III
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD BASADO EN
RASPBERRY Y TACACS+ PARA DISTRIBUIDORA COMSUCRE
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR (ES):
ALAN FABIAN RAMIREZ SUAREZ
JOSE JAVIER RIVERA CAMPUZANO
TUTOR: LIC. PILAR DEL ROCIO PINEDA RENTERIA
GUAYAQUIL – ECUADOR
2020
IV
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGIA
FICHA DE REGISTRO DE TESIS/ TRABAJO DE GRADUACION
TITULO: IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD
BASADO EN RASPBERRY Y TACACS+ PARA DISTRIBUIDORA
COMSUCRE
AUTORES:
Ramírez Suarez Alan Fabian
Jose Javier Rivera Campuzano
TUTOR: Lcda. Pilar Del Rocio Pineda Renteria
REVISOR: Lcda Janeth Diaz Vera
INSTITUCIÓN: Universidad de
Guayaquil
FACULTAD: Ciencias Matemáticas y
Física
CARRERA: Ingeniería Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: No. de Pág.. 164
AREA TEMATICA: Seguridad en redes
PALABRA CLAVE: Implementación, seguridad, Raspberry, Tacacs+
RESUMEN: La presente investigación tiene como objetivo general Implementar
un Prototipo de Seguridad basado en Raspberry y TACACS+ para la empresa
Distribuidora COMSUCRE debido a que la seguridad informática de la red de la
no es segura frente a una desorganización estructural de la red a nivel
administrativo, considerando también que los datos que se envían a través de
ella son vulnerables ante ataques, robo de información, filtración de intrusos
entre otras, se pretende centralizar la administración de la red para la gestión
de la misma facilitando la creación de usuarios, eliminación de credenciales, la
flexibilidad ante una red escalable entre otros. Para esto hemos Tomado en
consideración fundamentos teóricos de las tecnologías que se van a usar
mediante la metodología investigativa PMBOOK, con dicho método se ira
V
detallando de manera clara cada etapa de la investigación hasta su cierre
respectivo y visualizar los resultados obtenidos.
ABSTRACT : The general objective of this research is to implement a Security
Prototype based on Raspberry and TACACS + for the company
DISTRIBUIDORA COMSUCRE because the computer security of the network is
not secure against a structural disorganization of the network at an
administrative level, also considering that the data that is sent through it is
vulnerable to attacks, information theft, infiltration of intruders among others, it
is intended to centralize the administration of the network for the management
of it, facilitating the creation of users, deletion of credentials, flexibility before a
scalable network among others. For this we have taken into consideration
theoretical foundations of the technologies that are going to be used through the
PMBOOK investigative methodology, with this method each stage of the
investigation will be clearly detailed until its respective closure and the results
obtained can be viewed
No DE REGISTRO: NO DE CALIFICACIÓN
DIRECCION URL:
ADJUNTO PDF SI X NO
CONTACTO DE AUTORES:
Alan Fabian Ramírez Suarez
Jose Javier Rivera Campuzano
TELEFONOS: E-MAIL:
0980827086 [email protected]
046043015
0987365320 [email protected]
CONTACTO DE LA INSTITUCIÓN:
Ab. Juan Chávez Atocha, Esp
2307724
III
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, “IMPLEMENTACIÓN DE UN
PROTOTIPO DE SEGURIDAD BASADO EN RASPBERRY Y TACACS+ PARA
DISTRIBUIDORA COMSUCRE “elaborado por los Sr.
ALAN FABIAN RAMIREZ SUAREZ con C.I. 0930287388 Y JOSE JAVIER
RIVERA CAMPUZANO con C.I. 0919367615, Alumno no titulado de la Carrera de
Ingeniería en Networking y Telecomunicaciones, Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del
Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que
luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente,
Lcda. Pilar del Rocio Pineda Renteria
TUTOR
IV
DEDICATORIA
Alan F. Ramírez
Dedico este proyecto final a mi
Hijo Dylan Ramírez Peñarrieta
como una muestra de
dedicación y esfuerzo que
certifica que las metas se
pueden alcanzar pese a todo
adversidad que se presente y
te incentivo a que forjes tu
formación profesional de la
mejora manera y con
dedicación. También quiero
dedicarlo indiscutiblemente a
mi Madre Fanny Suárez
Córdova y Enrique Ramírez
Campuzano, este logro que he
conseguido a gracias ustedes
fruto de tu dedicación en mi
crianza.
V
Javier Rivera
Dedicamos este proyecto a
nuestros familiares, amigos
como muestra de dedicación y
esfuerzo para conseguir
objetivos, también lo
dedicamos a la facultad de
ciencias y matemáticas y
físicas y sus directivos.
VI
AGRADECIMIENTO
Alan F. Ramírez
Agradecimiento a los Ingenieros
y Docentes de la Facultad de
Ciencias Matemáticas y Física
de la Universidad de Guayaquil
por su aporte en mi formación
como profesional, a mi Madre
Fanny Suárez Córdova, a mi
Padre Enrique Alberto Ramírez,
a mi hermano Bryan Ramírez y
mi hermana Michelle Ramírez
que desde lejos siempre me
apoyo durante mi formación, a
la Dr. Rosa Elena Rosero por
motivar mis estudios, a mi
Amigo Alex Pérez Erazo por su
acompañamiento en mis metas
y a mis compañeros de estudio
que siempre me brindaron su
ayuda.
VII
Javier Rivera
Agradecimiento a los Ingenieros
y Docentes de la Facultad de
Ciencias Matemáticas y Física
de la Universidad de Guayaquil
por su aporte en mi formación
como profesional, a mi Madre
Carmen Campuzano, a mi
Padre José Rivera, a mi esposa
Mariela Daza y mis hijos
Francisco, Dustin y José y a mis
hermanas Cira Rivera y
Katiusca Rivera y todos mis
familiares por los consejos y
ánimos para seguir adelante.
VIII
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Fausto Cabrera Montes, M.Sc. Ing. Abel Alarcón Salvatierra, Mgs
DECANO DE LA FACULTAD DIRECTOR DE LA CARRERA DE
CIENCIAS MATEMATICAS INGENIERIA EN NETWORKING
Y FISICAS Y TELECOMUNICACIONES
Ing. Luis Espín Pazmiño M. Sc Lcda. Janeth Diaz Vera M. Sc
Nombres y Apellidos Nombre y Apellidos
PRESIDENTE PROFESOR REVISOR
TRIBUNAL TRIBUNAL
Ing. Christian Picon Farah
Nombres y Apellidos
PROFESOR DEL AREA
TRIBUNAL
Lcda. Pilar Del Rocio Pineda Renteria
Nombre y Apellidos
PROFESOR TUTOR DEL PROYECTO
DE TITULACION
Ab. Juan Chávez Atocha, Esp.
