, el cual es una
conexin lgica creada entre dos DTEs a travs de una red Frame
Relay.
Los circuitos virtuales Frame Relay se dividen en dos categoras:

Circuitos Virtuales Conmutados (SVC, Switched Virtual Circuits)
Circuitos Virtuales Permanentes (PVC, Permanent Virtual Circuits)
Los SVCs son conexiones temporales utilizadas en situaciones que

requieren slo una transferencia de datos espordica entre los DTEs a
travs de la red Frame Relay. Para transmitir datos se realiza una
llamada y cuando se termina de transmitir la llamada es terminada.
Los PVCs son conexiones que son establecidas permanentemente las

cuales son utilizadas cuando se desea transferencia de datos de forma
continua entre los DTEs a travs de la red Frame Relay. Un PVC no
requiere el establecimiento y fin de llamadas como en los SVC.
Los circuitos virtuales Frame Relay son identificados por los

Identificadores de Conexin de Enlace de Datos (DLCI, Data-Link
Connection Identifiers). Los DLCI son asignados comnmente por los
proveedores de servicio Frame Relay.
El medio de transmisin ms comn para una red Frame Relay es el

cable de cobre de par trenzado y la fibra ptica y el costo de este tipo
de redes es de moderado a bajo.
38
3.4.3.3. Servicios de conmutacin de celdas
Los servicios de conmutacin de celdas proporcionan una tecnologa

de conmutacin de conexin dedicada que organiza los datos digitales
en unidades de celda y las transmite entonces por el medio fsico
utilizando tecnologa de seal digital. Los dos servicios de celdas
conmutadas son ATM y SMDS.
Modo de Transferencia Asncrono (ATM, Asynchronous Transfer

Mode). ATM surgi debido a las necesidades de crear un RDSI de
banda ancha. Es un mtodo de multiplexacin y conmutacin que
permite varios servicios. Se trata de una tcnica de conmutacin de
celdas orientada a conexin y el cual combina varias de las
caractersticas de la conmutacin de paquetes y la conmutacin de
circuitos al utilizar TDM. ATM realiza un control dinmico del ancho de
banda. De esta manera, si una fuente de datos deja de enviar
informacin, el canal de comunicacin se reasigna a otra fuente. El
ancho de banda mximo que soporta es de 622 Mbps, pero se est
trabajando para ofrecer soporte a velocidades ms elevadas. En la
figura 1.11 se muestra una red ATM tpica.
Figura 1.11 Red ATM
39
ATM convierte todo el trfico que fluye en la red a bloques de 53 bytes

llamados celdas, de los cuales 48 son de carga til y 5 son de la
cabecera que contiene la informacin de destino de la celda, de
acuerdo a la figura 1.12.
Figura 1.12 Estructura de una celda ATM
ATM no est limitada por la velocidad o distancia, la conmutacin le

permite operar a travs de las LAN y redes de banda ancha mundiales
a grandes. Estas velocidades permiten a ATM transportar voz, datos y
video por lo que puede ofrecer soporte a una red de servicios
integrados.
Al igual que Frame Relay, ATM proporciona dos tipos bsicos de

conexiones:
Circuitos Virtuales Permanentes (PVC)
Circuitos Virtuales Conmutadas (SVC)
El medio de transmisin ms comn para una red ATM es el cable de

cobre de par trenzado y la fibra ptica. El costo de este tipo de redes es
alto.
Servicio
de
Datos
Multimegabit
Conmutado
(SMDS,
Switched
Multimegabit Data Service). Es una tecnologa muy relacionada con

ATM y por lo general se utiliza en redes metropolitanas (MAN). Es una
tecnologa poco comn, el medio de transmisin ms comn para una
red SMDS es el cable de cobre de par trenzado y la fibra ptica. El
costo de este tipo de redes es alto.
40
3.4.3.4. Servicios digitales dedicados
Los servicios digitales dedicados tambin proporcionan servicios de

circuitos conmutados. Sin embargo, se trata de una conexin
dedicada; es decir, siempre est disponible. Las series T y E, xDSL y
SONET son las tecnologas de servicios digitales dedicados.
Series T y E (T1, T3, E1, E3,). La serie T de Estados Unidos,
Canad y Japn y la serie E de Europa y resto del mundo son de las
tecnologas WAN ms utilizadas. Los Laboratorios Bell desarrollaron
una jerarqua de sistemas que pueden transportar seales digitales de
voz.
En la capa ms baja de esta jerarqua se encuentra una conexin

llamado DS0 que transporta datos a 64 Kbps. 24 canales DS0 forman
una conexin llamada DS1 o T1 a una velocidad de 1.544 Mbps.
Adicionalmente, existe una T1-C la cual opera a 3.152 Mbps. Existe
tambin una T2 a 6.312 Mbps. Hay una T3, operando a 44.736 Mbps
y finalmente, una T4 a 274.176 Mbps. El ancho de banda es de 2.048
Mbps para E1 y 34.368 Mbps para E3.
La jerarqua T se muestra en la figura 1.13:
Figura 1.13 Jerarqua T
41
Tabla 1.2 La jerarqua T y E
Una trama T1 se compone de 193 bits, de los cuales 192 son para
datos y 1 bit extra llamado bit de trama es utilizado para sincronizar. El
aspecto fundamental de una trama T1 se muestra en la figura 1.14.
Figura 1.14 Estructura de una trama T1
42
T1 ha sido especificado por AT&T y por ANSI. El equivalente europeo,

E1,
es
un
estndar
del
Sector
de
Normalizacin
de
las
Telecomunicaciones (UIT-T). E1 no utiliza un reloj maestro. En Estados

Unidos, las tres portadoras mayores tienen cada una un reloj T1
maestro del cual se derivan las dems. Con estas tecnologas se
pueden construir diferentes dispositivos tales como PBX, multiplexores
T1, T1 fraccional, etc.
Las series T y E operan en la capa 1 y 2 del modelo OSI. Estas series
utilizan TDM para asignar franjas de tiempo a la transmisin de datos.
El medio de transmisin ms comn para las redes T y E es el cable de
cobre de par trenzado y la fibra ptica y el costo de este tipo de redes
es moderado.
Lnea de Abonado Digital (DSL, Digital Suscriber Line). Es un conjunto
de tecnologas y estndares utilizados para la transmisin de datos a
alta velocidad utilizando el cableado telefnico normal. Para lograr las
altas velocidades, DSL hace uso de todo el espectro de frecuencias
que se pueden transmitir por una lnea de cobre. La voz slo utiliza
bajas frecuencias por lo que las altas frecuencias son aprovechadas
para la transmisin de datos. Los rangos de frecuencias son separados
por un dispositivo especial (splitter) o por una serie de filtros que se
conectan a cada socket en el que se va a conectar un telfono. Para
lograr la conexin se utiliza un mdem DSL. Existen diferentes
tecnologas DSL, siendo algunas ms tiles para la conexin a Internet
y otras para interconectar dos o ms LAN remotas. DSL se compone
de las siguientes tecnologas:
DSL Asimtrico (ADSL, Asymmetric DSL)
DSL de Alta Velocidad (HDSL, High-bit-rate DSL)
DSL de Velocidad Adaptable (RADSL, Rate Adaptable DSL)
DSL Simtrico o de Lnea nica (SDSL, Single-line DSL)
DSL de muy Alta Velocidad (VDSL, Very-high-data-rate DSL)
43
ADSL es la tecnologa ms popular actualmente, debido a su amplio

uso domstico. Ofrece distintas velocidades que pueden alcanzar hasta
8 Mbps en recepcin y 1 Mbps en envo de datos, aunque lo ms
comn es una velocidad de 1.5 Mbps para la recepcin y 256 kbps
para el envo. El costo de las redes DSL es moderado pero se est
reduciendo cada vez ms.
Red ptica Sncrona (SONET, Synchronous Optical Network). Es

un conjunto de tecnologas de capa fsica de alta velocidad diseadas
especialmente para la fibra ptica, aunque tambin pueden ser
implementadas en cable de cobre de par trenzado. SONET define una
tecnologa para transportar muchas seales de diferentes capacidades
a travs de una jerarqua ptica, flexible y sncrona. Esto se cumple a
travs de un esquema de multiplexacin de difusin de bytes. Esto
simplifica la multiplexacin y proporciona una administracin de la red
de punto a punto.
El primer paso en el proceso de la multiplexacin SONET involucra la
generacin del nivel ms bajo de la seal base. En SONET esta seal
base es llamada Seal de Transporte Sncrono Nivel 1 (STS-1,
Synchronous Transport Signal), la cual constituye el nivel elctrico
utilizado en los dispositivos de hardware. Las seales de niveles
mayores son mltiplos enteros de STS-1, la cual crea toda una familia
de seales STS-N. Una seal STS-N se compone de N seales STS
de difusin de bytes. La parte ptica para cada seal STS-N se
denomina Portadora ptica Nivel N (OC-N, Optical Carrier), la cual es
utilizada en las transmisiones por fibra ptica.
En la tabla 1.3 se muestra la jerarqua de seales SONET, su velocidad

as como la equivalencia con la serie T.
44
El formato de una seal STS-1 se muestra en la figura 1.15. En

general, la trama puede ser dividida en dos reas principales: cabecera
de transporte y Envoltura de Carga til Sncrona (SPE, Synchronous
Payload Envelope). El SPE se puede dividir tambin en dos partes:
cabecera de ruta STS y la carga til.
Figura 1.15 Estructura de una trama SONET

La carga til tiene la capacidad de transportar arriba de 28 DS1s, 1DS3
o 21 seales de 2.048 Mbps o combinaciones de las anteriores. STS-1
es una secuencia especfica de 810 bytes (6480 bits). Con una longitud
de trama de 125 s (8000 tramas por segundo), STS-1 tiene una tasa
de bits de 51.840 Mbps. El formato de una trama STS se compone de 9
filas de 90 columnas de bytes, es decir, 810 bytes. El orden de
transmisin es de fila por fila, de izquierda a derecha.
Las redes SONET obtienen una alta velocidad de datos utilizando
Multiplexacin por Divisin de Longitud de Onda (WDM, Wavelength
Division Multiplexing). WDM es una tecnologa que sincroniza los
lseres a colores diferentes, lo que proporciona diferentes longitudes
de onda y as poder enviar enormes cantidades de datos. SONET se
utiliza principalmente en las entidades backbone de Internet. El costo
de esta tecnologa es alto.
45
3.5.
DIRECCIN IP
Una direccin IP es una etiqueta numrica que identifica, de manera
lgica y jerrquica, a una interfaz (elemento de comunicacin/conexin)
de un dispositivo (habitualmente una computadora) dentro de una red
que utilice el protocolo IP (Internet Protocol), que corresponde al nivel
de red del Modelo OSI. Dicho nmero no se ha de confundir con
la direccin MAC, que es un identificador de 48 bits para identificar de
forma nica la tarjeta de red y no depende del protocolo de conexin
utilizado ni de la red. La direccin IP puede cambiar muy a menudo por
cambios en la red o porque el dispositivo encargado dentro de la red de
asignar las direcciones IP decida asignar otra IP (por ejemplo, con el
protocolo DHCP). A esta forma de asignacin de direccin IP se
denomina tambin direccin IP dinmica (normalmente abreviado
como IP dinmica).
Los sitios de Internet que por su naturaleza necesitan estar
permanentemente conectados generalmente tienen una direccin IP
fija (comnmente, IP fija o IP esttica). Esta no cambia con el tiempo.
Los servidores de correo, DNS, FTP pblicos y servidores de pginas
web necesariamente deben contar con una direccin IP fija o esttica,
ya que de esta forma se permite su localizacin en la red.
Las computadoras se conectan entre s mediante sus respectivas
direcciones IP. Sin embargo, a los seres humanos nos es ms cmodo
utilizar otra notacin ms fcil de recordar, como los nombres de
dominio; la traduccin entre unos y otros se resuelve mediante los
servidores de nombres de dominio DNS, que a su vez facilita el trabajo
en caso de cambio de direccin IP, ya que basta con actualizar la
informacin en el servidor DNS y el resto de las personas no se
enterarn, ya que seguirn accediendo por el nombre de dominio.
3.5.1.
Direcciones IPV4
Las direcciones IPv4 se expresan por un nmero binario de 32 bits,

permitiendo un espacio de direcciones de hasta 4.294.967.296 (2 32)
46
direcciones posibles. Las direcciones IP se pueden expresar como

nmeros de notacin decimal: se dividen los 32 bits de la direccin en
cuatro octetos. El valor decimal de cada octeto est comprendido en el
intervalo de 0 a 255 [el nmero binario de 8 bits ms alto es 11111111
y esos bits, de derecha a izquierda, tienen valores decimales de 1, 2, 4,
8, 16, 32, 64 y 128, lo que suma 255].
En la expresin de direcciones IPv4 en decimal se separa cada octeto
por un carcter nico ".". Cada uno de estos octetos puede estar
comprendido entre 0 y 255.
Ejemplo de representacin de direccin IPv4: 10.128.1.253
En las primeras etapas del desarrollo del Protocolo de Internet,1 los
administradores de Internet interpretaban las direcciones IP en dos
partes, los primeros 8 bits para designar la direccin de red y el resto
para individualizar la computadora dentro de la red.
Este mtodo pronto prob ser inadecuado, cuando se comenzaron a
agregar nuevas redes a las ya asignadas. En 1981 el direccionamiento
internet fue revisado y se introdujo la arquitectura de clases. (classful
network architecture).
En esta arquitectura hay tres clases de direcciones IP que una
organizacin puede recibir de parte de la Internet Corporation for
Assigned Names and Numbers (ICANN): clase A, clase B y clase C. En
una red de clase A, se asigna el primer octeto para identificar la red,
reservando los tres ltimos octetos (24 bits) para que sean asignados a
los hosts, de modo que la cantidad mxima de hosts es 224 - 2 (se
excluyen la direccin reservada para broadcast (ltimos octetos en
255) y de red (ltimos octetos en 0)), es decir, 16777214 hosts.
En una red de clase B, se asignan los dos primeros octetos para
identificar la red, reservando los dos octetos finales (16 bits) para que
sean asignados a los hosts, de modo que la cantidad mxima
de hostspor cada red es 216 - 2, o 65534 hosts.
47
En una red de clase C, se asignan los tres primeros octetos para

identificar la red, reservando el octeto final (8 bits) para que sea
asignado a los hosts, de modo que la cantidad mxima de hosts por
cada red es 28 - 2, o 254 hosts.
Clase
Intervalo
0.0.0.0 127.255.255.255
128.0.0.0 191.255.255.255
192.0.0.0 223.255.255.255
224.0.0.0 239.255.255.255
240.0.0.0 255.255.255.255
N. de
redes
N. de
equipos
por red
Mscara de
red
Id. broadcast
128
16777214
255.0.0.0
x.255.255.255
16384
65534
255.255.0.0
x.x.255.255
2097152
254
255.255.255.0
x.x.x.255
histrico
histrico
La direccin 0.0.0.0 es reservada por la IANA para identificacin

local.
La direccin que tiene los bits de host iguales a cero sirve para
definir la red en la que se ubica. Se denomina direccin de red.
48
La direccin que tiene los bits correspondientes a host iguales a

255, sirve para enviar paquetes a todos los hosts de la red en la
que se ubica. Se denomina direccin de broadcast.
Las direcciones 127.x.x.x se reservan para designar la propia

mquina. Se denomina direccin de bucle local o loopback.
El diseo de redes de clases (classful) sirvi durante la expansin de

internet, sin embargo este diseo no era escalable y frente a una gran
expansin de las redes en la dcada de los noventa, el sistema de
espacio de direcciones de clases fue reemplazado por una arquitectura
de redes sin clases Classless Inter-Domain Routing (CIDR)4 en el ao
1993. CIDR est basada en redes de longitud de mscara de subred
variable (variable-length subnet masking VLSM) que permite asignar
redes de longitud de prefijo arbitrario. Permitiendo una distribucin de
direcciones ms fina
y granulada,
calculando
las direcciones
necesarias y "desperdiciando" las mnimas posibles.
3.5.1.1. Direcciones privadas

Existen ciertas direcciones en cada clase de direccin IP que no estn
asignadas y que se denominan direcciones privadas. Las direcciones
privadas pueden ser utilizadas por los hosts que usan traduccin de
direccin de red (NAT) para conectarse a una red pblica o por
los hosts que no se conectan a Internet. En una misma red no pueden
existir dos direcciones iguales, pero s se pueden repetir en dos redes
privadas que no tengan conexin entre s o que se conecten mediante
el protocolo NAT. Las direcciones privadas son:
Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts).
Clase B: 172.16.0.0 a 172.31.255.255 (16 bits red, 16 bits hosts). 16
redes clase B contiguas, uso en universidades y grandes compaas.
Clase C: 192.168.0.0 a 192.168.255.255 (24 bits red, 8 bits hosts). 256
redes clase C continuas, uso de compaas medias y pequeas
adems de pequeos proveedores de internet (ISP).
49
Muchas aplicaciones requieren conectividad dentro de una sola red, y

no necesitan conectividad externa. En las redes de gran tamao a
menudo se usa TCP/IP. Por ejemplo, los bancos pueden utilizar TCP/IP
para conectar los cajeros automticos que no se conectan a la red
pblica, de manera que las direcciones privadas son ideales para estas
circunstancias. Las direcciones privadas tambin se pueden utilizar en
una red en la que no hay suficientes direcciones pblicas disponibles.
Las direcciones privadas se pueden utilizar junto con un servidor de
traduccin de direcciones de red (NAT) para suministrar conectividad a
todos los hosts de una red que tiene relativamente pocas direcciones
pblicas disponibles. Segn lo acordado, cualquier trfico que posea
una direccin destino dentro de uno de los intervalos de direcciones
privadas no se enrutar a travs de Internet.
3.5.1.2. Mscara de subred
La mscara permite distinguir los bits que identifican la red y los que
identifican el host de una direccin IP. Dada la direccin de clase A
10.2.1.2 sabemos que pertenece a la red 10.0.0.0 y el host al que se
refiere es el 2.1.2 dentro de la misma. La mscara se forma poniendo a
1 los bits que identifican la red y a 0 los bits que identifican el host. De
esta forma una direccin de clase A tendr como mscara 255.0.0.0,
una de clase B 255.255.0.0 y una de clase C 255.255.255.0. Los
dispositivos de red realizan un AND entre la direccin IP y la mscara
para obtener la direccin de red a la que pertenece el host identificado
por la direccin IP dada. Por ejemplo un router necesita saber cul es
la red a la que pertenece la direccin IP del datagrama destino para
poder
consultar
la tabla
de
encaminamiento y
poder
enviar
el datagrama por la interfaz de salida. Para esto se necesita tener

cables directos. La mscara tambin puede ser representada de la
siguiente forma 10.2.1.2/8 donde el /8 indica que los 8 bits ms
significativos de mscara estn destinados a redes, es decir /8 =
255.0.0.0. Anlogamente (/16 = 255.255.0.0) y (/24 = 255.255.255.0).
50
3.5.1.3. Creacin de subredes