SECRETARIO (E) DE LA FACULTAD
IX
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este
Proyecto de Titulación, me corresponden
exclusivamente; y el patrimonio intelectual de
la misma a la UNIVERSIDAD DE
GUAYAQUIL”
ALAN FABIAN RAMIREZ SUAREZ
C.I. 0930287388
JOSE JAVIER RIVERA CAMPUZANO
C.I.0919367615
X
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD
BASADO EN RASPBERRY Y TACACS+
PARA LA DISTRIBUIDORA COMSUCRE
Proyecto de Titulación que se presenta como requisito para optar por el título de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autores: ALAN FABIAN RAMIREZ SUAREZ
C.I. 0930287388
JOSE JAVIER RIVERA CAMPUZANO
C.I.09193676
Tutor: LCDA. PILAR DEL ROCIO PINEDA RENTRIA
Guayaquil, 28 de octubre del 2020
XI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los
estudiantes ALAN FABIAN RAMIREZ SUAREZ con C.I. 0930287388 y JOSE
JAVIER RIVERA CAMPUZANO con C.I.0919367615, como requisito previo para
optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo título es:
IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD BASADO EN
RASPBERRY Y TACACS+ PARA LA DISTRIBUIDORA COMSUCRE
Considero aprobado el trabajo en su totalidad.
Presentado por:
ALAN FABIAN RAMIREZ SUAREZ C.I. 0930287388
JOSE JAVIER RIVERA CAMPUZANO C.I. 0919367615
Tutor: Lcda. Pilar Del Rocio Pineda Renteria
Guayaquil, 28 de octubre de 2020
XII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: Alan Fabian Ramírez Suarez
Dirección: 6 de marzo 2708 y Letamendi
Teléfono: 0980827076 - 046043015 E-mail: [email protected]
Nombre Alumno: Jose Javier Rivera Campuzano
Dirección: Mucho Lote
Teléfono: 0919367615 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Física
Carrera: Ingeniería Networking y Telecomunicaciones
Proyecto de titulación al que opta: Ingeniería Networking y
Telecomunicaciones
Profesor guía: Lcda. Pilar Del Roció Pineda Rentería
Título del Proyecto de titulación: Implementación de un Prototipo De
seguridad basado en Raspberry y TACACS+ para la DISTRIBUIDORA
COMSUCRE.
XIII
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a
la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de
este Proyecto de titulación.
Publicación electrónica:
Inmediata Después de 1 año
Alan Fabian Ramírez Suarez Jose Javier Rivera Campuzano
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como archivo
.Doc. O .RTF y Puf para PC. Las imágenes que la acompañen pueden ser: .gif,
.jpg o .TIFF.
DVDROM CDROM
XIV
ÍNDICE GENERAL
APROBACION DEL TUTOR ............................................................................ III
DEDICATORIA ................................................................................................... IV
AGRADECIMIENTO .......................................................................................... VI
ÍNDICE GENERAL .......................................................................................... XIV
ÍNDICE DE TABLAS ..................................................................................... XVIII
ÍNDICE DE FIGURA ......................................................................................... XX
RESUMEN .................................................................................................... XXVII
ABSTRAC .................................................................................................... XXVIII
INTRODUCCIÓN .................................................................................................. 1
CAPÍTULO I - EL PROBLEMA .......................................................................... 4
Ubicación del Problema en un Contexto ...................................................... 4
Situación Conflicto Nudos Críticos ................................................................ 6
Causas y Consecuencias del Problema ....................................................... 8
Delimitación del Problema .............................................................................. 9
Formulación del Problema .............................................................................. 9
Evaluación del Problema .............................................................................. 10
Objetivos Generales ...................................................................................... 11
Objetivos Específicos .................................................................................... 11
Alcances Del Problema ................................................................................. 11
Justificación e Importancia ............................................................................ 14
Metodología del proyecto .............................................................................. 17
CAPÍTULO II - MARCO TEÓRICO ................................................................. 20
Antecedentes del Estudio ............................................................................. 20
Fundamentación Teórica .............................................................................. 24
Fundamentación Legal .................................................................................. 52
Pregunta Científica para Contestarse ......................................................... 58
XV
Definiciones Conceptuales ........................................................................... 59
CAPÍTULO III PROPUESTA TECNOLÓGICA ............................................. 60
Análisis de Factibilidad .................................................................................. 60
Factibilidad de Operacional .......................................................................... 60
Factibilidad Tecnica ....................................................................................... 61
Factibilidad Legal ............................................................................................ 62
Factibilidad Economica .................................................................................. 63
Etapas de la metodología del proyecto ...................................................... 63
Inicio del Proyecto ...................................................................................... 63
Planificación del Proyecto ......................................................................... 68 Ejecución del Proyecto .............................................................................. 71
Monitoreo y Control .................................................................................... 94 Cierre del Proyecto .................................................................................... 94
Entregables del proyecto .............................................................................. 94
Criterios de Validación de la Propuesta ...................................................... 94
Procesamiento y Analisis .............................................................................. 95
Población y Muestra .................................................................................. 95
Encuesta ...................................................................................................... 95 Validación Hipotesis ................................................................................. 103
CAPÍTULO IV ................................................................................................... 104
Criterios de aceptación del producto o Servicio ...................................... 104
Conclusiones ................................................................................................. 106
Recomendaciones ........................................................................................ 107
Bibliografia ..................................................................................................... 108
Anexos ........................................................................................................... 113
XVI
ABREVIATURAS
ABP Aprendizaje Basado en Problemas
UG Universidad de Guayaquil
FTP Archivos de Transferencia
AAA Autenticación, Autorización Y Contabilización.
IEEE Institute of Electrical and Electronics Engineers
LAN Local Area Network
WLAN Wireless Local Area Network
UG Universidad de Guayaquil
FTP Archivos de Transferencia
http Protocolo de transferencia de Hyper Texto
Ing. Ingeniero
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas
IAS Servicio de autenticación de Internet
ACS Access Control Server
HTML Lenguaje de Marca de salida de Hyper Texto
ISP Proveedor de Servicio de Internet
Msc. Master
URL Localizador de Fuente Uniforme
WWW World Wide Web (red mundial)
CSO Chief Security Officer
MP5 Maschinenpistole-5
PYMES Pequeña y mediana empresa
TACACS Terminal Access Controller Access Control System
RADIUS Remote Authentication Dial-In User Service
OSPF Open Shortest Path First
NAS Network Access Server
XVII
SIMBOLOGÍA
Router
Switch
Firewall
servidores
Laptop
XVIII
ÍNDICE DE TABLAS
TABLA NO.1 .......................................................................................................... 8
CAUSAS Y CONSECUECIAS ........................................................................... 8
TABLA N. 2 ............................................................................................................ 9
DELIMITACIÓN DEL PROBLEMA .................................................................... 9
TABLA N. 3 .......................................................................................................... 16
RELEVANCIA DE UN SISTEMA AAA LAS REDES .................................... 16
TABLA N. 4 .......................................................................................................... 17
METODOLOGÍA APLICADA ............................................................................ 17
TABLA N. 5 .......................................................................................................... 28
AMENAZA DE SEGURIDAD ............................................................................ 28
TABLA N.6 ........................................................................................................... 34
FUNCIONES DE IDP E ISP ............................................................................. 34
TABLA N.7 ........................................................................................................... 42
PROCESO GENERAL DE LA AUTENTICACIÓN ........................................ 42
TABLA N.8 ........................................................................................................... 45
BENEFICIOS DEL USO DEL PROTOCOLO TCP ....................................... 45
TABLA N.9 ........................................................................................................... 49
ATRIBUTOS DEL PAQUETE DE TACACS+ ................................................ 49
TABLA N.10 ........................................................................................................ 66
CARACTERÍSTICAS DEL RASPBERRY PI 3 .............................................. 66
TABLA N.11 ........................................................................................................ 66
CARASTERICTICAS DEL AP CISCO-LAP1142N-A-K9 ............................. 66
TABLA N.12 ........................................................................................................ 67
CARACTERISTICAS DE ROUTER CISCO 2911-K9 .................................. 67
TABLA N.13 ........................................................................................................ 67
REQUERIMIENTO DE SOFTWARE............................................................... 67
TABLA N.14 ........................................................................................................ 78
PARÁMETROS DEL ARCHIVO DE CONFIGURACIÓN TAC_PLUS.CON
............................................................................................................................... 78
XIX
TABLA N.15 ........................................................................................................ 95
RESULTADO DE LA ENCUESTA: PREGUNTA 1 ....................................... 95
TABLA N.16 ........................................................................................................ 96
RESULTADO DE LA ENCUESTA - PREGUNTA 2 ...................................... 96
TABLA N.17 ........................................................................................................ 97
RESULTADO DE LA ENCUESTA: PREGUNTA 3 ....................................... 97
TABLA N.18 ........................................................................................................ 98
RESULTADO DE LA ENCUESTA: PREGUNTA 4 ....................................... 98
TABLA N.19 ........................................................................................................ 99
RESULTADO DE LA ENCUESTA: PREGUNTA 5 ....................................... 99
TABLA N.20 ...................................................................................................... 100
RESULTADO DE LA ENCUESTA: PREGUNTA 6 ..................................... 100
TABLA N.21 ...................................................................................................... 101
RESULTADO DE LA ENCUESTA - PREGUNTA 7 .................................... 101
TABLA N.22 ...................................................................................................... 102
RESULTADO DE LA ENCUESTA - PREGUNTA 8 .................................... 102
TABLA N.23 ...................................................................................................... 104
CRITERIOS DE ACEPTACIÓN ..................................................................... 104
XX
ÍNDICE DE FIGURAS
FIGURA N.1 ........................................................................................................ 14
DELITOS INFORMÁTICOS .............................................................................. 14
FIGURA N.2 ........................................................................................................ 19
METODOLOGÍA DEL PROYECTO: PMBOOK ............................................. 19
FIGURA N.3 ........................................................................................................ 25
DELITOS INFORMÁTICOS EN ECUADOR .................................................. 25
FIGURA N.4 ........................................................................................................ 26
RESTRICCIONES DE SEGURIDAD PARA .................................................. 26
FIGURA N.5 ........................................................................................................ 27
RIESGO ............................................................................................................... 27
FIGURA N.6 ........................................................................................................ 29
REDES INTERNAS Y EXTERNAS ................................................................. 29
FIGURA N.7 ........................................................................................................ 30
MAPA TOPOLÓGICO DE RED DE GESTIÓN ............................................. 30
FIGURA N.8 ........................................................................................................ 32
DIAGRAMA DE FUNCIONAMIENTO DEL FIREWALL ............................... 32
FIGURA N.9 ........................................................................................................ 35
ANTIVIRUS ......................................................................................................... 35
FIGURA N.10 ...................................................................................................... 36
TOPOLOGÍA PROXY ........................................................................................ 36
FIGURA N. 11 ..................................................................................................... 36
TOPOLOGÍA PROXY ........................................................................................ 36
FIGURA N.13 ...................................................................................................... 38
TOPOLOGIA DE SUBRED DMZ ..................................................................... 38
FIGURA N.12 ...................................................................................................... 37
TOPOLOGIA DE HOST DMZ........................................................................... 37
FIGURA N. 14 ..................................................................................................... 41
MODELO AAA .................................................................................................... 41
FIGURA N.15 ...................................................................................................... 47
XXI
PROCESO AAA .................................................................................................. 47
FIGURA N.16 ...................................................................................................... 48
PAQUETE TACACS+ ........................................................................................ 48
FIGURA N.17 ...................................................................................................... 50
THE AUTHENTICATION START PACKET BODY ....................................... 50
FIGURA N.18 ...................................................................................................... 51
THE AUTHORIZATION REQUEST PACKET BODY ................................... 51
FIGURA N.19 ...................................................................................................... 51
THE ACCOUNT REQUEST PACKET BODY ................................................ 51
FIGURA N.20 ...................................................................................................... 52
COMPARATIVA DIFERENTES PROTOCOLOS DE ARQUITECTURA
AAA ....................................................................................................................... 52
FIGURA N.21 ...................................................................................................... 62
DISEÑO DE LA RED DISTRIBUIDORA COMSUCRE. ............................... 62
FIGURA N.22 ...................................................................................................... 65
PLACA RASPBERRY PI 3 MODEL B ............................................................ 65
FIGURA N.23 ...................................................................................................... 65
CASE RASPBERRY .......................................................................................... 65
CRONOGRAMA DE ACTIVIDADES - DOCUMENTACIÓN ....................... 70
CRONOGRAMA DE ACTIVIDADES – PRUEBAS ....................................... 70
FIGURA N. 24 ..................................................................................................... 72
RED DISTRIBUIDORA COMSUCRE ............................................................. 72
FIGURA N.25 ...................................................................................................... 73
CARGA DE S.O CON PROGRAMA WIN32 DISK IMAGER ....................... 73
FIGURA N.26 ...................................................................................................... 74
CARGA DE S.O CON PROGRAMA WIN32 DISK IMAGER ....................... 74
FIGURA N. 27 ..................................................................................................... 75
PUERTOS RASPBERRY PI 3 MODEL B ...................................................... 75
FIGURA N.28 ...................................................................................................... 75