El espacio de direcciones de una red puede ser subdividido a su vez
creando subredes autnomas separadas. Un ejemplo de uso es
cuando necesitamos agrupar todos los empleados pertenecientes a un
departamento
una subred que
de
una empresa.
englobara
las
En
este
direcciones
IP
caso
de
crearamos
stos.
Para
conseguirlo hay que reservar bits del campo host para identificar la
subred estableciendo a uno los bits de red-subred en la mscara. Por
ejemplo la direccin 172.16.1.1 con mscara 255.255.255.0 nos indica
que los dos primeros octetos identifican la red (por ser una direccin de
clase B), el tercer octeto identifica la subred (a 1 los bits en la mscara)
y el cuarto identifica el host (a 0 los bits correspondientes dentro de la
mscara). Hay dos direcciones de cada subred que quedan
reservadas: aquella que identifica la subred (campo host a 0) y la
direccin para realizar broadcast en la subred (todos los bits del
campo host en 1).
3.5.1.4. IP dinmica
Una direccin IP dinmica es una IP asignada mediante un
servidor DHCP (Dynamic Host Configuration Protocol) al usuario. La
IP que se obtiene tiene una duracin mxima determinada. El servidor
DHCP provee parmetros de configuracin especficos para cada
cliente que desee participar en la red IP. Entre estos parmetros se
encuentra la direccin IP del cliente.
DHCP apareci como protocolo estndar en octubre de 1993. El
estndar RFC 2131 especifica la ltima definicin de DHCP (marzo de
1997). DHCP sustituye al protocolo BOOTP, que es ms antiguo.
Debido a la compatibilidad retroactiva de DHCP, muy pocas redes
continan usando BOOTP puro.
Las IP dinmicas son las que actualmente ofrecen la mayora de
operadores. El servidor del servicio DHCP puede ser configurado para
que renueve las direcciones asignadas cada tiempo determinado.
51
Ventajas
Reduce los costos de operacin a los proveedores de servicios de
Internet (ISP).
Reduce la cantidad de IP asignadas (de forma fija) inactivas.
El usuario puede reiniciar el router para que le sea asignada otra IP
y as evitar las restricciones que muchas webs ponen a sus
servicios gratuitos de descarga o visionado multimedia online.
Desventajas
Obliga a depender de servicios que redirigen un host a una IP.
Asignacin de direcciones IP
Dependiendo de la implementacin concreta, el servidor DHCP
tiene tres mtodos para asignar las direcciones IP:
a) Manualmente, cuando el servidor tiene a su disposicin una tabla

que
empareja direcciones
MAC con
direcciones
IP,
creada
manualmente por el administrador de la red. Slo clientes con una

direccin MAC vlida recibirn una direccin IP del servidor.
b) Automticamente, donde el servidor DHCP asigna por un tiempo

preestablecido ya por el administrador una direccin IP libre, tomada de
un intervalo prefijado tambin por el administrador, a cualquier cliente
que solicite una.
c) Dinmicamente, el nico mtodo que permite la reutilizacin de
direcciones IP. El administrador de la red asigna un intervalo de
direcciones IP para el DHCP y cada ordenador cliente de la LAN tiene
su software de comunicacin TCP/IP configurado para solicitar una
direccin IP del servidor DHCP cuando su tarjeta de interfaz de red se
inicie. El proceso es transparente para el usuario y tiene un periodo de
validez limitado.
52
3.5.1.5. IP fija
Una direccin IP fija es una direccin IP asignada por el usuario de
manera manual (Que en algunos casos el ISP o servidor de la red no lo
permite), o por el servidor de la red (ISP en el caso de internet, router o
switch en caso de LAN) con base en la Direccin MAC del cliente.
Mucha gente confunde IP Fija con IP pblica e IP dinmica con IP
privada.
Una IP puede ser privada ya sea dinmica o fija como puede ser IP
pblica dinmica o fija.
Una IP pblica se utiliza generalmente para montar servidores en
internet y necesariamente se desea que la IP no cambie por eso
siempre la IP pblica se la configura de manera fija y no dinmica,
aunque si se podra.
En el caso de la IP privada generalmente es dinmica asignada por un
servidor DHCP, pero en algunos casos se configura IP privada fija para
poder controlar el acceso a internet o a la red local, otorgando ciertos
privilegios dependiendo del nmero de IP que tenemos, si esta
cambiara (fuera dinmica) sera ms complicado controlar estos
privilegios (pero no imposible).
3.5.2.
Direcciones IPV6
La funcin de la direccin IPv6 es exactamente la misma que la de su

predecesor IPv4, pero dentro del protocolo IPv6. Est compuesta por
128 bits y se expresa en una notacin hexadecimal de 32 dgitos. IPv6
permite actualmente que cada persona en la Tierra tenga asignados
varios
millones
de
IPs,
ya
que
puede
implementarse
con
2128 (3.41038 hosts direccionables). La ventaja con respecto a la

direccin IPv4 es obvia en cuanto a su capacidad de direccionamiento.
Su representacin suele ser hexadecimal y para la separacin de cada
par de octetos se emplea el smbolo ":". Un bloque abarca desde 0000
53
hasta FFFF. Algunas reglas de notacin acerca de la representacin de

direcciones IPv6 son:
Los ceros iniciales se pueden obviar.
a) Ejemplo: 2001:0123:0004:00ab:0cde:3403:0001:0063
> 2001:123:4:ab:cde:3403:1:63
Los bloques contiguos de ceros se pueden comprimir empleando
"::". Esta operacin slo se puede hacer una vez.
b) Ejemplo: 2001:0:0:0:0:0:0:4 -> 2001::4.
Ejemplo
no
vlido: 2001:0:0:0:2:0:0:1
ser 2001::2:0:0:1 o 2001:0:0:0:2::1).
54
->
2001::2::1 (debera
3.6. INTERNET
Internet es
un
conjunto
descentralizado
comunicacin interconectadas
de protocolos TCP/IP,
lo
que
cual
de redes
utilizan
garantiza
que
las
de
la
familia
redes
fsicas
heterogneas que la componen funcionen como una red lgica nica,

de alcance mundial. Sus orgenes se remontan a 1969, cuando se
estableci
la
como Arpanet,
primera
entre
conexin
tres
de
computadoras,
universidades
conocida
en California y
una
en Utah, Estados Unidos.

Uno de los servicios que ms xito ha tenido en Internet ha sido
la World Wide Web (WWW o la Web), a tal punto que es habitual la
confusin entre ambos trminos. La WWW es un conjunto de
protocolos que permite, de forma sencilla, la consulta remota de
archivos de hipertexto. Esta fue un desarrollo posterior (1990) y utiliza
Internet como medio de transmisin.
Existen, por tanto, muchos otros servicios y protocolos en Internet,
aparte de la Web: el envo de correo electrnico (SMTP), la transmisin
de
archivos
(FTP y P2P),
las
conversaciones
en
lnea (IRC),
la mensajera instantnea y presencia, la transmisin de contenido y

comunicacin
multimedia
telefona (VoIP), televisin (IPTV),
los
boletines electrnicos (NNTP), el acceso remoto a otros dispositivos

(SSH y Telnet) o los juegos en lnea.
El gnero de la palabra Internet es ambiguo, segn el Diccionario de la
lengua espaola de la Real Academia Espaola.
55
3.6.1.
Topologa de Internet
Enrutamiento y capas de servicio
Grfica del encapsulamiento en paquetes de datos.
Paquetes de Internet de varios proveedores.
Los Proveedores de Servicios de Internet (ISP) conectan a clientes,

quienes representan la parte ms baja en la jerarqua de enrutamiento,
con otros clientes de otros ISP a travs de capas de red ms altas o del
mismo nivel. En lo alto de la jerarqua de enrutamiento estn las redes
de
56
capa
1,
grandes
compaas
de
telecomunicaciones
que
intercambian trfico directamente con otras a travs de acuerdos de

interconexin.
Redes de capa 2 y de ms bajo nivel compran trfico de Internet de
otros proveedores para alcanzar al menos algunas partes del Internet
mundial, aunque tambin pueden participar en la interconexin. Un ISP
puede
usar
un
nico
proveedor
para
la
conectividad
implementar multihoming para conseguir redundancia y balanceo de

carga. Los puntos neutros tienen las cargas ms importantes de trfico
y tienen conexiones fsicas a mltiples ISP.
Los ordenadores y routers utilizan las tablas de enrutamiento para
dirigir los paquetes IP entre las mquinas conectadas localmente. Las
tablas pueden ser construidas de forma manual o automticamente a
travs de DHCP para un equipo individual o un protocolo de
enrutamiento para los routers de s mismos. En un solo homed
situaciones, una ruta por defecto por lo general apunta hacia "arriba"
hacia un ISP proporciona el transporte. De ms alto nivel de los ISP
utilizan el Border Gateway Protocolo para solucionar rutas de acceso a
un determinado rango de direcciones IP a travs de las complejas
conexiones de la Internet global.
Las instituciones acadmicas, las grandes empresas, gobiernos y otras
organizaciones pueden realizar el mismo papel que los ISP, con la
participacin en el intercambio de trfico y trnsito de la compra en
nombre de sus redes internas de las computadoras individuales. Las
redes de investigacin tienden a interconectarse en subredes grandes
como GEANT, GLORIAD, Internet2, y de investigacin nacional del
Reino Unido y la red de la educacin, Janet. Estos a su vez se
construyen alrededor de las redes ms pequeas (vase la lista de
organizaciones acadmicas de redes informticas).
No todas las redes de ordenadores estn conectadas a Internet. Por
ejemplo, algunos clasificados los sitios web de los Estados slo son
accesibles desde redes seguras independientes.
57
3.6.2.
Acceso a Internet
Esquema con las tecnologas relacionadas al Internet actual.

Los mtodos comunes de acceso a Internet en los hogares incluyen
dial-up, banda ancha fija (a travs de cable coaxial, cables de fibra
ptica o cobre), Wi-Fi, televisin va satlite y telfonos celulares con
tecnologa 3G/4G. Los lugares pblicos de uso del Internet incluyen
bibliotecas y cafs de internet, donde los ordenadores con conexin a
Internet estn disponibles. Tambin hay puntos de acceso a Internet en
muchos lugares pblicos, como salas de los aeropuertos y cafeteras,
en algunos casos slo para usos de corta duracin. Se utilizan varios
trminos, como "kiosco de Internet", "terminal de acceso pblico", y
"telfonos pblicos Web". Muchos hoteles ahora tambin tienen
terminales de uso pblico, las cuales por lo general basados en
honorarios. Estos terminales son muy visitados para el uso de varios
clientes, como reserva de entradas, depsito bancario, pago en lnea,
etc. Wi-Fi ofrece acceso inalmbrico a las redes informticas, y por lo
tanto, puede hacerlo a la propia Internet. Hotspots les reconocen ese
derecho incluye Wi-Fi de los cafs, donde los aspirantes a ser los
usuarios necesitan para llevar a sus propios dispositivos inalmbricos,
tales como un ordenador porttil o PDA.
Estos servicios pueden ser gratis para todos, gratuita para los clientes
solamente, o de pago. Un punto de acceso no tiene por qu estar
58
limitado a un lugar confinado. Un campus entero o parque, o incluso

una ciudad entera pueden ser activados.
Los esfuerzos de base han dado lugar a redes inalmbricas
comunitarias. Los servicios comerciales de Wi-Fi cubren grandes reas
de la ciudad estn en su lugar en Londres, Viena, Toronto, San
Francisco, Filadelfia, Chicago y Pittsburgh.
El
Internet
se
puede
acceder desde lugares tales como un banco del parque. Aparte de WiFi, se han realizado experimentos con propiedad de las redes mviles
inalmbricas como Ricochet, varios servicios de alta velocidad de datos
a travs de redes de telefona celular, y servicios inalmbricos fijos. De
gama alta los telfonos mviles como telfonos inteligentes en general,
cuentan con acceso a Internet a travs de la red telefnica.
Navegadores web como Opera estn disponibles en estos telfonos
avanzados, que tambin puede ejecutar una amplia variedad de
software de Internet. Ms telfonos mviles con acceso a Internet que
los PC, aunque esto no es tan ampliamente utilizado. El proveedor de
acceso a Internet y la matriz del protocolo se diferencian de los
mtodos utilizados para obtener en lnea.
Un apagn de Internet o interrupcin puede ser causada por
interrupciones locales de sealizacin. Las interrupciones de cables de
comunicaciones
submarinos
pueden
causar
apagones
desaceleraciones a grandes reas, tales como en la interrupcin

submarino 2008 por cable. Los pases menos desarrollados son ms
vulnerables debido a un pequeo nmero de enlaces de alta
capacidad. Cables de tierra tambin son vulnerables, como en 2011,
cuando una mujer cavando en busca de chatarra de metal cortado la
mayor parte de conectividad para el pas de Armenia. Internet
apagones que afectan a los pases casi todo se puede lograr por los
gobiernos como una forma de censura en Internet, como en el bloqueo
de Internet en Egipto, en el que aproximadamente el 93 % de las redes
no tenan acceso en 2011 en un intento por detener la movilizacin de
protestas contra el gobierno.
59
En un estudio norteamericano en el ao 2005, el porcentaje de

hombres que utilizan Internet era muy ligeramente por encima del
porcentaje de las mujeres, aunque esta diferencia se invierte en los
menores de 30. Los hombres se conectan ms a menudo, pasan ms
tiempo en lnea, y son ms propensos a ser usuarios de banda ancha,
mientras que las mujeres tienden a hacer mayor uso de las
oportunidades de comunicacin (como el correo electrnico). Los
hombres eran ms propensos a utilizar el Internet para pagar sus
cuentas, participar en las subastas, y para la recreacin, tales como la
descarga de msica y videos. Hombres y mujeres tenan las mismas
probabilidades de utilizar Internet para hacer compras y la banca. Los
estudios ms recientes indican que en 2008, las mujeres superaban en
nmero a los hombres de manera significativa en la mayora de los
sitios de redes sociales, como Facebook y Myspace, aunque las
relaciones variaban con la edad. Adems, las mujeres vieron ms
contenido de streaming, mientras que los hombres descargaron ms
En cuanto a los blogs, los hombres eran ms propensos al blog en el
primer lugar; entre los que el blog, los hombres eran ms propensos a
tener un blog profesional, mientras que las mujeres eran ms
propensas a tener un blog personal.
3.6.3.
Nombres de dominio
La Corporacin de Internet para los Nombres y los Nmeros

Asignados (ICANN) es la autoridad que coordina la asignacin de
identificadores nicos en Internet, incluyendo nombres de dominio,
direcciones de Protocolos de Internet, nmeros del puerto del protocolo
y de parmetros. Un nombre global unificado (es decir, un sistema de
nombres exclusivos para sostener cada dominio) es esencial para que
Internet funcione.
El ICANN tiene su sede en California, supervisado por una Junta
Directiva
Internacional
con
comunidades
tcnicas,
comerciales,
acadmicas y ONG. El gobierno de los Estados Unidos contina
60
teniendo un papel privilegiado en cambios aprobados en el Domain

Name System. Como Internet es una red distribuida que abarca
muchas redes voluntariamente interconectadas, Internet, como tal, no
tiene ningn cuerpo que lo gobierne.
3.6.4.
Usos modernos
El Internet moderno permite una mayor flexibilidad en las horas de

trabajo y la ubicacin. Con el Internet se puede acceder a casi
cualquier lugar, a travs de dispositivos mviles de Internet. Los
telfonos mviles, tarjetas de datos, consolas de juegos porttiles y
routers celulares permiten a los usuarios conectarse a Internet de
forma inalmbrica. Dentro de las limitaciones impuestas por las
pantallas pequeas y otras instalaciones limitadas de estos dispositivos
de bolsillo, los servicios de Internet, incluyendo correo electrnico y la
web, pueden estar disponibles al pblico en general. Los proveedores
de internet puede restringir los servicios que ofrece y las cargas de
datos mviles puede ser significativamente mayor que otros mtodos
de acceso.
Se puede encontrar material didctico a todos los niveles, desde
preescolar hasta post-doctoral est disponible en sitios web. Los
ejemplos van desde CBeebies, a travs de la escuela y secundaria
guas de revisin, universidades virtuales, al acceso a la gama alta de
literatura acadmica a travs de la talla de Google Acadmico. Para la
educacin a distancia, ayuda con las tareas y otras asignaciones, el
auto-aprendizaje guiado, entreteniendo el tiempo libre, o simplemente
buscar ms informacin sobre un hecho interesante, nunca ha sido
ms fcil para la gente a acceder a la informacin educativa en
cualquier nivel, desde cualquier lugar. El Internet en general es un
importante facilitador de la educacin tanto formal como informal.
El bajo costo y el intercambio casi instantneo de las ideas,
conocimientos y habilidades han hecho el trabajo colaborativo
dramticamente ms fcil, con la ayuda del software de colaboracin.
De chat, ya sea en forma de una sala de chat IRC o del canal, a travs
61
de un sistema de mensajera instantnea, o un sitio web de redes

sociales, permite a los colegas a mantenerse en contacto de una
manera muy conveniente cuando se trabaja en sus computadoras
durante el da. Los mensajes pueden ser intercambiados de forma ms
rpida y cmodamente a travs del correo electrnico. Estos sistemas
pueden permitir que los archivos que se intercambian, dibujos e
imgenes para ser compartidas, o el contacto de voz y vdeo entre los
miembros del equipo.
Sistemas de gestin de contenido permiten la colaboracin a los
equipos trabajar en conjuntos de documentos compartidos al mismo
tiempo, sin destruir accidentalmente el trabajo del otro. Los equipos de
negocio y el proyecto pueden compartir calendarios, as como
documentos y otra informacin. Esta colaboracin se produce en una
amplia variedad de reas, incluyendo la investigacin cientfica,
desarrollo de software, planificacin de la conferencia, el activismo
poltico y la escritura creativa. La colaboracin social y poltica es cada
vez ms generalizada, como acceso a Internet y difusin conocimientos
de informtica.
La Internet permite a los usuarios de computadoras acceder
remotamente a otros equipos y almacenes de informacin fcilmente,
donde quiera que estn. Pueden hacer esto con o sin la seguridad
informtica, es decir, la autenticacin y de cifrado, dependiendo de los
requerimientos. Esto es alentador, nuevas formas de trabajo, la
colaboracin y la informacin en muchas industrias. Un contador
sentado en su casa puede auditar los libros de una empresa con sede
en otro pas. Estas cuentas podran haber sido creado por trabajo
desde casa tenedores de libros, en otros lugares remotos, con base en
la informacin enviada por correo electrnico a las oficinas de todo el
mundo. Algunas de estas cosas eran posibles antes del uso
generalizado de Internet, pero el costo de lneas privadas arrendadas
se han hecho muchos de ellos no factibles en la prctica. Un empleado
de oficina lejos de su escritorio, tal vez al otro lado del mundo en un
viaje de negocios o de placer, puede acceder a sus correos
62
electrnicos, acceder a sus datos usando la computacin en nube, o

abrir una sesin de escritorio remoto a su PC de la oficina usando un
seguro virtual Private Network (VPN) en Internet. Esto puede dar al
trabajador el acceso completo a todos sus archivos normales y datos,
incluyendo aplicaciones de correo electrnico y otros, mientras que
fuera
de
la
oficina.
Este
concepto
ha
sido
remitido
los
administradores del sistema como la pesadilla privada virtual, ya que

ampla el permetro de seguridad de una red corporativa en lugares
remotos y las casas de sus empleados.
63
3.7. RED PRIVADA VIRTUAL (VPN)

3.7.1.
Definicin
Una Virtual Private Network (VPN) es un sistema para simular una

red privada sobre una red pblica, por ejemplo, Internet. La idea es
que la red pblica sea "vista" desde dentro de la red privada como un
cable lgico que une las dos o ms redes que pertenecen a la red
privada.
Una VPN no es ms que una estructura de red corporativa
implantada sobre una red de recursos de carcter pblico, pero que
utiliza el mismo sistema de gestin y las mismas polticas de acceso
que se usan en las redes privadas, al fin y al cabo no es ms que
la creacin en una red pblica de
confidencial y
privado que
un
entorno de
carcter
permitir trabajar al usuario como si
estuviera en su misma red local.