ACTUALIZACIÓN DEL S.O UBUNTU SERVER........................................... 75
FIGURA N.29 ...................................................................................................... 76
XXII
INSTALACIÓN SERVICIO TACACS+ ............................................................ 76
FIGURA N.30 ...................................................................................................... 77
SERVICIO TACACS+ ........................................................................................ 77
FIGURA N.31 ...................................................................................................... 77
ARCHIVO LOG TACAS+ .................................................................................. 77
FIGURA N. 32 ..................................................................................................... 78
ARCHIVO DE CONFIGURACIÓN TACACS+ ............................................... 78
FIGURA N.33 ...................................................................................................... 79
CONFIGURACION DE USUARIOS ................................................................ 79
FIGURA N.34 ...................................................................................................... 79
CONFIGURACION DE PASSWORD .............................................................. 79
FIGURA N.35 ...................................................................................................... 80
CONFIGURACION DE PRIVILEGIO .............................................................. 80
FIGURA N.36 ...................................................................................................... 80
CONFIGURACION DE GRUPOS .................................................................... 80
FIGURA N.37 ...................................................................................................... 81
CONFIGURACIÓN DE EQUIPOS CISCO ..................................................... 81
FIGURA N.38 ...................................................................................................... 82
INSTALACION DE PUTTY ............................................................................... 82
FIGURA N.39 ...................................................................................................... 82
ACCESO REMOTO POR PUTTY ................................................................... 82
FIGURA N.40 ...................................................................................................... 83
ACCESO REMOTO POR PUTTY ................................................................... 83
FIGURA N.41 ...................................................................................................... 84
ACCESO REMOTO POR PUTTY ................................................................... 84
FIGURA N.42 ...................................................................................................... 85
INGRESO EN MODO ROOT ........................................................................... 85
FIGURA N.43 ...................................................................................................... 85
ESTATUS SERVICIO SAMBA ......................................................................... 85
FIGURA N.44 ...................................................................................................... 86
ARCHIVO DE CONFIGURACIÓN SAMBA .................................................... 86
XXIII
FIGURA N.45 ...................................................................................................... 88
ACCESO A RECURSOS COMPARTIDOS ................................................... 88
FIGURA N.46 ...................................................................................................... 89
VISUALIZACIÓN LOGS DE RESPALDO TACACS+ ................................... 89
FIGURA N.47 ...................................................................................................... 89
INSTALACIÓN DE KSYSTEMLOG ................................................................. 89
FIGURA N.48 ...................................................................................................... 90
VISUALIZACIÓN KSYSTEMLOG .................................................................... 90
FIGURA N.49 ...................................................................................................... 90
VISUALIZACIÓN LOG DE CONTABILIZACIÓN TACACS+ ....................... 90
FIGURA N.50 ...................................................................................................... 91
COPIA DE ARCHIVO ........................................................................................ 91
FIGURA N.51 ...................................................................................................... 91
COMANDO LS .................................................................................................... 91
FIGURA N.52 ...................................................................................................... 92
ELIMINACION DE LOG POR MANTENIMIENTO ........................................ 92
FIGURA N.53 ...................................................................................................... 93
LISTA DE RUTAS .............................................................................................. 93
FIGURA N.54 ...................................................................................................... 93
INICIALIZACION DE TACACS+ ...................................................................... 93
XXIV
ÍNDICE DE GRAFICOS
GRÁFICO N.1 ..................................................................................................... 64
PRESUPUESTO DE IMPLEMENTACIÓN ..................................................... 64
GRÁFICO N.2 ..................................................................................................... 68
CRONOGRAMA DE ACTIVIDADES ............................................................... 68
GRÁFICO N.3 ..................................................................................................... 69
CRONOGRAMA DE ACTIVIDADES - ANÁLISIS ......................................... 69
GRÁFICO N.4 ..................................................................................................... 69
CRONOGRAMA DE ACTIVIDADES - IMPLEMENTACIÓN ....................... 69
GRÁFICO N.5 ..................................................................................................... 70
CRONOGRAMA DE ACTIVIDADES - DOCUMENTACIÓN ....................... 70
GRÁFICO N.6 ..................................................................................................... 70
CRONOGRAMA DE ACTIVIDADES – PRUEBAS ....................................... 70
GRÁFICO N.7 ..................................................................................................... 71
CRONOGRAMA DE ACTIVIDADES – CONCLUSIONES Y
RECOMENDACIONES ..................................................................................... 71
GRÁFICO N.8 ..................................................................................................... 96
RESULTADOS DE LA ENCUESTA - PREGUNTA 1 ................................... 96
GRÁFICO N.9 ..................................................................................................... 97
RESULTADOS DE LA ENCUESTA - PREGUNTA 2 ................................... 97
GRÁFICO N.10 ................................................................................................... 98
RESULTADOS DE LA ENCUESTA - PREGUNTA 2 ................................... 98
GRÁFICO N.11 ................................................................................................... 99
RESULTADOS DE LA ENCUESTA - PREGUNTA 4 ................................... 99
GRÁFICO N.12 ................................................................................................. 100
RESULTADOS DE LA ENCUESTA - PREGUNTA 5 ................................. 100
GRÁFICO N.13 ................................................................................................. 101
RESULTADOS DE LA ENCUESTA - PREGUNTA 6 ................................. 101
GRÁFICO N.14 ................................................................................................. 102
RESULTADOS DE LA ENCUESTA - PREGUNTA 7 ................................. 102
XXV
GRÁFICO N.15 ................................................................................................. 103
RESULTADOS DE LA ENCUESTA - PREGUNTA 8 ................................. 103
XXVI
ÍNDICE DE ANEXOS
ANEXO N. 1 .................................................................................................... 113
FORMATO DE ENCUESTA REALIZADA A LOS COLABORADORES DE LA
DISTRIBUIDORA COMSUCRE ....................................................................... 113
ANEXO N. 2 .................................................................................................... 116
DISEÑO DE LA RED DE LA DISTRIBUIDORA COMSUCRE. ......................... 116
ANEXO N. 3 .................................................................................................... 117
CARTA DE AUTORIZACIÓN PARA LA IMPLEMENTACIÓN DEL PROYECTO
........................................................................................................................ 117
ANEXO N. 4 .................................................................................................... 118
ACTA DE ACEPTACIÓN DEL PROYECTO .................................................... 118
ANEXO N. 5 .................................................................................................... 119
MANUAL DE USUARIO ................................................................................... 119
ANEXO N. 6 .................................................................................................... 124
DATASHEET RASPBERRY PI ........................................................................ 124
ANEXO N. 7 .................................................................................................... 128
DATASHEET AP CISCO AIR-LAP1142N-A-K9 ............................................... 128
ANEXO N. 8 .................................................................................................... 133
DATASHEET ROUTER CISCO 2911-K9 ......................................................... 133
XXVII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
Implementación de un Prototipo de Seguridad
basado en Raspberry y TACACS+
para la DISTRIBUIDORA COMSUCRE
Autores:
Alan Fabian Ramírez Suarez
Jose Javier Rivera Campuzano
Tutor:
Lcda. Pilar Del Rocio Pineda Renteria
RESUMEN
La presente investigación tiene como objetivo general Implementar un Prototipo
de Seguridad basado en Raspberry y TACACS+ para la empresa Distribuidora
COMSUCRE debido a que la seguridad informática de la red de la no es segura
frente a una desorganización estructural de la red a nivel administrativo,
considerando también que los datos que se envían a través de ella son
vulnerables ante ataques, robo de información, filtración de intrusos entre otras,
se pretende centralizar la administración de la red para la gestión de la misma
facilitando la creación de usuarios, eliminación de credenciales, la flexibilidad ante
una red escalable entre otros. Para esto hemos Tomado en consideración
fundamentos teóricos de las tecnologías que se van a usar mediante la
metodología investigativa PMBOOK, con dicho método se ira detallando de
manera clara cada etapa de la investigación hasta su cierre respectivo y visualizar
los resultados obtenidos.