La configuracin de una red privada virtual (VPN) garantiza que los
equipos remotos se conecten a travs de una conexin confiable
(Internet), como si estuvieran en la misma red de rea local.
Este proceso es utilizado por una variedad de compaas para permitir
que los usuarios se conecten a la red cuando no se encuentran en el
sitio de trabajo.
El ejemplo ms comn es la posibilidad de conectar dos o ms
sucursales de una empresa utilizando como vnculo Internet, permitir
a los miembros del equipo de soporte tcnico la conexin desde
su casa al centro de cmputo, o que un usuario pueda acceder a su
equipo domstico desde un sitio remoto, como por ejemplo un hotel.
Todo esto utilizando la infraestructura de Internet.
Este sistema de conectividad privada es la forma ms econmica y
fiable del mercado para mantener conectados diversos puntos
(computadoras) de cualquier parte del mundo.
64
Definicin de una VPN

3.7.2.
Estructura
Las VPNs tambin permiten la conexin de usuarios mviles a la

red privada, tal como si estuvieran en una LAN dentro de una
oficina de la empresa donde se implementa la VPN. Esto resulta muy
conveniente para personal que no tiene lugar fijo de trabajo dentro
de la empresa, como podran ser vendedores, ejecutivos que viajan,
personal que realiza trabajo desde el hogar, etc.
La forma de comunicacin entre las partes de la red privada a travs
de la red pblica se hace estableciendo tneles virtuales entre dos
puntos para los cuales se negocian esquemas de encriptacin y
autentificacin que aseguran la confidencialidad e integridad de
los datos transmitidos utilizando la red pblica. Como se usan redes
pblicas, en general Internet, es necesario prestar debida atencin a
las cuestiones de seguridad, que se aborda a travs de estos
esquemas de encriptacin y autentificacin.
La tecnologa de tneles ("Tunneling") es un modo de transferir datos
en la que se encapsula un tipo de paquetes de datos dentro del
paquete de datos de algn protocolo, no necesariamente diferente al
del paquete original. Al llegar al destino, el paquete original es
desempaquetado volviendo as a su estado original. En el traslado a
travs de Internet, los paquetes viajan encriptados.
65
Las tcnicas de autenticacin son esenciales en las VPNs, ya que

aseguran a los participantes de la misma que estn intercambiando
informacin con el usuario o
dispositivo correcto. La autenticacin
en VPNs es conceptualmente parecido al logeo en un sistema como

nombre de usuario y contrasea, pero con necesidades mayores
de aseguramiento de validacin de identidades. La mayora de los
sistemas de autenticacin usados en VPN estn basados en un
sistema de claves compartidas.
La autenticacin es llevada a cabo generalmente al inicio de una
sesin, y luego aleatoriamente durante el curso de la misma, para
asegurar que no haya algn tercer participante que se haya
entrometido en la conversacin. La autenticacin tambin puede ser
usada para asegurar la integridad de los datos. Los datos son
procesados con un algoritmo de hashing para derivar un valor
incluido en el mensaje como checksum. Cualquier desviacin en el
checksum indica que los datos fueron corruptos en la transmisin o
interceptados y modificados en el camino.
Ejemplos de sistemas de autenticacin son Challenge Handshake
Authentication Protocol (CHAP) y RSA.
Todas las VPNs tienen algn tipo de tecnologa de encriptacin,
que esencialmente empaqueta los datos en un paquete seguro. La
encriptacin es considerada tan esencial como la autenticacin, ya que
protege los datos transportados de poder ser vistos y entendidos en el
viaje de un extremo a otro de la conexin.
En las VPNs, la encriptacin debe ser realizada en tiempo real. Por
eso, los flujos
encriptados a travs de una red son encriptados
utilizando encriptacin de
clave secreta con
claves que
son
solamente buenas para sesiones de flujo. El protocolo ms usado

para la encriptacin dentro de las VPNs es IPSec, que consiste en un
conjunto de proposals del IETF que delinean un protocolo IP seguro
para IPv4 e IPv6. IPSec provee encriptacin a nivel de IP.
66
3.7.3.
Arquitecturas bsicas
3.7.3.1. VPN de acceso remoto

ste es quizs el modelo ms usado actualmente y consiste en
usuarios o proveedores que se conectan con la empresa desde sitios
remotos (oficinas comerciales, domicilios, hotel, aviones, etctera)
utilizando Internet como vnculo de acceso. Una vez autenticados
tienen un nivel de acceso muy similar al que tienen en la red local de
la empresa. Muchas empresas han reemplazado con esta tecnologa
su infraestructura 'dial-up' (mdems y lneas telefnicas).
3.7.3.2. VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede
central de organizacin. El servidor VPN, que posee un vnculo
permanente a Internet, acepta las conexiones va Internet provenientes
de los sitios y establece el tnel VPN. Los servidores de las sucursales
se conectan a Internet utilizando los servicios de su
proveedor
local de Internet, tpicamente mediante conexiones de banda ancha.

Esto permite eliminar los costosos vnculos punto a punto tradicional,
sobre todo en las comunicaciones internacionales es ms comn el
anterior punto. Tambin llamada tecnologa de tnel o tunneling.
67
Arquitectura bsica de VPN.

3.7.4.
Funcionamiento
Desde el punto de vista del usuario que se conecta a ella, el

funcionamiento de una VPN es similar al de cualquier red normal,
aunque realmente para que el comportamiento se perciba como el
mismo hay un gran nmero de elementos y factores que hacen esto
posible.
La comunicacin entre los dos extremos de la red privada a travs de
la red pblica se hace estableciendo tneles virtuales entre esos dos
puntos y usando sistemas de encriptacin y autentificacin que
aseguren la confidencialidad e integridad de los datos transmitidos a
travs de esa red pblica. Debido al uso de estas redes pblicas,
generalmente Internet, es necesario prestar especial atencin a las
cuestiones de seguridad para evitar accesos no deseados.
En el traslado a travs de Internet, los paquetes viajan encriptados, por
este motivo, las tcnicas de autenticacin son esenciales para el
correcto funcionamiento de las VPNs, ya que se aseguran a emisor y
receptor que estn intercambiando informacin
dispositivo correcto.
68
con el usuario o
3.7.5.
Tipos de encriptacin
3.7.5.1. Encriptacin con clave secreta

Esta encriptacin se utiliza una contrasea secreta conocida por todos
los participantes que van a hacer uso de la informacin encriptada. La
contrasea se utiliza tanto para encriptar como para desencriptar la
informacin. Este tipo de sistema tiene el problema que, al ser
compartida por todos los participantes y debe mantenerse secreta,
al
ser
revelada, tiene que ser cambiada y distribuida a los
participantes, lo que puede crear problemas de
seguridad.
3.7.5.2. Encriptacin de clave pblica

Esta encriptacin implica la utilizacin de dos claves, una pblica y una
secreta. La primera es enviada a los dems participantes. Al encriptar,
se usa la clave privada propia y la clave pblica del otro participante
de la conversacin. Al recibir la informacin, sta es desencriptada
usando su propia clave privada y la pblica del generador de la
informacin. La gran desventaja de este tipo de encriptacin es que
resulta ser ms lenta que la de clave secreta.
Tipos de Encriptacin
69
3.7.6.
Tecnologas del servicio VPN
3.7.6.1. VPN de enrutador a enrutador

ste es por lo general un canal de seguridad del Protocolo de Internet
(IPSec) entre los enrutadores. La VPN de enrutador a enrutador se
debe utilizar si todas las oficinas pequeas forman parte de una
organizacin central. Por lo general esta opcin reemplaza las lneas
privadas de punto a punto o circuitos del esquema.
3.7.6.2. VPN de cliente a enrutador
Por lo general esta es una conexin de cliente a enrutador de la VPN
del IPSec. Normalmente las VPNs de cliente a enrutador se utilizan
para el soporte
administrativo.
Los
administradores
se
pueden
conectar al enrutador a travs de la VPN y administrar los sistemas o

resolver los problemas. Algunos firewalls proporcionan soporte VPN
para mltiples usuarios. Por lo general los firewalls brindan soporte a
los clientes propietarios.
3.7.6.3. Servidor de acceso a la red de cliente a VPN
Tanto Windows Server 2003 como Windows Small Business Server
2003 incluyen el servicio de Enrutamiento y acceso remoto, que es una
puerta de enlace del Servidor de acceso a la red que incluye todas las
funciones y cuenta con soporte para todo tipo de protocolos VPN, tales
como el Protocolo de tnel punto a punto (PPTP), IPSec, y L2TP/IPSec.
El Servidor de acceso a la red de cliente a VPN siempre se debe
utilizar para usuarios remotos y mviles. Tambin lo pueden utilizar los
administradores
ingenieros
de
soporte.
Si
Windows
Small
Business Server 2003 se instala en la oficina pequea, se debe utilizar

como el Servidor de acceso a la red. El servicio de Enrutamiento y
acceso remoto se puede configurar para dar soporte al PPTP y
L2TP/IPSec;
70
ambos protocolos son muy seguros. L2TP/IPSec
requiere que los certificados del PC se utilicen correctamente. Por esta

razn, el PPTP es una opcin mejor y ms sencilla.
3.7.7. Ventajas de implementar un servicio VPN
Reduccin de Costos
Una VPN permite a una organizacin aprovecharse de las
economas de escala y eficiencia propias de especialistas en
transmisin de
datos e Internet. Se hace posible entonces
eliminar las lneas dedicadas punto-a- punto de muy alto precio

que caracterizaron a muchas empresas con presencia regional
por aos, reemplazndolos por ejemplo, por accesos de tipo
ADSL banda ancha y a bajo costo, disponibles en muchas
reas urbanas sin problemas.
Seguridad
Una VPN utiliza los ms altos estndares de seguridad para la
transmisin de datos, como por ejemplo el protocolo de
encriptacin 3DES (Triple Data Encryption Standard) y el protocolo
Ipsec (IP Security Protocol) para el manejo de los "tneles" de
software. Asimismo, se usan varios tipos de autenticacin de
usuarios para asegurarse que quienes se comunican son
realmente quienes dicen ser.
Escalabilidad
Agregar usuarios a una VPN es casi trivial. No hay que realizar
inversiones adicionales y la provisin de servicios se hace con
dispositivos fciles de usar y configurar y bsicamente lo que se
hace es usar la infraestructura de los proveedores de Internet en la
red. La empresa descansa entonces en esa infraestructura de alto
nivel.
71
Compatibilidad con tecnologas de banda ancha.

Una VPN puede aprovechar infraestructura existente de TV Cable,
banda ancha inalmbrica, conexiones de alta velocidad de tipo
ADSL o ISDN, lo que implica un alto grado de flexibilidad y
reduccin de costos al momento de configurar la red.
Mayor productividad.
Si los empleados de la empresa cuentan con una VPN, la usarn.
Est probado
aumenta
que
la
disponibilidad
de
estas
tecnologas
la productividad de los usuarios, que se mantienen
"conectados" ms tiempo y con mejor nivel de acceso, y se

fomenta el tele trabajo con la consiguiente reduccin en las
necesidades de espacio fsico.
Una VPN provee ms acceso y ms seguridad para sus usuarios.
Lo
hace con
tecnologa moderna y a
niveles de
costo
significativamente inferiores a las redes privadas tradicionales,

conformadas por infraestructura propia con altos requerimientos de
soporte que obligan a la empresa a ocuparse de asuntos que no
son estratgicos para el negocio.
Servicio VPN
72
3.7.8.
Caractersticas y requerimientos.
Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling)

para la transmisin
de
datos
mediante
un
proceso
de
encapsulacin y en su defecto de encriptacin, esto es importante a

la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya
que esta ltima utiliza lneas telefnicas dedicadas para formar la red.
Seguridad, estableciendo un tnel de informacin encriptado entre su
servidor y el proveedor de acceso a Internet.
3.7.9.
Protocolos utilizados en las VPN
3.7.9.1. PPTP (Point-to-Point Tunneling Protocol)

Fue desarrollado por ingenieros de Ascend Communications, U.S.
Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer
entre usuarios de acceso remoto y servidores de red una red privada
virtual. Como protocolo de tnel, PPTP encapsula datagramas
de
cualquier
protocolo de red en datagramas IP, que luego son
tratados como cualquier otro paquete IP. La gran ventaja de este

tipo de encapsulamiento es que cualquier
protocolo
puede
ser
ruteado a travs de una red IP, como Internet.

PPTP fue diseado para permitir a los usuarios conectarse a un
servidor RAS desde cualquier punto en Internet para tener la misma
autenticacin, encriptacin y los mismos accesos de LAN como si
discaran directamente al servidor. En vez de discar a un modem
conectado al servidor RAS, los usuarios se conectan a su proveedor
y luego "llaman" al servidor RAS a travs de Internet utilizando PPTP.
73
Existen dos escenarios comunes para este tipo de VPN:

Para el primero de los escenarios, el usuario remoto estable una
conexin PPP con el ISP, que luego establece la conexin PPTP
con el servidor RAS. Para el segundo escenario, el usuario remoto
se conecta al ISP mediante PPP y luego "llama" al servidor RAS
mediante PPTP. Luego de establecida la conexin PPTP, para
cualquiera de los dos casos, el usuario remoto tendr acceso a la
red corporativa como si estuviera conectado directamente a la
misma.
La tcnica de encapsulamiento de PPTP se basa en el protocolo
Generic Routing Encapsulation (GRE), que puede ser usado para
realizar tneles para protocolos a travs de Internet. La versin PPTP,
denominada GREv2, aade extensiones para temas especficos
como Call Id y velocidad de conexin.
El paquete PPTP est compuesto por un header de envo, un header
Ip, un header GREv2 y el paquete de carga. El header de envo es
el protocolo en marcador para cualquiera de los medios a travs de los
cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header
IP contiene informacin relativa al paquete IP, como ser, direcciones
de origen y destino, longitud del datagrama enviado, etc. El header
GREv2 contiene informacin sobre el tipo de paquete encapsulado y
datos especficos de PPTP concernientes a la conexin entre el cliente
y servidor. Por ltimo, el paquete de carga es el paquete encapsulado,
que, en el caso de PPP, el datagrama es el original de la sesin
PPP que viaja del cliente al servidor y que puede ser un paquete
IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del
encapsulamiento PPTP.
Para la autenticacin, PPTP tiene tres opciones de uso: CHAP, MSCHAP y aceptar cualquier tipo, inclusive texto plano. Si se utiliza
CHAP, standard
en el que se intercambia un "secreto" y se
comprueba ambos extremos de la conexin coincidan en el mismo,

se utiliza la contrasea de Windows NT, en el caso de usar este
74
sistema
operativo,
como
secreto.
MS-CHAP
es
un
standard
propietario de Microsoft y resulta ser una ampliacin de CHAP. Para

la tercer opcin, el servidor RAS aceptar CHAP, MS-CHAP o PAP
(Password Autenthication Protocol), que no encripta las contraseas.
Para la encriptacin, PPTP utiliza el sistema RC4 de RSA, con una
clave de sesin de 40 bits.
3.7.9.2. PROTOCOLO IPSec

IPSec trata de remediar algunas falencias de IP, tales como
proteccin de los datos transferidos y garanta de que el emisor del
paquete sea el que dice el paquete IP. Si bien estos servicios son
distintos, IPSec da soporte a ambos de una manera uniforme. Por
confidencialidad se entiende que los datos transferidos sean solo
entendidos por los participantes de la sesin.
Por integridad se entiende que los datos no sean modificados en el
trayecto de la comunicacin.
Por autenticidad se entiende por la validacin de remitente de los datos.
Por proteccin a repeticiones se entiende que una sesin no pueda
ser grabada y repetida salvo que se tenga autorizacin para hacerlo.
AH provee autenticacin, integridad y proteccin a repeticiones pero
no as confidencialidad. La diferencia ms importante con ESP es que
AH protege partes del header IP, como las direcciones de origen y
destino.
ESP
provee
autenticacin, integridad, proteccin a repeticiones
y confidencialidad de los datos, protegiendo el paquete entero que

sigue al header. AH sigue al header IP y contiene diseminaciones
criptogrficas tanto en los datos como en la informacin de
identificacin. Las diseminaciones pueden tambin cubrir las partes
invariantes del header IP. El header de ESP permite rescribir la carga
75
en una forma encriptada. Como no considera los campos del header

IP, no garantiza nada sobre el mismo, slo la carga.
Una
divisin
de
la
funcionalidad
de
IPSec
es
aplicada
dependiendo de dnde se realiza la encapsulacin de los datos, si es

la fuente original o un gateway:
El modo de transporte es utilizado por el host que genera los
paquetes. En este modo, los headers de seguridad son antepuestos
a los de la capa de transporte, antes de que el header IP sea
incorporado al paquete. En otras palabras, AH cubre el header
TCP y algunos campos IP, mientras que ESP cubre la encriptacin del
header TCP y los datos, pero no incluye ningn campo del header IP.
El modo de tnel es usado cuando el header IP entre extremos est
ya incluido en el paquete, y uno de los extremos de la conexin
segura es un gateway. En este modo, tanto AH como ESP cubren el
paquete entero,
incluyendo
el
header
IP
entre
los
extremos,
agregando al paquete un header IP que cubre solamente el salto al

otro extremo de la conexin segura, que, por supuesto, puede estar
a varios saltos del gateway.
Los enlaces seguros de IPSec son definidos en funcin de
Security Associations (SA). Cada SA est definido para un flujo
unidireccional de datos y
otro,
cubriendo
generalmente de
un
punto nico a
trfico distinguible por un selector nico. Todo el
trfico que fluye a travs de un SA es tratado de la misma manera.

Partes del trfico puede estar sujeto a varios SA, cada uno de los
cuales aplica cierta transformacin. Grupos de SA son denominados
SA Bundles. Paquetes entrantes pueden ser asignados a un SA
especfico por los tres campos definitorios: la direccin IP de destino,
el ndice del parmetro de seguridad y el protocolo de seguridad. El
SPI puede ser considerado una cookie que es repartido por el receptor
del SA cuando los parmetros de la conexin son negociados.
76
El protocolo de seguridad debe ser AH o ESP. Como la direccin IP de

destino es parte de la tripleta antes mencionada, se garantiza que este
valor sea nico.
Un ejemplo de paquete AH en modo tnel es:
Un ejemplo de paquete AH en modo transporte es:
Como ESP no puede autentificar el header IP ms exterior, es

muy til combinar un header AH y ESP para obtener lo siguiente:
Este tipo de paquete se denomina Transport Adjacency.

La versin de entunelamiento sera:
Sin embargo, no es mencionado en las RFC que definen estos

protocolos. Como en Transport Adjacency, esto autenticara el paquete
completo salvo algunos pocos campos del header IP y tambin
77
encriptar la carga. Cuando un header AH y ESP son directamente

aplicados como en esta manera, el orden de los header debe ser el
indicado. Es posible, en el modo de tnel, hacer una encapsulacin
arbitrariamente recursiva para que el orden no sea el especificado.
3.7.9.3. L2TP (Layer-2 Tunneling Protocol)

Layer-2 Tunneling Protocol (L2TP) facilita el enrutamiento de paquetes
PPP a travs de una red de manera tal que sea lo ms transparente
posible a los usuarios de ambos extremos del tnel y para las
aplicaciones que stos corran.
El escenario tpico L2TP, cuyo objetivo es la creacin de entunelar
marcos PPP entre el sistema remoto o cliente LAC y un LNS ubicado
en una LAN local, es el que se muestra en la siguiente figura:
Protocolo L2TP
Un L2TP Access Concentrator (LAC) es un nodo que acta como

un extremo de un tnel L2TP y es el par de un LNS. Un LAC se sita
entre un LNS y un sistema remoto y manda paquetes entre ambos. Los
78
paquetes entre el LAC y el LNS son enviados a travs del tnel L2TP y
los paquetes entre el LAC y el sistema remoto es local o es una
conexin PPP.
Un L2TP Network Server (LNS) acta como el otro extremo de la
conexin L2TP y es el otro par del LAC. El LNS es la terminacin lgica
de una sesin PPP que est siendo puesta en un tnel desde el
sistema remoto por el LAC.
Un cliente LAC, una mquina que corre nativamente L2TP, puede
participar tambin en el tnel, sin usar un LAC separado. En este
caso, estar conectado directamente a Internet.
El direccionamiento, la autenticacin, la autorizacin y el servicio
de cuentas son provedos por el Home LANs Management Domain.
L2TP utiliza dos tipos de mensajes: de control y de datos. Los
mensajes de control son usados para el establecimiento, el
mantenimiento y el borrado de los tneles y las llamadas. Utilizan un
canal de control confiable dentro de L2TP para garantizar el envo. Los
mensajes de datos encapsulan los marcos PPP y son enviados a
travs del tnel.
La siguiente figura muestra la relacin entre los marcos PPP y los
mensajes de control a travs de los canales de control y datos de
L2TP.
79
Los marcos PPP son enviados a travs de un canal de datos no

confiable, encapsulado primero por un encabezado L2TP y luego
por un transporte de paquetes como UDP, Frame Relay o ATM.
Los mensajes de control son enviados a travs de un canal de
control L2TP confiable que transmite los paquetes sobre el mismo
transporte de paquete.
Se requiere que haya nmeros de secuencia en los paquetes de
control, que son usados para proveer el envo confiable en el
canal de control. Los mensajes de datos pueden usar los
nmeros de secuencia para reordenar paquetes y detectar
paquetes perdidos.
Al correr sobre UDP/IP, L2TP utiliza el puerto 1701. El paquete
entero de L2TP, incluyendo la parte de datos y el encabezado,
viaja en un datagrama UDP. El que inicia un tnel L2TP toma un
puerto UDP de origen que est disponible, pudiendo ser o no el
1701 y enva a la direccin de destino sobre el puerto 1701. Este
extremo toma un puerto libre, que puede ser o no el 1701, y enva
la respuesta a la direccin de origen, sobre el mismo puerto
iniciador. Luego de establecida la conexin, los puertos quedan
estticos por el resto de la vida del tnel.
En la autenticacin de L2TP, tanto el LAC como el LNS
comparten un secreto nico. Cada extremo usa este mismo
secreto al actuar tanto como autenticado como autenticador.
Sobre la seguridad del paquete L2TP, se requiere que el
protocolo de transporte de L2TP tenga la posibilidad de brindar
servicios de encriptacin, autenticacin e integridad para el
paquete L2TP en su totalidad. Como tal, L2TP slo se preocupa
por la confidencialidad, autenticidad e integridad de los paquetes
L2TP entre los puntos extremos del tnel, no entre los
extremos fsicos de la conexin.
80
3.8. WINDOWS SERVER 2008
Es el sucesor de Windows Server 2003, distribuido al pblico casi cinco

aos despus. Al igual que Windows Vista, Windows Server 2008 se
basa en el ncleo Windows NT 6.0 Service Pack 1. Entre las mejoras
de esta edicin, se destacan nuevas funcionalidades para el Active
Directory, nuevas prestaciones de virtualizacin y administracin de
sistemas, la inclusin de IIS 7.5 y el soporte para ms de 256
procesadores. Hay siete ediciones diferentes: Foundation, Standard,
Enterprise, Datacenter, Web Server, HPC Server y para Procesadores
Itanium.
Ediciones: La mayora de las ediciones de Windows Server 2008
estn disponibles en x86-64 (64 bits) y x86 (32 bits). Windows Server
2008 para sistemas basados en Itanium soporta procesadores IA-64.
La versin IA-64 se ha optimizado para escenarios con altas cargas de
trabajo como servidores de bases de datos y aplicaciones de lnea de
negocios (LOB). Por ende no est optimizado para su uso
como servidor de archivos o servidor de medios. Microsoft ha
anunciado que Windows Server 2008 ser el ltimo sistema operativo
para servidores disponible en 32 bits.2 Windows Server 2008 est
disponible en las ediciones que figuran a continuacin, similar a
Windows Server 2003
Windows server 2008 R2: Microsoft introdujo Windows Server 2008 R2
en la Professional Developers Conference (PDC) del 2008 como una
variante de servidor del nuevo sistema operativo Windows 7.
Una gua preliminar publicada por la compaa describe muchas reas
de mejora, notablemente la inclusin de un nmero de nuevas
caractersticas de virtualizacin incluyendo Live Migration y Cluster
Shared Volmenes, un reducido consumo de energa, un nuevo
conjunto de herramientas de administracin, nuevas caractersticas
Active Directory como una "papelera de reciclaje" para objetos AD
borrados, una nueva versin de IIS (7.5) que incluye un renovado
81
servidor FTP, soporte para DNSSEC y el aumento del nmero de

ncleos de procesamiento de 64 a 256.6 Los procesadores de 32-bits
ya no estn soportados.7
Algunas mejoras en la opcin de instalacin Server Core incluyen la
remocin total del entorno grfico del sistema operativo, y el soporte a
.NET
Framework,
incluyendo
aplicaciones ASP.NET y
soporte
para Windows PowerShell.

Las mejoras en el rendimiento fueron un rea de desarrollo importante
en esta versin; Microsoft anunci que se haban realizado trabajos
para disminuir el tiempo de arranque, mejorar la eficiencia de
operaciones E/S a la vez que reducir potencia de procesamiento y
mejoras generales de velocidad en dispositivos de almacenamiento,
especialmente en iSCSI.
El 7 de enero de 2009, se lanz una versin preliminar (beta) de
Windows Server 2008 R2 para suscriptores de los programas de
Microsoft, TechNet y MSDN, as como tambin a participantes del
programa Microsoft Connect sobre Windows 7. Dos das despus, se
lanz al pblico general mediante el Centro de descargas de
Microsoft.8
La versin RTM (Release To Manufacturing) fue anunciada el 22 julio
de 2009. Entre los cambios que incluye respecto a la edicin
anterior [3] se incluyen mejoras en las funcionalidades de virtualizacin,
Active Directory y capacidades de seguridad.9
Windows Server 2008 Standard Edition (x86 y x86-64)
Windows Server 2008 Todas las Ediciones (Solo 64Bit)
Windows Server 2008 Enterprise Edition (x86 y x86-64)
Windows Server 2008 Datacenter Edition (x86 y x86-64)
Windows
HPC
Server
2008 (reemplaza Windows
Cluster Server 2003)
82
Windows Storage Server 2008 (x86 y x86-64)
Compute
Windows Small Business Server 2008 (Nombre clave "Cougar")

(x86-64) para pequeas empresas
Windows
Essential
Business
Server 2008
(Nombre
"Centro") (x86-64) para empresas de tamao medio3
83
Windows Server 2008 para sistemas basados en Itanium
clave
3.8.1.
Requisitos de hardware:
Mnimos
Procesador
1 GHz (x86) o
1.4 GHz (x64)
Recomendados
2 GHz o superior
2 GB RAM o ms
Mximo (sistemas de 32-bits): 4 GB
512 MB RAM (podra
limitarse el
Memoria
rendimiento y
RAM (edicin Standard) 64 GB

RAM (ediciones Enterprise,
Datacenter)
algunas
Mximo (sistemas de 64-bits):
caractersticas)
32 GB RAM (edicin Standard)

2 TB RAM (ediciones Enterprise,
Datacenter y para sistemas
basados en Itanium)
Tarjeta
Super VGA (800 x
Super VGA (800 x 600) o resolucin
grfica
600)
mayor
40 GB o ms
Los equipos que dispongan de ms
Espacio
libre HDD
10 GB
de 16 GiB de memoria RAM

requerirn ms espacio en disco
para archivos de paginacin y
volcado.
Unidades
DVD-ROM
Otros
Monitor Super VGA (800 x 600) o con resolucin
dispositivos mayor, teclado y ratn
84
DVD-ROM o mejor
Tabla de comparacin de ediciones de Windows Server 2008 R212
85
Caractersticas
Fou
nda
tion
Standard
Web
HPC
Enterprise
Datacent
er
Itanium
Mximo de RAM en x86-64
8
GB
32 GB
32
GB
128 GB
2 TB
2 TB
2 TB
Mximo de CPUs fsicas
64
64
Cross-file replication (DFS-R)
No
No
No
No
Si
Si
Si
Failover clster nodes (Nodes)
No
No
No
No
16
16
Fault tolerant memory sync
No
No
No
No
Si
Si
Si
Mdulos de memoria: agregar en caliente
No
No
No
No
Si
Si
Si
Mdulos de memoria: reemplazo en caliente
No
No
No
No
No
Si
Si
CPUs: agregar en caliente
No
No
No
No
No
Si
Si
CPUs: Reemplazo en caliente
No
No
No
No
No
Si
Si
Acceso por red: IAS
10
50
No
No
Ilimitado
Ilimitado
Conexiones por red: RRAS
50
250
No
250
Ilimitado
Ilimitado
No
Conexiones administrador en escritorio remoto
Remote Desktop Services gateway
50
250
No
No
Ilimitado
Ilimitado
No
Virtual image use rights
No
Host + 1
VM
Host + 4
VMs
Ilimitado
Ilimitado
Guest Host + 1 VM
3.8.2.
3.8.2.1.
ACTIVE DIRECTORY
Roles
Un rol de servidor es un conjunto de programas de software que, una

vez que se instalan y configuran correctamente, permiten a un equipo
realizar una funcin especfica para varios usuarios u otros equipos de
una red. En trminos generales, los roles comparten las siguientes
caractersticas.
Describen la funcin, la finalidad o el uso principal de un equipo. Un
equipo en concreto puede estar dedicado a desempear un solo rol
que se use intensamente en la empresa o puede desempear varios
roles si cada uno de ellos se usa con menos intensidad.
Proporcionan a los usuarios de una organizacin acceso a los recursos
administrados por otros equipos, como sitios web, impresoras o
archivos almacenados en distintos equipos.
Suelen incluir sus propias bases de datos, que pueden poner en cola
las solicitudes de usuarios o equipos, o pueden registrar informacin
relacionada con el rol acerca de los usuarios y equipos de la red. Por
ejemplo, Servicios de dominio de Active Directory incluye una base de
datos para almacenar los nombres y las relaciones jerrquicas de todos
los equipos de una red.
Tan pronto como se han instalado y configurado correctamente, los
roles funcionan automticamente. Esto permite a los equipos donde
estn instalados realizar las tareas necesarias con un nivel de
supervisin o comandos de usuario limitados.
3.8.2.2. Servicios de rol
Los servicios de rol son programas de software que proporcionan
funcionalidad de un rol. Al instalar un rol, puede elegir los servicios de
rol que el rol proporcionar a otros usuarios y equipos de la empresa.
Algunos roles, como Servidor DNS, tienen una sola finalidad y, por lo
tanto, no tienen servicios de rol disponibles. Otros roles, como
86
Servicios de Escritorio remoto, tienen varios servicios de rol que

pueden instalarse, en funcin de las necesidades de los equipos
remotos de la empresa.
Un rol puede considerarse como una agrupacin de servicios de rol
complementarios y estrechamente relacionados, para los cuales, en la
mayora de los casos, la instalacin del rol implica la instalacin de uno
o varios de sus servicios de rol.
3.8.2.3. Caractersticas
Las caractersticas son programas de software que, aunque no forman
parte directamente de los roles, pueden complementar o aumentar su
funcionalidad,
mejorar
la
funcionalidad
del
servidor,
independientemente de los roles que estn instalados. Por ejemplo, la

caracterstica
Clster
de
conmutacin
por
error
aumenta
la
funcionalidad de otros roles, como Servicios de archivo y Servidor

DHCP, ya que permite a estos roles unirse a clsteres de servidores
para obtener una mayor redundancia y rendimiento. Cliente Telnet es
otra caracterstica que le permite comunicarse de forma remota con un
servidor telnet a travs de una conexin red, una funcionalidad que
mejora las opciones de comunicacin del servidor.
3.8.2.4. Dominio
Es una regin, mbito, agrupamiento o zona definida de objetos de
dominio y que est conformada por controladores de dominio,
computadores, usuarios, unidades organizativas y grupos.
Esta regin o mbito, tiene definidos los accesos, sus polticas, las
habilitaciones y las restricciones sobre la misma. El equipo que tiene el
control total de todos estos elementos dentro del dominio, es el
controlador de dominio.
87
3.8.2.5. rbol
Ocurre cuando un dominio raz, o primer dominio, a su vez tiene
subdominios o dominios hijos. Todos estos dominios que se desgajan
del dominio raz conformaran un rbol. Entindase que cada dominio o
subdominio, tiene su propio DC (Domain Controller).
3.8.2.6. Bosque
Es cuando existen varios ARBOLES de dominios, es decir que el
conjunto de rboles de dominio de una organizacin se denomina
BOSQUE.
3.8.2.7. Controlador De Dominio

Es aquel equipo que se encarga de controlar todos los accesos,
permisos, habilitaciones, sus polticas, configuraciones, etc. de los
objetos de dominio dentro de un dominio especifico.
3.8.2.8. Objetos De Dominio

Dcese de los elementos que conforman un dominio y que son:
Controladores de dominio, Computadores, Usuarios, Grupos y
Unidades Organizativas.
En nuestros ejemplos arriba expuestos sus nombres o siglas estn en
ingls as tenemos:
DC = Domain Controller: Controlador de Dominio
WKs = Workstations: Computadores
Users = usuarios
OU= Organizational Unit: Unidades Organizacionales
En la tecnologa W2k3, aparece recin el uso del DNS servidor como

servicio de bsqueda y ubicacin de los recursos dentro de un dominio.
Por lo cual es muy importante su implementacin y buena
88
configuracin para que el controlador de dominio pueda hacer su

trabajo.
Debe recalcarse tambin que otro servicio que todava se utiliza es el
del WIN servidor, por lo que su implementacin y configuracin es
necesaria; debido a que las estaciones de Windows XP y versiones
anteriores lo utilizan. Recin en la versin de Windows Vista y Windows
2008 Server se prescinde de este servicio.
3.8.3.
Funcionalidad de dominios y bosques
La funcionalidad de dominios y bosques, disponible en los Servicios de

dominio de Active Directory (AD DS) de Windows Server 2008 R2,
proporciona una forma de habilitar caractersticas para todo el dominio
o caractersticas de Active Directory para todo el bosque en su entorno
de red. Hay disponibles varios niveles de funcionalidad del dominio y
funcionalidad del bosque, dependiendo de su entorno de red.
Si todos los controladores de dominio de su bosque o dominio ejecutan
Windows Server 2008 R2 y el nivel funcional del bosque y del dominio
se establece en Windows Server 2008 R2, estarn disponibles todas
las caractersticas para todo el dominio y para todo el bosque. Cuando
el dominio o el bosque contienen controladores de dominio de
Windows 2000, Windows Server 2003 o Windows Server 2008, las
caractersticas de Active Directory sern limitadas. Para obtener ms
informacin acerca de cmo habilitar caractersticas para todo el
dominio o para todo el bosque, consulte Elevar el nivel funcional del
dominio y Elevar el nivel funcional del bosque.
3.8.3.1. Funcionalidad de dominio

La funcionalidad de dominio habilita caractersticas que afectan al
dominio entero, y slo a ese dominio. En AD DS de Windows
Server 2008 R2, hay disponibles cuatro niveles funcionales del
dominio:
Windows 2000 nativo,
Windows Server 2003
predeterminado), Windows Server 2008 y Windows Server 2008 R2.
89
(el
En la tabla siguiente, se enumeran los niveles funcionales del dominio y

sus controladores de dominio compatibles correspondientes:
Nivel funcional del dominio
Controladores de dominio
compatibles
Windows 2000 Server
Windows 2000 nativo
Windows Server 2003

Windows Server 2008
Windows Server 2008 R2
Windows Server 2003
Windows Server 2003
Windows Server 2008

Windows Server 2008
Windows Server 2008

Cuando se eleva el nivel funcional del dominio, los controladores de

dominio que ejecutan sistemas operativos anteriores no pueden
incorporarse al dominio. Por ejemplo, si eleva el nivel funcional del
dominio a Windows Server 2008 R2, no podr agregar controladores
de dominio que ejecuten Windows Server 2008 al dominio.
La tabla siguiente describe las caractersticas para todo el dominio
habilitadas para los niveles funcionales del dominio de AD DS de
Windows Server 2008 R2.
90
Nivel
funcional
del
dominio
Windows 2000 nativo
Caractersticas habilitadas
Todas las caractersticas predeterminadas de Active Directory y las caractersticas siguientes:

Los grupos universales estn habilitados para grupos de distribucin y de seguridad.
Anidacin de grupos.
La conversin de grupos est habilitada, lo que hace posible la conversin entre grupos de
seguridad y grupos de distribucin.
Historial de identificadores de seguridad (SID).
Windows Server 2003
Todas las caractersticas predeterminadas de Active Directory, todas las caractersticas del
nivel funcional del dominio de Windows 2000 nativo y las caractersticas siguientes:
La disponibilidad de la herramienta de administracin de dominios, Netdom.exe, para
preparar el cambio de nombre del controlador de dominio.
Actualizacin de la marca de hora de inicio de sesin. El atributo lastLogonTimestamp se
actualiza con la hora en que el usuario o equipo inici sesin por ltima vez. Este atributo se
replica dentro del dominio.
La capacidad de establecer el atributo userPassword como la contrasea efectiva en el objeto
inetOrgPerson y los objetos de usuario.
La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada,
se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o
91
grupo: cn=Computers,<razDeDominio> y cn=Users,<razDeDominio>. Esta caracterstica

hace posible definir una ubicacin nueva conocida para estas cuentas.
El Administrador de autorizacin puede almacenar sus directivas de autorizacin en AD DS.
Se incluye la delegacin restringida, que hace posible que las aplicaciones aprovechen la
delegacin segura de credenciales de usuario por medio del protocolo de autenticacin
Kerberos. Puede configurar la delegacin para que slo se permita en servicios de destino
especficos.
Se admite la autenticacin selectiva, que hace posible especificar los usuarios y grupos de un
bosque de confianza a los que se les permite autenticarse en servidores de recursos en un
bosque que confa.
Windows Server 2008
nivel funcional del dominio de Windows Server 2003 y las caractersticas siguientes:
Compatibilidad con la replicacin del Sistema de archivos distribuido (DFS) para SYSVOL,
que proporciona una replicacin ms slida y detallada del contenido de SYSVOL.
Compatibilidad con los Servicios de cifrado avanzado (AES 128 y 256) para el protocolo de
autenticacin Kerberos.
Informacin acerca del ltimo inicio de sesin interactivo, que muestra la hora del ltimo inicio
de sesin interactivo correcto de un usuario, la estacin de trabajo desde la que se inici y el
nmero de intentos de inicio de sesin errneos desde el ltimo inicio de sesin.
Directivas de contrasea muy especficas, que permiten especificar directivas de contrasea y
92
directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows
Server 2008 R2
nivel funcional del dominio de Windows Server 2008 y las caractersticas siguientes:
La comprobacin del mecanismo de autenticacin, que empaqueta la informacin sobre el
tipo de mtodo de inicio de sesin (tarjeta inteligente o nombre de usuario/contrasea)
empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada
usuario. Si esta caracterstica est habilitada en un entorno de red que ha implementado una
infraestructura de administracin de identidades federadas, como Servicios de federacin de
Active Directory (AD FS), la informacin del token se puede extraer siempre que un usuario
intente obtener acceso a cualquier aplicacin para notificaciones que se haya desarrollado
para determinar la autorizacin en funcin del mtodo de inicio de sesin de un usuario.
93
3.8.3.2.
FUNCIONALIDAD DE BOSQUE
La funcionalidad de bosque habilita caractersticas en todos los dominios

del bosque. Hay disponibles cuatro niveles funcionales del bosque en el
sistema
operativo
Windows Server 2003
Windows
Server 2008 R2:
(predeterminado),
Windows 2000,
Windows
Server 2008
Windows Server 2008 R2.