Palabras clave: Implementación, seguridad, Raspberry, Tacacs+.
XXVIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
Implementation of a Security Prototype
based on Raspberry and TACACS +
for DISTRIBUIDORA COMSUCRE.
Authors:
Alan Fabian Ramírez Suarez
Jose Javier Rivera Campuzano
Tutor:
Lcda. Pilar Del Rocio Pineda Renteria
ABSTRAC
The general objective of this research is to implement a Security Prototype based
on Raspberry and TACACS + for the company DISTRIBUIDORA COMSUCRE
because the computer security of the network is not secure against a structural
disorganization of the network at an administrative level, also considering that the
data that is sent through it is vulnerable to attacks, information theft, infiltration of
intruders among others, it is intended to centralize the administration of the network
for the management of it, facilitating the creation of users, deletion of credentials,
flexibility before a scalable network among others. For this we have taken into
consideration theoretical foundations of the technologies that are going to be used
through the PMBOOK investigative methodology, with this method each stage of
the investigation will be clearly detailed until its respective closure and the results
obtained can be viewed
Keywords: Implementation, security, Raspberry, Tacacs+
1
INTRODUCCIÓN
El crecimiento de las redes es imparable durante los últimos años la tecnología ha
avanzado de manera acelerada y al mismo tiempo la adquisición e
implementación de equipos se ha vuelto cada vez más rutinario dentro del mundo
empresarial que tiende a crecer, evolucionar e innovar; esto implica que al abrir
una sucursal o un nuevo punto de venta se deba configurar y gestionar un nodo
más, así como brindar seguridad, restringir accesos, entre otros. En este contexto
también se incluye las renovaciones de equipos cuando estos ya están obsoletos
o sufren algún daño físico ocasionando que se vuelva a realizar la configuración
en el equipo nuevo, que en consecuencia vuelve compleja la administración de la
red porque se debe realizar equipo por equipo, ocasionando perdida de tiempo,
movilización coste, entre otros.
En la actualidad el número de pequeñas, medianas o grandes empresas que
invierten en su estructura de redes viene siendo habitual desde hace mucho
tiempo, “las tecnologías de la información y comunicación (TIC) son un factor
determinante para el crecimiento en la pequeña y mediana empresa (PyME) y se
han vuelto imprescindibles en las actividades cotidianas de las organizaciones”
(Valdez Juárez, Pérez de Lema, & Maldonado Guzmán, 2017). Pues se ven en la
necesidad de registrar, controlar y mejorar las actividades que realizan, este es el
caso de COMSUCRE una empresa guayaquileña dedicada al servicio de
distribución de suministros de oficina que ha incurrido en adquisición de equipos
y en consecuencia ha implicado un crecimiento desorganizado, frágil, vulnerable,
no estructurado ni centralizado en su red, situación que preocupa a la empresa en
mención por no contar con una buena administración de red ni protocolos de
seguridad que protejan la información almacenada en la misma. La
implementación de un protocolo que controle la autenticación remota así como los
servicios para el control de acceso a red además de permitir que un servidor de
acceso remoto se pueda comunicar con un servidor de autenticación con el fin de
determinar si el usuario tiene acceso a la red es cada vez más imprescindible
dentro de las empresas y en este caso en particular en la empresa COMSUCRE.
2
Por lo antes expuesto este proyecto tiene como finalidad brindar una solución a
los administradores en el ámbito de redes para la administración centralizada y
reducción de costo con equipo como Raspberry que mejore y optimice el
mantenimiento eficiente de la administración de red y así lograr contrarrestar los
problemas actuales de la DISTRIBUIDORA COMSUCRE fundamentalmente la
protección de los datos de la empresa y datos de sus clientes, puesto que es
importante brindar una seguridad informática robusta, y garantizar confiabilidad,
calidad de servicio, integridad de datos entre otros, que conlleven a una
operatividad normal de la empresa en sus actividades diarias.
En el primer Capítulo se detalla la problemática de la red de la DISTRIBUIDORA
COMSUCRE que constituye la falta de innovación y no implementación de
protocolos triple AAA planteando el problema existente de manera precisa y
exacta analizando las causas y consecuencias del mismo, que producen una
desorganización total cada vez que la red escala con el crecimiento del negocio
posicionando la propuesta de Implementar un prototipo de seguridad basado en
Raspberry y TACACS+ como una solución de bajo costo y de seguridad robusta
para contrarrestar los problemas de la red.
En segundo Capítulo se expone los antecedentes de las tecnologías que se
utilizan para la Implementación de un Prototipo de Seguridad basado en
Raspberry y TACACS+ para la DISTRIBUIDORA COMSUCRE en un marco
nacional como internacional y a la vez se detallan los conceptos más relevantes
para el desarrollo de la investigación, así como también los fundamentos legales
en relación con los problemas planteados destacando su importancia.
Tercer Capítulo abarca todos los temas conceptuales relacionados con la
Implementación de un Prototipo de Seguridad basado en Raspberry y TACACS+
para la DISTRIBUIDORA COMSUCRE, conceptos importantes que permiten el
entendimiento de la propuesta de solución, así como también se detalla la
factibilidad en diversos aspectos que tiene la investigación a presentarse.
El cuarto Capítulo cuenta con la conclusión una vez realizada las pruebas
pertinentes, encuestas, entre otros, que hacen referencia como respuestas a los
3
objetivos específicos planteados, también se encuentra las recomendaciones
necesarias para una operatividad a largo plazo del prototipo.