En la tabla siguiente se enumeran los niveles funcionales del bosque
disponibles en el sistema operativo Windows Server 2008 R2 y sus
controladores de dominio compatibles correspondientes:
Nivel funcional del bosque
Windows 2000
Controladores
de
dominio
compatibles
Windows NT 4.0
Windows 2000
Windows Server 2003
Windows Server 2008
Windows
Server 2003
(predeterminado)
Windows Server 2003

Windows Server 2008
Windows Server 2008
Windows Server 2008

94
Cuando se eleva el nivel funcional del bosque, los controladores de

dominio que ejecutan sistemas operativos anteriores no pueden
incorporarse al bosque. Por ejemplo, si eleva el nivel funcional del
bosque a Windows Server 2008 R2, no puede agregar al bosque
controladores de dominio que ejecuten Windows Server 2008.
En la tabla siguiente, se describen las caractersticas para todo el
bosque habilitadas para los niveles funcionales del bosque de
Windows Server 2003,
Server 2008 R2.
95
Windows
Server 2008
Windows
Nivel funcional del

bosque
Windows Server 2003
Caractersticas habilitadas
Todas las caractersticas predeterminadas de Active Directory y las caractersticas siguientes:

Confianza de bosque
Cambio de nombre de dominio
Replicacin de valor vinculado (cambios en los valores de replicacin y almacenamiento de pertenencia a
grupos para miembros individuales en lugar de replicacin de toda la pertenencia como una sola unidad).
Esto causa una reduccin en el uso del procesador y del ancho de banda de red durante la replicacin, y
elimina la posibilidad de perder actualizaciones cuando se agregan o eliminan varios miembros a la vez
en diferentes controladores de dominio.
La capacidad de implementar un controlador de dominio de slo lectura (RODC) que ejecute Windows
Server 2008.
Mejora en la escalabilidad y los algoritmos del comprobador de coherencia de la informacin (KCC). El
generador de topologa entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir
bosques con un nmero mayor de sitios admitidos en el nivel funcional del bosque de Windows 2000.
La capacidad de crear instancias de la clase auxiliar dinmica llamada dynamicObject en una particin de
directorio de dominio.
La capacidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User, y
viceversa.
La posibilidad de crear instancias de los nuevos tipos de grupo, denominados grupos bsicos de
96
aplicacin y grupos de consulta de Protocolo ligero de acceso a directorios (LDAP), para admitir la
autorizacin basada en roles.
Desactivacin y nueva definicin de atributos y clases en el esquema.
Windows Server 2008
Este nivel funcional proporciona todas las caractersticas disponibles en el nivel funcional del bosque de
Windows Server 2003, pero no caractersticas adicionales. Sin embargo, todos los dominios que se
agreguen posteriormente al bosque funcionarn en el nivel funcional del dominio de Windows
Server 2008 de manera predeterminada.
Windows
Todas las caractersticas disponibles en el nivel funcional del bosque de Windows Server 2003, ms las
Server 2008 R2
siguientes caractersticas:
Papelera de reciclaje de Active Directory, que proporciona la capacidad de restaurar completamente
objetos eliminados mientras se ejecuta AD DS.
Todos los dominios que se agreguen posteriormente al bosque funcionarn en el nivel funcional del
dominio de Windows Server 2008 R2 de manera predeterminada.
Si tiene pensado incluir slo controladores de dominio que ejecuten Windows Server 2008 R2 en todo el
bosque, puede elegir este nivel funcional de bosque para facilitar la administracin. En ese caso, nunca
tendr que elevar el nivel funcional de dominio para cada dominio que cree en el bosque.
97
3.8.4.
FOREFRONT TMG
Microsoft Forefront Threat Management Gateway (Forefront TMG),

anteriormente
conocido
como
Microsoft
Internet
Security
and
Acceleration Server (ISA Server), es una memoria cach de enrutador

de red, firewall, antivirus, servidor VPN y web de Microsoft Corporation.
Se ejecuta en Windows Server y funciona mediante la inspeccin de
todo el trfico de red que pasa a travs de l.
Forefront TMG es una solucin completa de puerta de enlace web

segura que ayuda a proteger empleados de las amenazas basadas en
web. Forefront TMG tambin ofrece seguridad perimetral simple y
unificada con firewall integrado, VPN, prevencin de intrusiones,
inspeccin de malware y filtrado de URL.
La documentacin del producto de Forefront TMG se organiza por
categoras de contenido. Use los temas de cada categora para ayudarle
a disear, planear, implementar y administrar sus servidores de
Forefront TMG. La documentacin tambin ofrece materiales de
referencia y sugerencias de solucin de problemas.
3.8.4.1. CARACTERSTICAS
1. Enrutamiento y acceso remoto dispone de: Microsoft Forefront TMG

puede actuar como un router, un gateway de Internet, un servidor de
red privada virtual (VPN), un servidor de traduccin de direcciones
de red (NAT) y un servidor proxy.
2. Funciones de seguridad: Microsoft Forefront TMG es un firewall que
puede inspeccionar el trfico de red (incluyendo contenidos de la
web, contenidos web seguros y correos electrnicos) y filtrar el
malware, los intentos de explotar vulnerabilidades de seguridad y
contenido que no responden a una poltica de seguridad predefinido.
En sentido tcnico, Microsoft Forefront TMG ofrece proteccin de
98
aplicaciones de capa, el filtrado activo, filtrado de contenidos y

proteccin anti-malware.
3. Rendimiento de la red cuenta con: Microsoft Forefront TMG tambin
puede mejorar el rendimiento de la red: Puede comprimir el trfico
de Internet para mejorar la velocidad de comunicacin. Tambin
ofrece almacenamiento en cach web: Se puede almacenar en
cach el contenido web de acceso frecuente para que los usuarios
puedan acceder a ellos ms rpidamente de la memoria cach de la
red local. Microsoft Forefront TMG 2010 puede tambin datos de la
cach recibida a travs de Servicio de transferencia inteligente, tales
como actualizaciones de software publicadas en el sitio web de
Microsoft Update.
3.8.4.2. REQUISITOS
Hardware
Procesador: 1,86 GHz de 64 bits, procesador dual bsico

Memoria: 4 GB, 800 MHz RAM
Disco duro: Espacio disponible de 2,5 GB., con el formato NTFS.
Adaptadores de red: Un adaptador de red compatible con el sistema
operativo del equipo para las comunicaciones con la red interna Un
adaptador de red adicional para cada red conectada al equipo de
Forefront TMG.
Software
S.O: Ms Windows 2008 64 bits

Roles: Servidor de directivas de redes, Servicios de enrutamiento y
acceso remoto, Herramientas de Active Directory Lightweight Directory
Services, Herramientas de equilibrio de carga en la red y Windows
PowerShell. En el caso de no estar instalados, el mismo Forefront TMG
instalar estos roles. En el caso de desinstalar el TMG, deber remover
manualmente los roles.
Aplicaciones: NET 3.5 Framework SP1 y API de Windows Web Services.
99
3.8.4.3. EDICIONES:
Forefront TMG est disponible en Standard Edition y Enterprise Edition.

Aunque las necesidades de implementacin de la infraestructura de red
varan de una edicin a otra, ambas incluyen las mismas funciones y
disponen de las mismas funciones de proteccin y control de acceso.
La siguiente tabla compara y contrasta las caractersticas de las dos
ediciones en Forefront TMG.
100
Standard Edition
Escenarios
de
implementacin admitidos
Enterprise Edition
Servidor
Servidor en una matriz
independiente
independiente
Servidor en una matriz
administrada por EMS
CPU
Hasta 4 CPU
Sin lmite
Almacenamiento
local
Admite
administracin
remota de directivas del

firewall y configuracin.
Compatible
con x
matriz/NLB/CARP
Slo puede tener un

servidor en una matriz.
Administracin
de
S, con la funcin aadida
empresa
de administrar Standard
Edition.
Publicacin
Compatibilidad con VPN
Proxy directo/compresin
de memoria cach
Red IPS (NIS)
Proteccin
101
de
correo
Requiere
licencia Requiere
licencia
electrnico
Exchange
Exchange
Proteccin web
Requiere suscripcin
Requiere suscripcin
102
4. SITUACIN ACTUAL DE LA EMPRESA

TERRACARGO SAC es una empresa dedicada al transporte de carga
pesada y de paquetera, a nivel nacional e internacional con participacin en
los pases de Ecuador, Brasil, Bolivia, Chile y Argentina. Adems cuenta con
clientes muy importantes como Saga Falabella S.A, Alicorp S.A.A, Ajeper
S.A. entre otros los cuales demandan un servicio de mucha calidad
TERRACARGO SAC. Cuenta con 05 sucursales de las cuales 02 se
encuentran en la ciudad de Lima en los distritos de Ate y la Victoria, las
dems estn ubicadas en provincias Tumbes, Piura y Chiclayo.
Misin:
Brindar el servicio de transporte de carga a nivel nacional e internacional
con profesionalismo, gran voluntad, destreza y una flota de vehculos
modernos que aseguran el transporte de su mercadera en forma
oportuna, confiable y segura.
Visin:
Constituirse en la empresa lder en el servicio de transporte de carga a
nivel nacional e internacional, principal socio estratgico de nuestros
clientes, y contribuir activamente en el desarrollo nacional
Nuestra empresa est dirigida por un grupo de profesionales altamente
capacitados quienes estn en condiciones de poner oportunamente a su
disposicin, todas las herramientas logsticas y tecnolgicas, para
brindarle a usted el mejor servicio, acompaado esto de un trato amable
y confiable. La pieza fundamental de nuestro servicio lo constituye
nuestro personal de choferes, los cuales han sido capacitados y
entrenados
para
cumplir
la
misin
encomendada;
estando
en
condiciones de participar activamente en la identificacin y solucin de

problemas en forma proactiva y positiva.
Nuestro personal trabaja bajo el lema de darle al cliente lo mejor de
nuestro servicio, nuestros conocimientos y nuestra experiencia
103
4.1. UBICACIN DE LA EMPRESA TERRACARGO SAC

La empresa Terracargo SAC. Se encuentre ubicada en la calle Santa
Cecilia #126 a la altura de la cuadra nmero 22 de la avenida Nicols
Aylln.
Fachada de Terracargo SAC.
Interior de Terracargo SAC.
104
4.2. INFRAESTRUCTURA DE TERRACARGO SAC.
Actualmente la empresa cuenta con una moderna infraestructura de

oficinas administrativas y de mantenimiento. Tambin cuentan con reas
de carga y descarga y estacionamientos para sus vehculos.
Distribucin detallada de los diferentes ambientes:
4.3. CANTIDAD DE USUARIOS.

4.3.1. Oficinas en la Ate
OFICINAS
N PCS
Finanzas 1
Finanzas 2
Centro de control
Gerencia
Operaciones
RR.HH
LOGISTICA
ALMACEN
SISTEMAS
Contabilidad
Mantenimiento
rea de
esparcimiento
Total
42
Cantidad de Pcs en la sucursal Ate
105
4.3.2.
Otras oficinas.
SUCURSALES
N PCS
La Victoria
Lambayeque
Piura
Tumbes
Total
15
Cantidad de Pcs en otras oficinas de la Empresa.
Oficinas en La Victoria
Oficinas en ATE
106
4.4. INFRAESTRUCTURA DEL DATA CENTER
La empresa cuenta con un Data Center ubicada en un segundo piso al

costado de la oficina de gerencia.
Este ambiente no cuenta con los requisitos mnimos de seguridad que
debe contar un Data Center. No cuenta con un sistema de aire
acondicionado, ya que los equipos utilizan mucha energa y disipan
mucho calor, es as que son necesarios los equipos de refrigeracin que
permitan el control de temperatura.
El rea de este ambiente es muy pequea, lo que ocasiona que el diseo

de red no sea escalable. No cuenta con un piso tcnico para facilitar el
paso del cableado y la proteccin del mismo.
La empresa cuenta con un enlace de fibra ptica, servicio de Optical

Network, entre sus sucursales de La victoria y Ate, esto permite la
interconexin hacia la central de Ate, este enlace genera a la empresa un
costo mensual elevado.
Las sucursales que se encuentran en Chiclayo, Piura y Tumbes se

interconectan a la central de Ate mediante TeamViewer que es un
software de acceso remoto, este es un mtodo no recomendable por la
inseguridad al transportar la informacin.
107
4.4.1.
Equipos de TI
Se cuenta con un Gabinete de 42 RU.
Gabinete ubicado en el Cuarto de Telecomunicaciones de la Empresa.

Este gabinete cuenta con los siguientes equipos en su interior:
EQUIPOS DE TI
Cantidad Modelo
1
Firewall UTM
3
Switch DES-1210-28
1
Router serie 1921
1
Switch DGS-3120-24TC-SI
1
Bandeja de empalme
1
Servidores
1
Monitor
1
UPS
108
Marca
DL-link
DL-link
Cisco
DL-link
Hp
Dell
Elise
4.4.2.
Cableado Estructurado
Actualmente la Empresa no cuenta con un cableado de backbone

o vertical que conecte al proveedor de servicio de internet con el
gabinete de telecomunicaciones, lo que s cuenta es con un
cableado horizontal lo cual se interconecta todas las oficinas de la
empresa.
Los ambientes administrativos cuentan con instalaciones de red,
los cuales brindaran internet en forma almbrica e inalmbrica.
Se tiene instaladas 03 access-point distribuidos en el rea de

esparcimiento, en la oficina de finanzas 1 y en la sala de espera
respectivamente.
4.5. SERVICIOS DE INTERNET.
109
SUCURSAL
SERVICIO
Velocidad Mb/s
ATE
Internet Fibra ptica
ATE
Internet ADSL
ATE
Internet ADSL
VICTORIA
Internet ADSL
10
CHICLAYO
Internet ADSL
10
PIURA
Internet ADSL
TUMBES
Internet ADSL
110
5. DISEO DE UN MODELO DE RED VPN

5.1. TOPOLOGA
111
5.2. INSTALAR WINDOWS SERVER 2008 R2
Para determinar qu sistema operativo vamos a utilizar se han tenido que

tener en cuenta varios factores:
La infraestructura actual de hardware.
La infraestructura software con la que cuenta la organizacin.
Los servicios ya implementados en la organizacin.
La entidad tiene licenciamiento de Microsoft Windows Server 2008 y 2012,

pero por cuestiones de estandarizacin con los servidores que ya estn
en produccin y usan Windows server 2008, es por lo que se ha decidido
que utilizaremos Windows server 2008 R2, tambin se tuvo que decidir
por la versin R2 debido a que FOREFRONT TMG lo requiere para su
instalacin.
Despus de haber realizado una comparacin entre las diferentes

versiones de sistemas operativos para servidores en la familia de
sistemas operativos de Microsoft y las diferentes tecnologas con las que
cuentan cada uno de ellos, es que hemos decidido que solo utilizaremos
un solo servicio; hemos determinado que para este proyecto que es el
servicio de VPN con el software FOREFRONT TMG que actualmente
reemplaz la versin anterior llamada ISA SERVER, por lo antes
mencionado utilizaremos la edicin de Windows server 2008 R2 Standard.
112
5.2.1.
INSTALAR
SISTEMA
OPERATIVO
PARA
SERVIDORES
WINDOWS SERVER 2008 R2 EN LOS 2 SERVIDORES QUE

UTILIZAREMOS PARA ACTIVE DIRECTORY Y PARA FOREFRONT
TMG
Cabe mencionar que despus de haber realizado el estudio para
determinar el hardware para los dos servidores, la misma organizacin
financiar los costos, se tendr que adquirir en el mercado de
servidores cotizando en las mejores marcas para adquirirlo.
Luego de adquirir el producto haremos las pruebas de su correcto
funcionamiento para poder empezar a trabajar en la instalacin y
puesta
en
marcha
los
servicios
planteados,
prepararemos
instalaremos los sistemas operativos y las aplicaciones necesarias para

lograr nuestros objetivos segn las siguientes funciones:
APLICACIN/
SISTEMA OPERATIVO
SERVIDOR 1
SERVIDOR 2
SERVICIO
Windows Server 2008
Active Directory/
R2
Domain Controller, DNS
Windows Server 2008

R2
Forefront TMG/ VPN
Como ya hemos determinado que sistema operativo y en que servidores,

descargaremos desde la plataforma de Microsoft la imagen ISO del
sistema operativo para luego grabarlo en un DVD en blanco y tenerlo
preparado para la instalacin. Empezaremos en la explicacin de la
instalacin de nuestro sistema operativo para servidores:
113
A. Haremos cargar desde una lectora de DVD el Disco de Windows

Server 2008 R2 y esperar que carguen los archivos de instalacin:
B. Seleccionamos idiomas de instalacin (Idioma del sistema operativo,

formato de hora y moneda, e idioma del teclado), segn nuestro
proveedor nos lo haya proporcionado.
114
C. Seleccionamos el Botn Instalar ahora, para comenzar una

instalacin limpia desde cero, en caso tengamos un server que no
arranca el sistema operativo, seleccionamos Reparar equipo, pero
no es nuestro caso.
D. Seleccionamos la edicin del sistema operativo que queremos

instalar segn nuestro hardware permitido y necesario para lo que
necesitamos instalar (SERVER1: Active Directory y DNS; SERVER
2: Forefront TMG). Solo necesitamos la edicin STANDARD, por su
no muy compleja funcionalidad y que aceptan como mnimo el
hardware y software que hemos adquirido y vamos a utilizar.
115
E. Aceptamos los trminos y condiciones de la licencia que nos plantea

Microsoft para poder usar este sistema operativo, por ello es
necesario que leamos detenidamente todos los trminos que coloca
Microsoft para estar informado a que nos sometemos.
116
F. Seleccionamos el tipo de instalacin que vamos a realizar:

ACTUALIZACIN: este opcin se refiere cuando ya tenemos una
versin anterior de Windows server 2008 y la queremos actualizar a
la versin ya mencionada, y PERZONALIZADA: Se refiere a una
instalacin limpia desde cero o queremos instalar otro sistema
operativo en otro disco duro:
En nuestro caso es una instalacin de CERO, por lo cual
seleccionaremos Personalizada.
117
G. Seleccionamos la particin que ya estuviese creada, y en el caso que

queramos varias particiones para distribuir por separado los datos
que se van a guardar en otra particin por ejemplo los Backup,
registros, Forefront, etc., creamos una particin (en Opciones de
Unidad) de la capacidad mnima permitida para Windows Server
2008 R2 de 40 GB, o superior, es recomendable mayor a 100 Gb
debido a los roles que se van a instalar en nuestro servidor, y las
otras particiones de acuerdo como las queramos.
118
H. Esperamos que el software de instalacin haga su trabajo (copie los

archivos
de
instalacin
al
disco
duro
instale
todas
las
caractersticas del sistema operativo).
I. La primera pantalla despus de instalar el sistema operativo nos sale

un error (damos clic en ACEPTAR):
119
J. Cambiamos la contrasea y la confirmamos.
120
K. Luego damos clic derecho en EQUIPO (en el men INICIO) y

seleccionamos la opcin PROPIEDADES para activar el Sistema
Operativo.
Seleccionamos la
opcin
CAMBIAR
CLAVE
DEL
PRODUCTO e ingresamos la clave de nuestro Windows para

activarlo y seleccionamos la opcin SIGUIENTE y automticamente
se actica nuestro WINDOWS SERVER 2008 R2.
121
122
5.3. SERVIDOR - ACTIVE DIRECTORY

A. El primer paso en nuestro servidor es configurar nuestro adaptador
de red con las direcciones IP segn la topologa grfica, y
Cambiamos la configuracin del adaptador accediendo a la
aplicacin de Centro de Redes y recursos compartidos ubicada en
Panel de control, segn muestra la configuracin en Propiedades:
Protocolo de Internet versin 4 (TCP/IPv4):
123
B. Instalado ya el Sistema Operativo Windows server 2008 R2 en

ambos servidores, en uno de ellos procedemos a Agregar ROLES
DE SERVIDOR (Active Directory), para poder administrar cuentas de
usuarios para el acceso VPN, pero antes veamos conceptos que
diferencian a los roles, servicios de roles y caractersticas.
Roles
Un rol de servidor es un conjunto de software que, una vez que se
instalan y configuran correctamente, permiten a un equipo realizar
una funcin especfica para varios usuarios u otros equipos de
una red. En trminos generales, los roles comparten las
siguientes caractersticas.
Describen la funcin, la finalidad o el uso principal de un equipo.
Un equipo en concreto puede estar dedicado a desempear un
solo rol que se use intensamente en la empresa o puede
desempear varios roles si cada uno de ellos se usa con menos
intensidad.
124
Proporcionan a los usuarios de una organizacin acceso a los

recursos administrados por otros equipos, como sitios web,
impresoras o archivos almacenados en distintos equipos.
Suelen incluir sus propias bases de datos, que pueden poner en
cola las solicitudes de usuarios o equipos, o pueden registrar
informacin relacionada con el rol acerca de los usuarios y
equipos de la red. Por ejemplo, Servicios de dominio de Active
Directory incluye una base de datos para almacenar los nombres
y las relaciones jerrquicas de todos los equipos de una red.
Tan pronto como se han instalado y configurado correctamente,
los roles funcionan automticamente. Esto permite a los equipos
donde estn instalados realizar las tareas necesarias con un nivel
de supervisin o comandos de usuario limitados.
Servicios de rol
Los servicios de rol son programas de software que proporcionan
funcionalidad de un rol. Al instalar un rol, puede elegir los
servicios proporcionar el rol a otros usuarios y equipos de la
empresa. Algunos roles, como Servidor DNS, tienen una sola
finalidad y, por lo tanto, no tienen servicios de rol disponibles.
Otros roles, como Servicios de Escritorio remoto, tienen varios
servicios de rol que pueden instalarse, en funcin de las
necesidades de los equipos remotos de la empresa.
Un rol puede considerarse como una agrupacin de servicios de
rol complementarios y estrechamente relacionados, para los
cuales, en la mayora de los casos, la instalacin del rol implica la
instalacin de uno o varios de sus servicios de rol.
125
Caractersticas
Las caractersticas son programas que, aunque no forman parte
directamente de los roles, pueden complementar, aumentar o
mejorar la funcionalidad del servidor, independientemente de los
roles que estn instalados. Por ejemplo, la caracterstica Clster
de conmutacin por error aumenta la funcionalidad de otros roles,
como Servicios de archivo y Servidor DHCP, ya que permite a
estos roles unirse a clsteres de servidores para obtener una
mayor redundancia y rendimiento. Cliente Telnet es otra
caracterstica que le permite comunicarse de forma remota con un
servidor telnet a travs de una conexin red, una funcionalidad
que mejora las opciones de comunicacin del servidor.
C. Para instalar los Roles de Active Directory y DNS tenemos que abrir
la aplicacin: Administrador del Servidor, en la seccin ROLES
seleccionamos la opcin: Agregar Roles:
126
Una vez abierto nuestro asistente para agregar roles, nos haces unas
indicaciones previas para agregar los roles a nuestro servidor;
seleccionamos Siguiente. Y luego nos aparecer la siguiente
ventana en la cual nos indica todos los roles disponibles en Windows
Server 2008 R2 Standard. Lo que seleccionaremos para este
servidor es:
Servicios de dominio de Active Directory.
Servidor DNS.
Servidor DHCP.
La instalacin de estos servicios tienen un orden de instalacin para

poder configurarlo adecuadamente para que no tengamos errores y
volvamos a pasos anteriores: Primero: ACTIVE DIRECTORY,
Segundo: DNS
127
ACTIVE DIRECTORY
Para poder agregar este servicio se requiere algunas caractersticas,

en lo cual el asistente de instalacin nos indicar y seleccionamos el
botn: Agregar caractersticas requeridas.
Luego nos aparecer dos ventanas en las que nos indica algunas
cosas previas que deberamos saber segn Microsoft sobre ACTIVE
DIRECTORY; presionamos en el botn Siguiente, y la otra ventana
que es la confirmacin de la instalacin del servicio; presionamos en
el Botn Instalar. Posteriormente esperamos que se Agreguen las
caractersticas requeridas por el servicio de Active Directory
128
129
Y Finalmente seleccionaremos el Botn Cerrar, ya que en esta

ventana nos mostrar un reporte los servicios y caractersticas
instalados correctamente o con errores para poder corregirlos y
proseguir con las configuraciones correspondientes al Active
Directory.
130
DNS
Una vez instalado el Servicio de dominio de Active Directory,

usaremos la aplicacin llamada Asistente para la instalacin de los
servicios de dominio de Active Directory, para ello abrimos la
aplicacin de Windows EJECUTAR y escribimos dcpromo.exe
En la siguiente ventana Microsoft no har una breve explicacin que

debemos tener encuentra cuando usamos su producto Windows
Server 2008 y Windows server 2008 R2, sobre las mejoras en la
configuracin de seguridad de ste y que afectan a las versiones
anteriores de Windows, despus de tener conocimiento de lo
mencionado seleccionamos la opcin siguiente.
131
Crearemos un dominio en un bosque de dominios nuevo, ya que

no tenemos ningn bosque en nuestra red, pero para entender un
poco sobre el manejo de la estructura del Active Directory,
repasemos algunos conceptos bsicos sobre esto:
Dominio
Es una regin, mbito, agrupamiento o zona definida de
objetos de dominio y que est conformada por controladores de
dominio, computadores, usuarios, unidades organizativas y
grupos.
Esta regin o mbito, tiene definidos los accesos, sus polticas,
las habilitaciones y las restricciones sobre la misma. El equipo
que tiene el control total de todos estos elementos dentro del
dominio, es el controlador de dominio.
rbol
Ocurre cuando un dominio raz, o primer dominio, a su vez
tiene subdominios o dominios hijos. Todos estos dominios que
se
desgajan
del
dominio
raz
conformaran
un
rbol.
Entindase que cada dominio o subdominio, tiene su propio DC

(Domain Controller).
132
Bosque
Es cuando existen varios ARBOLES de dominios, es decir que
el conjunto de rboles de dominio de una organizacin se
denomina BOSQUE.
Controlador De Dominio
Es aquel equipo que se encarga de controlar todos los
accesos,
permisos,
habilitaciones,
sus
polticas,
configuraciones, etc. de los objetos de dominio dentro de un

dominio especifico.
Para hacer lo antes mencionado seleccionamos la opcin Crear un

dominio nuevo en un bosque nuevo, y luego en la opcin
Siguiente
133
Colocamos
nombre
de
nuestro
dominio
raz
del
bosque:
terracargosac.terracargo.com
Luego el asistente automticamente verificar que no exista

duplicado del nombre de bosque en la red para evitar conflictos, y la
comprobacin del nombre NetBIOS en el nombre del dominio
134
La funcionalidad proporciona una forma de habilitar caractersticas

para todo el dominio o caractersticas de Active Directory para todo
el bosque en su entorno de red. Hay disponibles varios niveles de
funcionalidad del dominio y funcionalidad del bosque, dependiendo
de su entorno de red. Seleccionamos el nivel funcional del bosque;
WINDOWS SERVER 2008 R2 para estandarizar todos nuestros
servidores y no tener problemas a futuro.
135
Instalar el Servidor DNS como opcin adicional y necesaria para

nuestro servidor de Active Directory, como se muestra en la
siguiente ventana marcado por defecto:
Luego de analizar la configuracin de algn otro servidor DNS en la

red principal y la configuracin predeterminada de nuestro servidor
nos saldr una advertencia que slo est avisando que no puede
crear la delegacin de dominio en un DNS superior.
136
Y como dice el mensaje, salvo que ya tengas una estructura de DNS

existente, y tu AD sea un subdominio de uno que ya tienes, no hay
que crear delegacin (y menos si es un dominio de Internet), como
es un dominio nuevo y no un subdominio damos clic en SI para
continuar con la instalacin.
Crear una contrasea segura que lleve letras maysculas y

minsculas, nmeros y smbolos.
Finalmente se muestra un resumen de las configuraciones que

hemos realizado para proceder con la instalacin de nuestro servicio
de Active Directory.
137
En la siguiente ventana muestra el informe de la instalacin sin

ningn error debido a la buena configuracin que seleccionamos
anteriormente de dominio terracargosac.terracargo.com.
138
Despus pedir reiniciar para que los cambios realizados sufran

efecto en nuestro servidor, lo cual aceptaremos.
Para crear Usuarios del Dominio abrimos la aplicacin de Windows

Server llamada Usuarios y equipos de active directory, en la
siguiente ubicacin:
INICIO/HERRAMIENTAS ADMINISTRATIVAS/ Usuarios y equipos
de active Directory
Seleccionamos en la unidad organizativa USERS, luego damos clic
en el cono que se muestra en la imagen para Crear nuevo usuario
139
Llenamos todos los datos de nuestros clientes VPN de acuerdo a

cada sucursal.
140
Colocamos una contrasea robusta que contenga letras en

maysculas
minsculas,
nmeros
caracteres,
tambin
deshabilitamos todas las opciones y solo dejamos habilitado opcin

La contrasea nunca expira; luego presionamos el botn
siguiente.
Y en la siguiente ventana mostrar un resumen de la cuenta creada;
luego seleccionamos finalizar para crear el nuevo usuario y as
crearemos un cliente VPN para cada sucursal de la organizacin.
141
Y para finalizar la configuracin de nuestro usuario del dominio,

habilitaremos el permiso para acceso a otras redes (VPN), damos
doble clic en el usuario vpn de cada sucursal creado y nos saldr la
ventana de propiedades del usuario. Vamos a la pestaa Marcado
y seleccionamos la opcin Permitir acceso y aceptamos.
Y ya tenemos configurado nuestro servidor de Active Directory con

nuestros usuarios VPN para el acceso a de los recursos de nuestra
INTRANET.
142
5.4. SERVIDOR VPN - FOREFRONT TMG

Una vez instalado el sistema operativo de nuestro segundo servidor
Windows Server 2008 R2, el primer paso en nuestro servidor es
configurar nuestros 2 adaptadores de red para la parte de la WAN y LAN
con las direcciones IP segn la topologa grfica, y Cambiamos la
configuracin del adaptador accediendo a la aplicacin de Centro de
Redes y recursos compartidos ubicada en Panel de control, segn
muestra la configuracin en Propiedades: Protocolo de Internet versin 4
(TCP/IPv4).
Configuracin de la Red LAN (RED INTERNA)

Red Interna: 192.168.1.0/24
DNS Interno: 192.168.
143
Configuracin de la Red WAN (RED EXTERNA)

Red Externa: 192.168.0.0/24
DNS Externos: 8.8.8.8 y 8.8.4.4 (DNS pblicos de Google)
Al igual que el servidor de Active Directory, este servidor lo usaremos para

el servicio de VPN con la herramienta FOREFRONT TMG descargada
desde
la
pgina
oficial
de
Microsoft
son
su
correspondiente
licenciamiento. Ya instalado Microsoft Windows Server 2008 R2,

procederemos a descomprimir en el directorio por defecto C:\Microsoft
Forefront TMG el paquete FOREFRONT TMG descargado de Internet y
144
se iniciar automticamente, en caso tengamos el instalador lo

ejecutamos normalmente.
1
2
3
Posteriormente ejecutaremos las acciones sealados en el anterior grfico

para la correcta instalacin de Microsoft Forefornt TMG.
I.
EJECUTAR WINDOWS UPDATE.
Es una aplicacin que viene incluida en los sistemas operativos de

Microsoft Windows el cual permite de manera fcil y gratuita de mantener
el equipo ms seguro y en perfecto funcionamiento, nos permite mantener
actualizado hasta la fecha con los parches que Microsoft lanza para cubrir
ciertas vulnerabilidades.
Windows Update determina por s solo la versin de Windows que tienes
instalada, as como la de otros programas de Microsoft que pueda haber
en tu computadora.
145
Tambin detecta los componentes de hardware de tu PC o qu

dispositivos tienes conectados a l (impresoras, escneres, webcams,
etc.).
Mediante esa informacin comprueba si Windows y otros programas

estn al da. O si los drivers de tu hardware son los ms recientes.
Cuando no es as, descarga e instala las actualizaciones necesarias.
II.
EJECUTAR HERRAMIENTA DE PREPARACIN
En este paso el asistente ejecutar la Instalacin de servicios y

caractersticas necesarias como requisitos de Forefront TMG para la
administracin de Forefront TMG, se realiza en 3 pasos siguientes:
146
i.
Introduccin a la herramienta de preparacin de Forefront TMG.
ii.
Acuerdo de la licencia de software Microsoft
iii.
Tipo de instalacin:
a) Servicios y Administracin de Forefront TMG: Instala servicios,

caractersticas y consola de administracin de Forefront TMG
(NUESTRO CASO DE IMPLEMENTACIN)
b) Solo
Administracin
de
Forefront
TMG,
instala
consola
de
administracin remota.
c) Enterprise Management Server (EMS), para administracin de
matrices centralizada.
147
iv.
Preparacin del Sistema
v.
Finalizacin.
148
III.
PASOS PARA EJECUTAR EL ASISTENTE PARA INSTALACIN
Al finalizar la preparacin del sistema para Forefront hay una opcin para
ejecutar
el
asistente
de
instalacin
de
Forefront
iniciar
automticamente, caso contrario damos clic en la pantalla inicial de

instalacin de Microsoft Forefront TMG en la opcin Ejecutar el asistente
para la instalacin.
149
i.
Aceptar trminos y condiciones de la licencia del Software de

Microsoft, posteriormente ingresaremos la clave de licencia para
dejar de ser evaluacin.
ii.
Definir nombre de Usuario (ADMINISTRADOR), organizacin

(TERRACARGO
S.A.C.)
serie
del
automticamente el asistente de instalacin).
150
producto
(lo
coloca
iii.
Definir escenario en el que trabajar nuestro Forefront:
a)
Instalar servicios y Administracin de Forefront TMG:

En este escenario instalaremos los servicios necesarios para su
correcta instalacin de Forefront debido a que usa algunas
caractersticas como por ejemplo el ROL DEL SERVIDOR llamado
Enrutamiento y Acceso Remoto necesarias para el funcionamiento
de algunas opciones de FOREFRONT TMG como la que vamos a
realizar de VPN para poder enrutar trfico desde las redes externas
con la interna.
En nuestro proyecto aplicaremos este escenario por no tener ms
equipos Forefront configurados en la infraestructura de la
organizacin TERRACARGO SAC.
b)
Solo Administracin de Forefront TMG:

El asistente lo que har en este escenario es solo instalar la
consola de administracin para administrar equipos configurado con
el escenario anterior de manera remota.
151
c)
Enterprise Management Server para la administracin centralizada

de matrices: Es parecido al escenario anterior, la deferencia es que
tenemos en muchas sucursales equipos configurados con el primer
escenario para poder centralizar la administracin de ellos en un
solo equipo.
iv.
Configurar la Ruta de acceso de Instalacin, es fundamental definir

para su ptimo funcionamiento, por lo cual hemos decido dejarlo por
defecto la ruta de instalacin en el disco C:\Program Files\Microsoft
Forefront Threat Management Gateway\
152
v.
Definir adaptador y red interna: una vez ya configurado desde un

principio las direcciones IP de nuestro servidor, ahora no tendremos
problema para definir este punto, Seleccionamos Agregar, Agregar
Adaptador, seleccionamos LAN, posteriormente ACEPTAMOS
las dos ventana que se abrimos y luego Siguiente
153
Y finalmente se muestra una advertencia de servicios que se

reiniciarn durante la instalacin en caso estn corriendo en nuestro
servidor, lo cual no afectar en el mismo debido a que no estn
instalados los servicios que nos muestra. Seleccionamos Siguiente
y luego Instalar.
154
155
IV. ADMINISTRACIN DE FOREFRONT TMG