4
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
Con la era del tráfico de información a través de las redes informáticas se
considera a la administración de red como un factor de transcendencia dentro de
las empresas, pues la gestión de administración para la seguridad de la red es un
conjunto de técnicas que permiten mantener una red operativa, segura, eficiente
con una apropiada planeación y debidamente documentada debido a que
Los atacantes no van a esperar a que el software de seguridad esté
al día: los informes de la industria revelan que los ciberataques
avanzados pueden existir sin ser detectados durante unos 200 días.
En el entorno de amenazas actual, las organizaciones necesitan
soluciones de seguridad inteligente en constante evolución para
mantenerse al día de las últimas amenazas según van surgiendo.
(Microsoft Corporation, 2016, p.1)
De allí su importancia, pues al crecer o evolucionar un negocio o empresa también
crece uno de los retos para los administradores de redes o los CSO es gestionar
de forma eficiente dichas redes, que consiste en configuración de equipos,
creación de usuarios, habilitación de permisos, entre otros.
Los problemas de una red no estructurada de manera centralizada y organizada
para su gestión administrativa en el campo, suelen ser mayores a medida que una
organización progresa; pero ese progreso se ve fragmentado si la base
tecnológica no está diseñada para soportar la demanda de datos y operaciones
5
que se transmiten y se realizan a través de la red, es decir sería una limitante no
tener este tipo de soluciones AAA en redes en crecimiento
Por esta razón La DISTRIBUIDORA COMSUCRE ha considerado reestructurar y
modificar la gestión de administración de red, para esto es necesario mencionar
que la DISTRIBUIDORA en mención tiene 34 años en el mercado específicamente
en el sector de comercial ofreciendo suministros de oficina; actualmente está
estructurada por 4 departamentos principales que están en constante renovación
de equipos, también cuenta con 3 sucursales y en total la empresa tiene 80
equipos de red, la misma que es administrada por 3 personas que tienen una
sobrecarga de trabajo provocando conflictos al momento de configurar nuevos
equipos por motivos de movilización, tiempo, informes desactualizados del
departamento de TI y finalmente pero no menos importante la falta de una
arquitectura ágil que dificulta el mantenimiento de la red.
Además de la problemática detallada en el párrafo anterior se suma el alto riesgo
de filtración de intrusos y robo de información producidos por la cantidad de
usuarios creados con credenciales que aún no han sido eliminados del sistema
los mismos que bajo la utilización de personas que se dedican al ciberdelito
podrían ocasionar daño a los clientes de la DISTRIBUIDORA COMSUCRE y
posiblemente también a la empresa en problema legales debido al ciberdelito que
cada día aumenta
La Dirección de Política Criminal de la Fiscalía General del Estado
registró 626 denuncias por delitos informáticos desde el 10 de
agosto del 2014 cuando entró en vigencia el Código Orgánico
Integral Penal (COIP)- hasta el 31 de mayo del 2015. A partir del
COIP se tipifica este tipo de delitos. (Fiscalía General del Estado,
2015, p.1)
Adicionalmente en los primeros meses del año 2020 por motivo de la pandemia
hubo una reducción considerable de personal entre ellos hubo quienes tienen
conocimiento de las credenciales lo que aumento el riesgo de robo de información,
filtración de intrusos entre otros, esta situación surge porque el personal que fue
6
liquidado tiene conocimiento de los usuarios y credenciales, convirtiendo la red de
la empresa COMSUCRE en una red muy inestable y vulnerable.
El no tener un registro de quien genera una acción determinada en la red de la
DISTRIBUIDORA COMSUCRE, genera desconcierto debido a que muchas
acciones detectadas no han sido bien ejecutadas, y se desconoce las intenciones
con la que se realizó, esto es un problema muy grave dado que deja en
incertidumbre cualquier tipo de irresponsabilidad que se haya detectado, en
consecuencia esto produce reducción en los ingresos de la empresa al tener que
incurrir en el gasto de análisis, seguimiento y solución del problema.
De la misma forma los problemas de la red no solo afectan de manera técnica,
sino también en la parte comercial de la DISTRIBUIDORA COMSUCRE, que en
efecto la parte comercial tiene mucha importancia en un negocio puesto que es el
área donde se concretas ventas, se realizan contratos, se crean alianzas a
beneficio de la empresa para aumentar el capital de la misma dicho capital es la
razón de ser de cualquier negocio, dichas gestiones demandan agilidad y calidad
de atención al cliente, respuestas rápidas, soluciones y un trato o asistencia eficaz.
Cabe señalar que hoy en día las empresas funcionan en base a la estructura
tecnológica, por consiguiente, la DITRIBUIDORA COMSUCRE no es la excepción
y los problemas a nivel de red son el detonante de más problemas, generando un
árbol de inconvenientes en todas las áreas, retrasando pedido, atentado con la
concertación de contratos importantes, perdidas de ventas entre otros.
Situación Conflicto Nudos Críticos
Los problemas de la red del departamento TI de la empresa COMSUCRE
presenta, se generan por la falta de una administración centralizada de su
estructura tecnológica e innovación de equipos de bajo costo con la misma
capacidad que un equipo de alto costo brinda; para empezar no se lleva un registro
de datos de acceso a la red, además no tienen un histórico de incidentes, así
mismo no constan de una depuración de usuarios y credenciales inactivos.
7
Finalmente, no tiene un programa o plan que requiere una red que proyecta
escalabilidad constantemente, todos esto parámetros y problemas se pudieron
verificar en los testimonios recibidos de parte de los integrantes del departamento
TI. Estas incidencias no confrontadas son causa de un efecto negativo en las
actividades normales de la empresa que implica al retraso de su actividad en el
campo de su negocio evitando su evolución y crecimiento que se mantendrá
paralizado mientras los problemas se mantengan vigentes por no innovar o
fortalecer el desarrollo de las TIC con implementaciones de solución AAA.
El uso de las TIC es crucial en el desarrollo exitoso de un proceso
de GC, lo que permite fortalecer las prácticas empresariales como
el despliegue de las estrategias y políticas, la captura del
conocimiento y de la información, la capacitación de los empleados
y la mejora de la cultura organizacional dentro de la empresa
pequeña y mediana. (Valdez Juárez, Perez de Lema, & Maldonado
Guzmán, 2017, p.14)
En lo concerniente a seguridad los administradores de la red ya se han topado
con robos de información, filtraciones de intrusos entre otros, esto genera doble
trabajo al tratar de analizar, y encontrar una solución que contrarreste el
inconveniente, al mismo tiempo crea retraso de proyecto e implementación de
nuevas propuestas para mejora de la empresa.
A pesar que la empresa ha implementado sistemas de seguridad informática estos
no han tenido los resultados esperados pues se sigue evidenciando vulnerabilidad
en la red al no aplicar en su estructura tecnológica estándares como IEEE 802.1X
que previene el acceso a un determinado puerto cuando la autenticación falla pues
la seguridad AAA garantiza robusticidad en la seguridad informática de la
DISTRIBUIDORA COMSUCRE por esta razón un modelo cliente servidor de
TACAS+ trabaja en la capa 3 (capa de transporte) de TPC/IP es una solución ante
los inconvenientes de red de la DISTRIBUIDORA COMSUCRE.
8
Causas y Consecuencias del Problema
De acorde con lo planeado en el texto como un potencial Problema en el siguiente
TABLA se observa las causas y consecuencias en la Tabla 1.
Tabla N. 1
Causas y Consecuencias
Causas Consecuencias
Red de la DISTRIBUIDORA
COMSUCRE no cuenta con registros
históricos de incidentes.
Dificultad para determinar las
ejecuciones de solución por parte del
personal TI en los equipos de red.
Usuarios y Credenciales activos de
personal que ya no pertenece a la
empresa.
Riesgos de acceso, ataque y robo de
información por personal interno o
externo
Falta de renovación de equipos de red
actualizados
Fallos y vulnerabilidades en la red.
Retrasos en los tiempos de respuesta
en las operaciones/procesos de TI de
la empresa.
Crecimiento acelerado de la red, y
Falta de una arquitectura ágil
Red no estructurada que produce la
saturación de la misma Dificultando el
control, mantenimiento y
administración de dicha red.
Administración no centralizada o
Falta de centralización para la
creación de usuarios y grupos de
acceso a los equipos de red
Difícil administración gestión frente a
implementaciones nuevas y existentes
en creaciones de usuarios; Además,
afectan las normas de seguridad por
uso de un súper usuario para todos los
administradores de la red.
Actualización de software y hardware Trabaja con equipos que ya han
perdido su vida útil por ende no son
9
compatibles con sus fabricantes
ocasionando vulnerabilidades en la
red
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la investigación
Delimitación del Problema
Tabla N. 2
Delimitación del Problema
Campo:
Informática
Área:
Seguridad en redes
Aspecto:
Gestión de redes
Tema: Implementación de un prototipo de
seguridad basado en Raspberry y
TACACS+ para DISTRIBUIDORA
COMSUCRE
Elaboración: Alan Ramírez - Javier Rivera
Fuente: Datos de la investigación
Formulación del Problema
¿De qué manera la implementación de un prototipo de seguridad basado en
Raspberry y TACACS+, permitirá una administración centralizada y organizada de
los usuarios con acceso administrativo remoto en la red COMSUCRE?
10
Evaluación del Problema
Delimitado: El prototipo de seguridad basado en Raspberry y TACAS+ a
implementarse será aplicado en la DISTRIBUIDORA COMSUCRE cuyo proceso
inicia desde el 15 de junio del 2020 terminando su implementación el 20
de octubre
Claro: El problema redactado es de fácil compresión y se detallan las ventajas
de forma precisa que ofrece un prototipo de seguridad basada en
Raspberry y TACAS+
Evidente: El proyecto realiza el estudio y comprobación de las ventajas de
un prototipo de seguridad basado en Raspberry y TACAS+ en la DISTRIBUIDORA
COMSUCRE.
Concreto: La implementación de un prototipo de seguridad basado en Raspberry
y TACAS+ en la DISTRIBUIDORA COMSUCRE adecuado para una eficiente
gestión de administración de la red.
Relevante: Un prototipo de red basado en Raspberry y TACAS+ se destaca en
redes en crecimiento, indistintamente del negocio este prototipo a implementar es
una solución para las redes de una grande y mediana empresa.
Contextual: La implementación de un prototipo de seguridad basado en
Raspberry y TACAS+ en la DISTRIBUIDORA COMSUCRE guarda relación
directa la carrera de Ingeniería Networking y Telecomunicaciones.
Factible: Es totalmente posible realizar la implementación debido al bajo costo de
los equipos y software, además de su esquema de solución planteada.
11
Objetivos
Objetivo General
Implementar un prototipo de seguridad basado en Raspberry y TACACS+ para
DISTRIBUIDORA COMSUCRE para contrarrestar los problemas de la red y que
soporte el crecimiento del negocio.
Objetivos Específicos
• Analizar el diseño de topología de la red COMSUCRE
• Identificar protocolos a utilizar verificando compatibilidad con TACAS+ y
Raspberry
• Determinar la funcionalidad y conectividad del servidor TACACS+.
• Situar el prototipo de seguridad sobre el contexto de los problemas
detectados
• Establecer un sistema AAA que brinde seguridad en las conexiones de
acceso a los equipos de red.
• Realizar una simulación (Software) del entorno de una red en la que se
pueda observar el funcionamiento del sistema.
• Presentar la operatividad del prototipo de seguridad como una solución
para redes con escalabilidad.
Alcances del Problema
La implementación de un prototipo de seguridad basado en Raspberry y TACAS+,
describe un alcance progresivo, debido a que el presente proyecto está diseñado
para redes en crecimiento, por lo que se visualiza una operatividad y
administración de la red a largo plazo con TACAS+ y Raspberry, sirviendo de
modelo para futuras implementaciones en otras redes, y también se podría
12
considerar para redes grandes debido a su amplio concepto de solución AAA.
• En otras palabras, la Implementación de un prototipo de seguridad basado
en Raspberry y TACACS+ para DISTRIBUIDORA COMSUCRE es lo más
adecuado para resolver la desorganización que la red presentan
• La creación de nuevos nodos o la apertura de nuevas sucursales no será
algo complicado al momento de realizar las respectivas configuraciones a
nivel de red en los equipos por lo que La implementación de un prototipo
de seguridad basado en Raspberry y TACAS+ en la DISTRIBUIDORA
COMSUCRE será capaz de permitir que la administración realice las
configuraciones pertinentes de manera remota.
• Blindara los datos transmitidos a través de la red al ser TACAS+ un
protocolo robusto a causa de la encriptación total del paquete a la hora de
iniciar la sesión entre cliente y servidor
• la versión mejorada de TACACS, TACACS+ (TAC_PLUS) garantizara que
no se almacenen credenciales en los dispositivos de red durante las
sesiones,
• Dichas sesiones se realizan a través del puerto 49 para tráfico TCP
abarcando grandes beneficios a la administración de la red y cabe
mencionar que la flexibilidad de adaptación de TACACS+ va de acorde a
las necesidades de la administración debido a la separación de
Autenticación, Autorización y la Auditoría
• Así mismo la creación y eliminación de usuarios de manera organizada y
controlada es alcanzable con TACACS+ ya que, si hubiere un cambio de
personal o despido, y el personal tenga credenciales de acceso a los
equipos con privilegios importantes que con un mal direccionamiento
afectaría la gravemente la red y si planteamos un escenario de varias
personas despedidas eliminar esos usuarios o cambiar credenciales
equipo por equipo será un trabajo arduo para la administración de la red
13
• De la misma forma con TACACS+ la Delegación de permisos sería más
dinámica debido a que con esta solución triple AAA a diferencias de otras
como RADIUS, permite separar Autenticación, Autorización y Auditoría
por ende tomando en consideración estas propiedades de TACACS+ la
administración de la red no necesariamente podría dar permiso a un
usuario autentificado de utilizar una o varias determinadas app o
comandos dentro del equipo es decir con TACACS+ el administrador
puede negar dar instrucciones para que el protocolo niegue ciertas
funciones a usuarios autentificados.