Antes de finalizar la instalacin podremos habilitar el checkbox que nos
permitir iniciar la consola de Administracin de Forefront TMG como se
muestra en la imagen siguiente:
156
I. Configurar Opciones de red.
a)
Seleccionar Plantilla de Red segn topologa de red:

Firewall perimetral: en esta topologa, Forefront TMG se
encuentra en el permetro de la red, donde acta como firewall
perimetral de la organizacin, y est conectado a dos redes: la
red interna y la red externa.
Permetro de 3 secciones: esta topologa implementa una red
perimetral. Forefront TMG est conectado por lo menos a tres
redes fsicas: la red interna, una o ms redes perimetrales, y la
red
externa.
Firewall posterior: en esta topologa, Forefront TMG se

encuentra en el back-end de la red. Utilice esta topologa
cuando otro elemento de red, como una red perimetral o un
dispositivo de seguridad perimetral, se encuentre entre
Forefront TMG y la red externa. Forefront TMG se conecta a la
red
interna
al
elemento
de
red
situado
delante.
Adaptador de red nico: esta topologa habilita funcionalidad de

Forefront TMG limitada. En esta topologa, Forefront TMG est
conectado nicamente a una red, bien la red interna o una red
perimetral. Normalmente, se utilizara esta configuracin si
Forefront TMG se encontrase en la red corporativa interna o en
una red perimetral y otro firewall estuviese situado en el
permetro, protegiendo los recursos corporativos de Internet.
157
Elegimos la opcin de Firewall Perimetral para maximizar y

centralizar la seguridad en cuanto al trfico, debido a que nuestro
servidor la hemos configurado con 2 tarjetas de red para que todo el
trfico saliente a INTERNET (Trfico Web y de VPN) e ingresante a
la Red interna de la organizacin (Trafico VPN), pasar por nuestro
servidor y ser controlado de una manera centralizada desde la
consola de Administracin de Forefront TMG.
b)
Configurar adaptador de red (Red Interna - LAN): Direcciones IP y

DNS, en este paso lo que haremos es seleccionar el adaptador de
red denominado LAN y automticamente se colocarn las
direcciones IP configuradas en ella.
158
c)
Configurar adaptador de red (Red Externa - Internet): Direcciones

IP y DNS. Como se muestra en la topologa del proyecto, sta
apunta a la red donde estn ambos ISP tanto de movistar como de
Optical Networks.
159
Y finalmente verificaremos en el resumen si verdaderamente

estas con las configuraciones hemos hecho, por si se nos est
faltando alguna configuracin.
II. Configurar las opciones del sistema.
160
a)
Agregamos al dominio el equipo de Forefront TMG para poder

direccionar y utilizar los usuarios del dominio y as controlarlos
desde el servidor de ACTIVE DIRECTORY. Nos pedir la
autenticacin de algn usuario del dominio con permiso respectivos,
luego pedir reiniciar para que los cambios sufran efecto (Aceptar)
161
Finalmente verificamos en el resumen de la configuracin que todo

est correcto segn lo que hemos configurado en los anteriores
pasos, luego seleccionamos Finalizar, en caso falte alguna
configuracin seleccionar Atrs y agregar o corregir algn dato
faltante o incorrecto.
162
III. Definir las opciones de implementacin
a)
Habilitamos Microsoft Windows Update, Para mantener los

mecanismos de proteccin de Forefront TMG.
163
b)
Habilitamos las caractersticas de proteccin:

Sistema de inspeccin de red (NIS).
Proteccin Web: Ingresamos la clase de licenciamiento.
Luego de haber habilitado NIS, configuraremos la actualizacin

de firmas NIS, Forefront usa firmas de vulnerabilidades conocidas
del centro de proteccin contra malware de Microsoft para
detectar
posiblemente
bloquear
trfico
malintencionado.
Configuraremos estas opciones de acuerdo a lo que queramos

optimizar
nuestro
sistema,
en
nuestra
configuraremos de la siguiente manera:
164
infraestructura
lo
c)
Participar en el programa de mejora de la experiencia del usuario:

Este programa recopila sin ningn tipo de interrupcin, informacin
acerca de la configuracin de su hardware y sobre el modo en que
usa Forefront TMG. Microsoft usa la informacin para identificar
tendencias y patrones de uso. Se habilitar el acceso web de
cliente proxy en la red del host local de Forefront TMG. En este
programa se participa annimamente.
165
d)
Nivel de Participacin para los informes de telemetra de Microsoft:

Este programa enva a Microsoft la informacin relativa al Malware
y a otros ataques de su red. Esta informacin ayuda a Microsoft a
mejorar la capacidad de Forefront TMG para identificar los patrones
de ataques y a mitigar las amenazas. En algunos casos, se puede
enviar informacin personal de forma no intencionada, pero
Microsoft no usar dicha informacin para identificarle ni para
ponerse en contacto con la empresa. Existen 3 tipos de nivel de
participacin:
Bsica (enva informacin bsica de las amenazas

potenciales, incluido su tipo y origen, as como la respuesta
adoptada).
Avanzadas (Adems de la informacin bsica, a Microsoft

se enva informacin acerca de amenazas posibles con
mayor detalle, incluidas muestras de trfico y cadenas URL
completas. Esta informacin proporciona a Microsoft ms
ayuda en el anlisis y la mitigacin de amenazas).
166
Ninguno (No enva informacin).
Finalmente
se
verifica
en
el
resumen
de
si
todas
las
configuraciones que hemos realizado son correctas para proceder

en Finalizar, caso contrario ir Atrs para corregir. Luego de
terminar con las configuraciones iniciales que se tienen que
realizar, ahora ya podemos proceder a configurar cualquier funcin
de FOREFRONT TMG.
167
5.5. CONFIGURAR SERVIDOR VPN.
Instalado ya Forefront TMG en nuestro segundo servidor, realizaremos la

configuracin para el servicio VPN. En la consola de administracin de
Forefront seleccionamos en la opcin Directiva de acceso remoto (VPN)
en la el panel izquierdo de la consola como se muestra a continuacin:
168
I. Configurar el mtodo de asignacin de direcciones
En este paso lo que realizaremos es seleccionar el mtodo de

asignacin de direcciones, en la cual tenemos dos opciones:
a)
Grupo de direcciones estticas:
En esta opcin lo que se utiliza es asignar un rango de direcciones IP

para todos los clientes VPN que se conecten a nuestra red interna con
su respectiva autenticacin manejado en nuestro servidor de ACTIVE
DIRECTORY.
Para
nuestro
diseo
utilizaremos
esta
opcin,
configurando el rango de direcciones IP desde la 10.10.10.0 hasta la

10.10.10.254.
169
b)
Protocolo de configuracin dinmica de host (DHCP):
Cuando
se
maneja
un
servidor
que
brinda
direcciones
IP
dinmicamente en nuestra red, podemos crear una directiva para

asignar desde ste las direcciones IP para nuestro tnel VPN que
configuraremos a continuacin:
Tambin se tiene que seleccionar la red (Interna o Externa) para la

obtencin de los servicios DHCP, DNS y WINS, como nuestros
servicios se encuentran en nuestra red LAN, seleccionaremos la red
INTERNA de donde va a obtener los servicios mencionados:
170
II.
Habilitar
el
acceso
de
clientes
enrutamiento y acceso remoto).
171
vpn
(habilitar
roles
de
Con esta opcin seleccionada estamos habilitando el ROL de Windows

Server 2008 R2, con los parmetros predeterminados y establecidos por
FOREFRONT TMG para su ptimo funcionamiento acoplndolo a las
configuraciones de red ingresadas en FOREFRONT a la hora de la
instalacin y configuracin inicial.
Para verificar lo antes mencionado abrimos la aplicacin Enrutamiento y
acceso
remoto,
ubicada
en:
Inicio/Herramientas
administrativas/Enrutamiento y acceso remoto:
Notablemente vemos que el servicio est detenido, es que demora unos

segundos o minutos de acuerdo a la capacidad de nuestro servidor,
luego se pondr en marcha:
172
Ahora el Rol de Enrutamiento y acceso remoto de WINDOWS

SERVER 2008 R2 ya est habilitado para realizar enrutamiento con las
restricciones de ciertas polticas configuradas posteriormente en
Forefront TMG para el acceso VPN.
173
III.
Especifique usuarios de Windows.
En esta opcin lo que configuraremos es agregar un grupo del Dominio

que tengamos creado con permisos de acceso remoto, en caso solo
tengamos algunos usuarios sin grupo, no hacer cambios. Tambin en la
pestaa Protocolos, habilitaremos el protocolo PPTP, ya que Microsoft
Windows Server usar dicho protocolo para trfico VPN, por lo que
tambin nos brinda una conexin segura de acceso remoto.
174
175
IV.
Configurar la directiva de firewall para la red de clientes vpn.
A. Crear regla de acceso: Nuestro Servidor VPN ya est configurado

para realizar la conexin VPN a todos los usuarios registrados en el
Active Directory con permisos de acceso remoto. Pero en cuanto al
trfico permitido hacia la red interna no lo est, para ello es que
vamos a crear una regla de acceso para diversos servicios, como por
ejemplo trfico HTTP, DNS o PING. Para iniciar este proceso damos
clic en Crear regla de acceso en el panel derecho:
176
B. Crear nombre de la regla de acceso: Las reglas de acceso

permiten definir en nuestro servidor FOREFRONT las acciones en la
red realizadas y los protocolos usados cuando ciertos clientes de la
organizacin de TERRACARGO internos o externos intentan tener
acceso a destinos o contenidos especficos en otra red. En nuestro
caso configuraremos el trafico VPN entrante desde internet y saliente
desde nuestra red interna, que tenga que ver con trafico DNS, PING
y HTTP para comprobar su funcionamiento.
Para ello en la ventana siguiente visualizaremos el Asistente para
nueva regla de acceso, en la cual Colocaremos el nombre de la regla
de acceso Acceso VPN.
177
C. Accin de la Regla: La regla es creada con ciertas indicaciones y en

esta opcin indicaremos que hacer cuando se cumplan dichas
condiciones. Como lo que deseamos es permitir el trfico http, dns o
ping del exterior a la red interna seleccionamos la opcin Permitir y
luego siguiente.
178
D. Protocolos: Tenemos que tener en cuenta que servicios vamos a

permitir que nuestros usuarios VPN tengan acceso, por ejemplo un
protocolo muy conocido PING, lo seleccionaremos en el botn
Agregar,
luego
en
la
ventana
de
AGREGAR
ROLES,
seleccionamos en la lista de protocolos a PING y seleccionamos

Agregar y as solo los protocolos con los que trabajan los servicios
que deseamos brindarle acceso a los clientes VPN para tener un
mayor control de acceso.
E. Inspeccin de malware: Todo el trfico VPN que ingrese desde el

exterior es necesario inspeccionar si contiene malware por medidas
de seguridad y evitar que se provoque el mal funcionamiento de
algn equipo en nuestra red interna, ya que tenemos computadoras,
impresoras, servidores, telfonos IP y otros.
179
F. Orgenes de regla de acceso: Claramente aqu seleccionaremos los

orgenes del trfico que analice Forefront, seleccionando en el botn
Agregar y en la ventana Agregar entidades de red, en el folder
REDES encontraremos una serie de orgenes ya sea trfico exterior,
interior, entre otros; en este caso solo agregaremos el trfico
proveniente de los Clientes VPN:
180
G. Destinos de regla de acceso: Seleccionaremos el destino del trfico

que la regla tendr en cuenta para aplicarse, lo que los clientes VPN
hacen es acceder a los servicios de nuestra organizacin, es decir
acceder a la Red Interna, entonces ejecutaremos los pasos como se
muestra la imagen:
H. Conjunto de Usuarios: Como el manejo de todos los clientes VPN

es manejado por el servidor de ACTIVE DIRECTORY, dejamos
seleccionado por defecto Todos los usuarios, los cuales son
debidamente autenticado para tener acceso.
181
I. Protocolos: Luego Verificamos en el cuadro resumen sobre todas

las configuraciones antes realizadas para evitar que hayan errores.
Y finalmente verificamos que la regla est creada en el panel central de

nuestra consola de administracin Forefront con un resumen de las
caractersticas como se muestra a continuacin:
182
5.6. ONFIGURACIN DE REDUNDANCIA DE ISP.

En este punto se describe cmo habilitar la redundancia del proveedor de
acceso a Internet (ISP), en este diseo se utilizan 2 lneas de internet
(Dos ISP diferentes):
Lnea dedicada (2Mb): Su proveedor es Optical Networks.
Lnea comercial (8Mb al 10%): Su proveedor es Movistar.
Hay dos modos de redundancia de ISP:
i. El modo de alta disponibilidad designa un vnculo principal que

soporta todo el trfico saliente de Internet y un vnculo de reserva que
se activa automticamente en caso de que el primer vnculo no
funcione.
ii. El modo de equilibrio de carga dirige el trfico saliente de Internet
entre dos vnculos de ISP de manera simultnea y establece el
porcentaje de trfico de Internet total por vnculo. Tambin admite la
conmutacin por error si uno de los vnculos no funciona.
En nuestro diseo aplicaremos el segundo modo de redundancia de ISP

debido a que es mucho ms eficiente y til, ya que a que aparte realizar
balanceo de cargas, en caso de cada de uno de ellos trabaja como el
modo Alta disponibilidad
Para realizar poder lograr esta funcionalidad, seleccionamos la opcin de
Redes en la parte izquierda del panel de la consola de administracin de
Forefront TMG
183
I. Asistente para la configuracin de redundancia de ISP:
184
II. Modo de redundancia de ISP:

En este punto solo seleccionamos el modo de redundancia que
hemos elegido para nuestro diseo y el ms ptimo: Equilibrio de
carga con capacidad de conmutacin por error
III. Conexin de ISP 1:

Esta
configuracin
corresponde
nuestro
proveedor
de
OPTICAL NETWORKS que nos proporciona el mayor ancho de

banda entre ambas lneas. Primero colocaremos el nombre de la
conexin de ISP: Optical Networks.
185
IV. Conexin de ISP 1 - Configuracin:

Lo que tenemos que tener en cuenta es que en los router de los ISP estn
configurados en la red 192.168.0.0/24 y las direcciones IP de nuestros
proveedores sern los siguientes
OPTICAL NETWORKS (ISP1)
i.
Puerta de enlace
192.168.0.1
ii.
Subred
255.255.255.0
iii.
DNS primario
8.8.8.8
iv.
DNS Alternativo
8.8.4.4
INTERNET MOVISTAR (ISP2)
186
i.
Mascara de subred :
255. 255.255.0
ii.
Puerta de enlace
192.168.0.9
iii.
DNS principal
200.48.225.130
iv.
DNS Alternativo
200.48.225.146
V. Conexin de ISP 1 servidores dedicados:

Automticamente el Asistente para la configuracin de redundancia de
ISP selecciona como balanceo de carga a los servidores DNS, ya no es
necesario a no ser que deseemos agregar ms servidores DNS, pero para
nuestro diseo lo dejamos por defecto como se muestra:
187
VI. Conexin de ISP 2:

Colocamos el nombre Internet Movistar
188
VII. Conexin de ISP 2 Servidores dedicados:
Configuracin de DNS del ISP 2
VIII. Configuracin de equilibrio de la carga:
El modo configurado en este proyecto permite establecer un

porcentaje por ISP para distribuir el trfico por cada conexin y
as lograr un balanceo de cargas ms ptimos, En la organizacin
Terracargo como se cuenta con una lnea dedicada de 2 Mbps a
la cual le asignamos un 70% del trfico y un 30% al punto de
internet de movistar por tener una lnea de menor velocidad.
189
IX.
Finalizacin del Asistente para la configuracin de redundancia

de ISP:
Verificaremos en la ficha resumen todas las configuraciones que

estn correctas,
190
Nos saldr este error debido aque tenemos que crear una ruta
esttica persistente para las direcciones IP de los DNS para que
cada DNS sea utilizado por si propio proveedor y la ruta no sea muy
larga en la bsquedad DNS. Aceptamos y aplicamos cambios para
que la configuracin sufra efecto.
Para solucionar la advertencia que nos sali al finalizar la

configuracin de Redundancia de ISP tenemos que crear rutas
estticas persistentes para asegurarse de que las solicitudes DNS
se enrruta al ISP correcto, se debe agregar una ruta esttica
persistente para cada direccin IP de DNS configurada en el
adaptador de red externo.
191
1. Abra una ventana Comandos y cree una ruta persistente con la

siguiente sintaxis:
route [-p] ADD [destination] MASK [netmask] [gateway] METRIC
[metric] [IF interface]
Es decir:
route -p ADD 8.8.8.8 MASK 255.255.255.0 192.168.0.1 METRIC 1 1
route -p ADD 8.8.4.4 MASK 255.255.255.0 192.168.0.1 METRIC 1 1
route -p ADD 200.48.225.130 MASK 255.255.255.0 192.168.0.9
METRIC 1 1
route -p ADD 200.48.225.146 MASK 255.255.255.0 192.168.0.9
METRIC 1 1
Observe los siguientes parmetros:
p, hace que la ruta sea persistente entre arranques del sistema.
METRIC, especifica la prioridad de esta ruta; la ruta con la

mtrica ms baja tiene la mxima prioridad.
IF interface, especifica el nmero de interfaz de esta ruta.
Para PPTP hay que abrir el puerto TCP 1723 y abrir tambin el
protocolo con el Id. 47 (GRE) en ambos router de cada ISP para que
pueda dejar pasar dicho trfico, direccionado a nuestro servidor VPN
con direccin IP 192.168.0.2.
Y finalmente ya tenemos configurado nuestro servidor VPN con

Microsoft Forefront TMG, listo para realizar las conexiones VPN
desde cualquier sucursal del Per de TERRACARGO SAC
192
5.7. CLIENTE VPN

Para comprobar el funcionamiento de nuestro servidor VPN vamos a
cualquier
computadora
con
internet
realizamos
el
siguiente
procedimiento:
I. Abrimos el Centro de redes y recursos compartidos ubicados en el
PANEL DE CONTROL y seleccionamos la opcin Agregar una nueva
red de trabajo, luego en Conectarse a un rea de trabajo y
Siguiente.
193
II. Ahora seleccionamos Usar mi conexin a Internet (VPN).
III. Ahora ingresamos la IP pblica con la que trabaja nuestro router de

Optical Networks o de Internet Movistar para poder acceder a la
VPN.
Y Finalmente damos Conectar conexin VPN en la lista de redes, e

Ingresar el Usuario del Domino con su respectiva clave para autenticarse
registrados en el servidor de cuentas de usuarios Active Directory con
permisos de acceso VPN
194
195
6. CONCLUSIONES Y RECOMENDACIONES
6.1. CONCLUSIONES.
Debido a las ventajas econmicas que ofrecen las Redes Privadas
Virtuales se puede concluir que se trata de una excelente
tecnologa para el acceso remoto, puesto que el uso de una VPN
constituye un sustituto indispensable a los mtodos tradicionales
caros como es la transmisin de datos a travs de fibra ptica
punto a punto. Adems, constituye una buena solucin alterna a los
mtodos de implementacin de redes WAN tradicionales.
La cuestin de la seguridad en una VPN es muy importante. La
gran mayora de las organizaciones podrn ver satisfechas sus
necesidades de seguridad con las tecnologas de seguridad
existentes, pero siempre ser necesario llevar un control estricto de
la seguridad y mantener actualizada la VPN con los ltimos
avances en tecnologa.
Una VPN podr ser aplicada en todo tipo de entornos, desde las
grandes empresas con sucursales en diversas partes del pas o del
mundo y varios trabajadores mviles hasta las pequeas empresas
que tengan dos o ms sucursales en una sola ciudad; as como
tambin las diversas dependencias del gobierno que necesiten
intercambiar informacin entre ellas; e instituciones educativas
como universidades y en general cualquiera que necesite acceder
a sus archivos desde una ubicacin remota de manera segura
podr obtener beneficios con esta tecnologa.
Las VPN permiten brindar servicios a los clientes de la empresa en
cualquier lugar del mundo, con lo que los clientes obtendrn la
informacin que el necesita al instante, lo que generar una mayor
productividad de la empresa.
196
6.2. RECOMENDACIONES
Continuar con el estudio de la tecnologa de VPN, ya que es una
tecnologa que va creciendo y que necesita de una constante
actualizacin
de
conocimientos
debido
las
constantes
actualizaciones en el software de soporte que se implementan en

los sistemas operativos especialmente en Windows.
Realizar una investigacin sobre la compatibilidad de VPN con el
nuevo proyecto de Internet 2, ya que VPN est basado en IPv4 en
cambio Internet 2 se basa en IPv6, conceptualmente similares pero
diferentes en la implementacin, tomando en cuenta que la
tecnologa de IPv6 ser el futuro de internet.
Cabe anotar que la metodologa expuesta, puede ser no acoplable
para determinada situacin o empresa, por lo que se recomienda
plantear nuevas metodologas de acuerdo a las necesidades
particulares que se presenten en cada empresa.
El nico inconveniente que pudieran tener las VPN es que primero
se deben establecer correctamente las polticas de seguridad y de
acceso porque si esto no est bien definido pueden existir
consecuencias serias
Se deben tener en cuenta los requerimientos mnimos para el
servidor en el caso del SO Windows server 2008 es RAM 512, 1GB
recomendada procesador P IV o superior y disco duro de 40 GB
mnimos.
197
198
7. DEFINICIN DE TRMINOS Y CONCEPTOS.
7.1. GLOSARIO:
Acceso remoto. Conectarse a una red desde una ubicacin distante.
Ancho de banda: Es una medida de recursos disponibles para

transmitir datos. Tambin es una medida que se usa para definir la
velocidad de Internet o, de forma ms precisa, la velocidad de tu
conexin de Internet.
Backbone. Se refiere a las principales conexiones troncales de Internet.

Est
compuesta
gubernamentales,
de
un
gran
universitarios
nmero
y
otros
de routers comerciales,
de
gran
capacidad
interconectados que llevan los datos a travs de pases, continentes y

ocanos del mundo mediante cables de fibra ptica
Cifrado. Es un conjunto de tcnicas que intentan hacer inaccesible la

informacin a personas no autorizadas. Existen muchas algoritmos de
cifrado tales como DES, 3DES, RSA, SHA-1, MD5, etc.
Clster. Conjuntos o conglomerados de computadoras unidos entre s

normalmente por una red de alta velocidad y que se comportan como si
fuesen una nica computadora
Direccin IP: Es un identificador numrico nico que se asigna a una

red especfica o a una interfaz de red de un dispositivo en una red. Es
una direccin de software que se puede traducir directamente a un
host o nombre de red comprensible por el usuario. Las direcciones
IP de interfaz de red de host tambin se asocian con una o ms
direcciones de interfaz de red de hardware.
Escalabilidad: Es un trmino usado en tecnologa para referirse a la

propiedad de aumentar la capacidad de trabajo o de tamao de un
sistema sin comprometer su funcionamiento y calidad normales.
Extranet. Una extranet es una intranet orientada a las personas u

organizaciones que son externas a su empresa, pero necesitan
acceder a alguna informacin, as se les permite el acceso a este
199
contenido adicional, siempre bajo un sistema de autenticacin y control

de acceso.
Firewall. Es un sistema de seguridad que implanta normas de control de

acceso entre dos o ms redes. Se trata de un filtro que controla todas
las comunicaciones que pasan de una red a la otra y en funcin de lo
que sean permite o deniega su paso.
Frame Relay. Proporciona conexiones y vitlatla entre usuarios a travs

de una red pblica, del mismo modo que lo hara una red privada punto
a punto, esto quiere decir que es orientado a la conexin.
Hotspot. Es un lugar que ofrece acceso a Internet a travs de una red

inalmbrica y un enrutador conectado a un proveedor de servicios de
Internet.
Internet: En forma muy resumida, Internet es una red de equipos de

cmputo que se comunican entre s empleando un lenguaje comn.
Intranet. Una intranet es una Internet orientada a una organizacin en

particular. Una intranet reside dentro de un firewall y ste impide el
acceso a los usuarios no autorizados.
IPSec. Es un marco de estndares abiertos para lograr comunicaciones

privadas seguras a travs de redes IP mediante el uso de servicios de
seguridad criptogrfica.
ISP. Es una organizacin que proporciona servicios de Internet a

empresas y particulares.
Modem. Es el dispositivo que convierte las seales digitales en

analgicas (modulacin) y viceversa (demodulacin), permitiendo la
comunicacin entre computadoras a travs de la lnea telefnica o del
cable mdem. Este aparato sirve para enviar la seal moduladora
mediante otra seal llamada portadora.
OSI. Es un modelo creado por ISO que define los mtodos y protocolos
necesarios para lograr la comunicacin entre los equipos en una red.
Este modelo define el funcionamiento de las redes en siete capas.
Protocolo. En Informtica y Telecomunicacin, es el conjunto de reglas

y estndares que controlan la secuencia de mensajes que ocurren
durante una comunicacin entre entidades que forman una red, como
telfonos o computadoras, as como el ser humano tiene una forma de
200
cmo comunicarse as tambin las computadoras y su comunicacin

con una red.
Protocolo. Es un conjunto de reglas que definen cmo interactan las

entidades de comunicacin. Para que una computadora se pueda
comunicar con otra se requieren de varios protocolos los cuales van a
definir las reglas de la comunicacin.
Proxy. un programa o sistema informtico, que sirve de intermediario en

las peticiones de recursos que realiza un cliente (A) a otro servidor (C).
Puerta de enlace: o pasarela (gateway) es el dispositivo que permite

interconectar redes de computadoras con protocolos y arquitecturas
diferentes a todos los niveles de comunicacin. Su propsito es traducir
la informacin del protocolo utilizado en una red inicial, al protocolo
usado en la red de destino.
Puerto: Un puerto de red es una interfaz para comunicarse con un

programa a travs de una red. En el modelo OSI quien se preocupa de
la administracin de los puertos y los establece en el encabezado de
los segmentos es la capa de transporte o capa 4, administrando as el
envo y re-ensamblaje de cada segmento enviado a la red haciendo
uso del puerto especificado. Un puerto suele estar numerado para de
esta forma poder identificar la aplicacin que lo usa.
Red privada. Es aquella red exclusiva de una sola compaa u

organizacin en particular. La informacin no se comparte con otras
compaas u organizaciones.
Red pblica. Es una red a travs de la cual circula informacin de

muchas compaas y organizaciones. Una red pblica siempre ser
menos segura que una red privada, pero resultan ser ms econmicas.
Router. Es un equipo que direcciona los paquetes de datos de una red a

otra. Este dispositivo puede determinar cul es la ruta ms corta de un
paquete hacia su destino, adems de que tambin pueden optimizar el
ancho de banda de la red y ajustarse de manera dinmica a problemas
de patrones de trfico cambiantes dentro de la red.
Sistema operativo de red. Es un sistema operativo especialmente

diseado para la configuracin y administracin de redes. Un sistema
201
operativo de red se instala en aquellas computadoras que van a operar

como servidores.
Teletrabajador. Empleado de una empresa que trabaja desde una

oficina remota, lo cual generalmente es su hogar. Desde su
computadora tiene acceso a ciertos recursos de la red corporativa.
Telnet. es el nombre de un protocolo de red que nos permite viajar a

otra mquina para manejarla remotamente como si estuviramos
sentados delante de ella
Token Ring. es una arquitectura de red desarrollada por IBM en los

aos 1970 con topologa lgica en anillo y topologa fsica en estrella, y
tcnica de acceso de paso de testigo, usando un Frame de 3 bytes
llamado token que viaja alrededor del anillo.
Transmisin por difusin (broadcast). Un paquete de datos enviado

por un dispositivo a todos los nodos de la red.
Tunneling. El tunneling es un mtodo utilizado para encapsular

paquetes (conocidos como datos de usuario) dentro de otros paquetes
los cuales son enviados utilizando la tecnologa de la red por la que
viaja. Algunos protocolos que usan esta tecnologa son PPTP y L2TP.
202
7.2. SIGLARIO:
ACK: Acknowledgement (acuse de recibo)
AD:
DHCP: Dynamic Host Configuration Protocol, (protocolo de configuracin
Active Directory (Directorio Activo)
dinmica de host)
DNS: Domain Name Server (Servidor de Nombre de Dominio)
HA:
HTTP: HiperText Transfer Protocol (Protocolo de transferencia de
High availability (Alta disponibilidad)
hipertexto).
HTTPS: Hypertext Transfer Protocol Secure (Protocolo seguro de
transferencia de hipertexto).
ICMP: Internet Control Message Protocol (Protocolo de Mensajes de
Control de Internet).
IP:
IPSec:Internet Protocol Security (Protocolo Internet de Seguridad)
ISDN: Red Digital de Servicios Integrados.
ISO: International Organisation for Standarisation (Estandarizacin
Internet Protocol
para Organismos Internacionales)
ISP:
Internet Service Provider (proveedor de servicios de Internet)
ISP:
Internet Service Provider (Proveedor de Servicios de Internet)
L2TP: Layer 2 Tunneling Protocol (Protocolo de Entunelamiento de Nivel

2)
LAN: Local Area network (Red de rea local)
NAP: Network Access Point (Punto de acceso a red)
NAS: Network Access Server (Servidor de Acceso Remoto)
NAT: Network Access Translator (Traductor de Direcciones de Red)
NFS: Network File Server (Servidor de Archive de Red)
NIC: Network Interface Card (tarjeta de interfaz de red)
NIC: Network Interface Card (Tarjeta de Interface de Red)
OSI: Open
Systems
Interconection
(Interconexin
de
Sistemas
Abiertos)
PPTP: Point to Point Tunneling Protocol (Protocolo de tnel Punto a

Punto)
203
RAS: Remote Access Server (Servidor de Acceso Remoto)
RRAS: Remote and Routing Access Service (Servicios de Acceso

Remoto y de Enrutamiento)
SNMP: Simple Network Management Protocol (Protocolo Simple de

Administracin de Red)
TCP/IP: Transmission Control Protocol / Internet Protocol (Protocolo de

Control de Transmisin / Protocolo internet)
TCP: Transmission Control Protocol
UDP: User Datagram Protocol (Protocolo de Datagrama de Usuario)
URL: Uniform resource locator (localizador de recursos uniforme)
UTP: Unshielded Twister Pair, (par trenzado sin apantallar)
VLAN: Virtual Local rea Network (Red de rea Local Virtual)
WAN: Wide Area Network (red de rea amplia).
WINS: Windows Internet Naming Service (Servicio de nombres de
internet de windows)
204
205
8. REVISION BIBLIOGRFICA Y LINKOGRFICA

8.1. BIBLIOGRAFIA.
1. Felipe Castro, G. (2011). Redes de Computadoras.
2. Cangrejo, B., & Albeiro, W. (2014). Implementacin de un canal de

comunicaciones por medio de VPN (red privada virtual) para las
sucursales remotas de la empresa Plexa SA ESP.
3. Bravo, J., & Alberto, C. (2012). Sistemas de Transporte de Datos.

Prctica 1: Encaminamiento dinmico con IPv4. Sistemas de
Transporte de Datos.
4. Lpez Castao, F. A. (2013). Montaje Servidor Windows Server

2008 R2 y Active Directory.
5. Carrillo Gomero, F. N., & Caldern Alva, A. (2014). Parmetros de
Calidad de Servicio en Redes IP. Electrnica-UNMSM, (22), 31-39.
6. Atelin, P., & Dordoigne, J. (2006). Redes informticas: conceptos
fundamentales: normas, arquitectura, modelo OSI, TCP/IP, Ethernet,
Wi-FI... Ediciones ENI.
7. Comer,
D.
E.
(2007). Redes
de
computadoras,
Internet
Interredes (Vol. 2). G. Guerrero (Ed.). Prentice Hall.
8. Comer, D. E., & Soto, H. A. A. (1996). Redes globales de

informacin con Internet y TCP/IP (Vol. 1). Prentice hall.
9. Aguirre Hernndez, J. A. (2013). Anlisis e implementacin del

firewall forefront TMG 2010.
206
8.2.
LINKOGRAFIA.
1.
https://technet.microsoft.com/es-es/library/ee207137.aspx
2.
http://en.wikipedia.org/wiki/Microsoft_Forefront_Threat_Management
_Gateway
3.
http://seguridadit.blogspot.com/2010/02/instalacion-paso-paso-deforefront-tmg.html
4.
https://technet.microsoft.com/es-es/library/dd896981.aspx
5.
https://technet.microsoft.com/es-pe/library/cc754923.aspx
6.
http://jzel2222.blogspot.com/2008/07/windowstechnologies.html
7.
https://technet.microsoft.com/es-es/library/cc771294.aspx
8.
https://social.technet.microsoft.com/Forums/es-ES/d77ff7bb-02044cfd-94fd-c5160f794793/problema-durante-dcpromo?forum=wsades
9.
https://social.technet.microsoft.com/Forums/es-ES/d77ff7bb-02044cfd-94fd-c5160f794793/problema-durante-dcpromo?forum=wsades
10. http://windowsespanol.about.com/od/ConoceEInstalaWindows/f/Quees-Windows-Update.htm
11. http://windows.microsoft.com/es-xl/windows/windows-update
12. https://technet.microsoft.com/es-es/library/dd896975.aspx
13. http://es.wikipedia.org/wiki/Windows_Server_2008
14. https://technet.microsoft.com/es-es/library/ee207137.aspx
15. http://seguridadit.blogspot.com/2010/02/instalacion-paso-paso-deforefront-tmg.html
17. https://technet.microsoft.com/es-pe/library/cc754923.aspx
18. http://jzel2222.blogspot.com/2008/07/windowstechnologies.html
19. https://technet.microsoft.com/es-es/library/cc771294.aspx
20. https://social.technet.microsoft.com/Forums/es-ES/d77ff7bb-0204-4cfd94fd-c5160f794793/problema-durante-dcpromo?forum=wsades
21. http://windowsespanol.about.com/od/ConoceEInstalaWindows/f/Quees-Windows-Update.htm
22. http://windows.microsoft.com/es-xl/windows/windows-update
207

Tesis Diseño de Una VPN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tesis Diseño de Una VPN

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL

PEDRO RUZ GALLO

DISEO DE UN MODELO DE RED PRIVADA VIRTUAL

Universidad Nacional Pedro Ruz Gallo

Escuela Profesional de Ingeniera Electrnica

DISEO DE UN MODELO DE RED PRIVADA

Tesis presentada por:

Como requisito para obtener el Ttulo de Ingeniero Electrnico

Ing. Manuel Javier Ramrez Castro.

Ing. Julio Ernesto Quispe Rojas

Bach. Manuel Auner Daz Llatance

Bach. Gino Luis Alberto Vieyra Dioses

Abril del 2015

A las personas, ms importantes en nuestras vidas, maestros,

A nuestras familias, en especial a nuestros padres.

Gracias a Dios y a nuestros Padres. A Dios porque ha estado con nosotros en

A todos nuestros amigos de la vida, con quienes hemos compartido tantas

A nuestros maestros que nos guiaron y supieron compartirnos todos sus

ASPECTO INFORMATIVO ..................................................................... 4

LUGAR DE EJECUCIN. .............................................................................. 4

ASPECTO DE LA INVESTIGACION ....................................................... 6

PLANTEAMIENTO DEL PROBLEMA CIENTFICO. ...................................... 7

FORMULACIN DEL PROBLEMA CIENTFICO........................................... 7

Objetivo General .................................................................................... 7

Objetivo Especfico ................................................................................ 7

JUSTIFICACIN E IMPORTANCIA. .............................................................. 8

MARCO TERICO. ................................................................................ 10

Definicin de red de computadoras ................................................... 10

Clasificacin de las redes de computadoras ..................................... 10

Componentes de una red de computadoras ..................................... 16

EL MODELO OSI ......................................................................................... 20

Definicin del modelo OSI ................................................................... 20

Las capas del modelo OSI ................................................................... 21

El modelo TCP/IP ........................................................................................ 24

Las capas del modelo TCP/IP ............................................................. 24

CONEXIONES WAN Y ACCESO REMOTO ................................................ 28

Internet, intranets y extranets ............................................................. 28

Acceso remoto ..................................................................................... 30

Conexiones WAN ................................................................................. 34

Direcciones IPV4 .................................................................................. 46

Direcciones IPV6 .................................................................................. 53

Topologa de Internet ........................................................................... 56

Acceso a Internet ................................................................................. 58

Nombres de dominio ........................................................................... 60

Usos modernos .................................................................................... 61

RED PRIVADA VIRTUAL (VPN) .................................................................. 64

Arquitecturas bsicas .......................................................................... 67

Tipos de encriptacin ........................................................................... 69

Tecnologas del servicio VPN ............................................................. 70

Ventajas de implementar un servicio VPN ......................................... 71

Caractersticas y requerimientos. ...................................................... 73

Protocolos utilizados en las VPN ....................................................... 73

WINDOWS SERVER 2008 ........................................................................... 81

Requisitos de hardware: ..................................................................... 84

ACTIVE DIRECTORY ............................................................................ 86

Funcionalidad de dominios y bosques .............................................. 89

FOREFRONT TMG ................................................................................ 98

SITUACIN ACTUAL DE LA EMPRESA ............................................ 103

UBICACIN DE LA EMPRESA TERRACARGO SAC............................... 104

INFRAESTRUCTURA DE TERRACARGO SAC. ....................................... 105

CANTIDAD DE USUARIOS. ...................................................................... 105

Oficinas en la Ate ............................................................................... 105

Otras oficinas. .................................................................................... 106

INFRAESTRUCTURA DEL DATA CENTER .............................................. 107