• Mientras que las Auditorías o registros de incidentes es algo muy relevante
y su enfoque abarca muchas situaciones de riesgo en la red pueden
presentarse distintas situaciones como por el ejemplo una mala ejecución
o un cambio de equipo, TACACS+ tendría registros del usuario que lo
realizo dicha acción así como también la hora y fecha entre otros, las
ventajas y el alcances de TACACS son notorias muchas pero de cierto
modo la centralización tiene su desventaja al momento que el nodo
principal de la red (Servidor TACACS+) se cae o colapsa, ya que de él
depende el control de la red, no obstante una de las soluciones a esto es
la creación de un nodo de respaldo.
• Otro punto a resaltar es el entorno Figura del sistema de seguridad a
implementarse, puesto que no posee debido a la capacidad de los
equipos, sin embargo, no representa un obstáculo para su puesta en
funcionamiento.
Para fortalecer la dimensión del alcance de este proyecto a continuación se
detalla la figura No 1 que en un informe emitido el 13 de junio del 2015 visualiza
el estudio de la Fiscalía general del Estado sobre la cantidad de delitos
informáticos que se registran el Ecuador por medio de denuncias.
14
Justificación e Importancia
Hoy en día conforme las redes de comunicaciones van aumentando y de igual
manera aumentan su gestión de administración, los cuales para un ambiente
empresarial estos pueden causar grandes pérdidas si no hay un correcto manejo
de la administración, lo que conllevaría a pérdida de tiempo para el negocio,
paralización de actividades, desgaste administrativo entre otros, hasta encontrar
la solución he aquí la justificación de la Implementación de un prototipo de
seguridad basado en Raspberry y TACACS+ para DISTRIBUIDORA
COMSUCRE.
Figura N. 1
Delitos Informáticos
Elaboración: Fiscalía General del Estado, FGE.
Fuente: Fiscalía General del Estado, FGE.
Elaboración: Fiscalía General del Estado, FGE.
Fuente: Fiscalía General del Estado, FGE.
15
Con esta implementación, TACACS+ permitirá una administración centralizada
de los usuarios y grupos que pueden conectarse a los equipos de red bajo un
Sistema AAA que permitirá que se aplique seguridad mediante la autenticación,
autorización y Auditoría dada la importancia que tiene el hecho de organizar la
red como lo resalta el trabajo en progreso de la IETF “The TACACS+ protocol
separates the functions of Authentication, Authorization and Accounting. It allows
for arbitrary length and content authentication exchanges, which will support any
authentication mechanism to be utilized with TACACS+ clients” (Internet
Engineering Task Force, IETF, 2020). De esta manera evitar robo de información
y filtración de intrusos, así como también preparar la red para que soporte la
demanda que conlleva el crecimiento del negocio y evolución de la
DISTRIBUIDORA y que la gestión administrativa de la red no se torne
desgastante
En consecuencia, el panorama económico y las formas de trabajo cambiaron a
raíz de la pandemia y quedo en evidencia el direccionamiento que toman las
nuevas formas de empleo tal es el caso que la mayoría de empresas optaron
por el teletrabajo modalidad que cada vez es más frecuente según la O.I.T. “El
teletrabajo es una modalidad de trabajo cada vez más frecuente facilitada por la
tecnología de la información y las comunicaciones (TIC), cuyos potenciales
beneficios reconocen y promueven los gobiernos, los empleadores y los
trabajadores por igual” (Organización Internacional del Trabajo, [O.I.T], 2016,
p1). Dando notoriedad a la necesidad de aplicar este modo de trabajar en la
mayoría de empresa dejando por lo que es importante tener una red bien
organizada y preparada para la escalabilidad, movilidad y que se adapte a las
necesidades del negocio entre otros, y que su implementación sea de bajo costo.
Además del tema de teletrabajo existen otros que resaltan la importancia de un
sistema AAA como los son los ataques informáticos que no se toman en
consideración sin embargo son puede representar una perdida muy grande para
las organizaciones como lo explica (Microsoft Corporation, 2016, p1)
También existen otras cicatrices menos cuantificables y
potencialmente más costosas que dejan los ciberataques que
16
consiguen su objetivo: dañar la marca, clientes cautelosos,
crecimiento estancado y relaciones diplomáticas en peligro.
Aunque no se les pueda atribuir directamente una cantidad
monetaria, estos impactos pueden tener efectos negativos
duraderos en una organización, y llevar a la baja la lealtad de los
clientes y al alza el escepticismo público y, en última instancia,
afectando al personal encargado de las operaciones de seguridad
que deben ser responsables de las vulnerabilidades. (p.6)
Por otro lado, indistintamente del diseño de red que tenga y pesar de los cambios
que se presenten en este, la red de la DISTRIBUIDORA COMSUCRE con la
Implementación de un prototipo de seguridad basado en Raspberry y TACACS+
podrá soportar dichos cambios y resguardar lo más importante que son los datos
de la empresa, los datos de clientes e integridad de los mismos como lo
demuestra: (Andrade Tubun, 2019) ”Se estudió detalladamente cada
característica entre RADIUS y TACACS+ además de las prestaciones que brinda
cada protocolo llegando a la conclusión de que Tacacs+ posee mejores
características en entornos de seguridad corporativos” (p.63). Dicho esto, a
continuación, se detalla en la tabla No 3 el beneficio y la afectación positiva que
tiene TACACS+ en la administración.
Tabla N. 3
Relevancia de un sistema AAA en redes
Beneficios Afectación
Organización de la red Una red organizada es más fácil
gestionarla y el control de la misma se
vuelve más sencillo
Centralización Afecta directamente a los
administradores de red de manera
favorable, se evitan la movilidad
debido a la administración remota,
17
control total de lo que sucede en la
red.
Seguridad en inicio de sesión La seguridad de inicio de sesión de
vuelve robusta
Operatividad continua del negocio Independientemente a lo que se
dedique la empresa, el negocio
continuara sus actividades de manera
tranquila frente a configuraciones
nuevas a aplicar en los equipos de red
Registro Se registran todos los incidentes que
se presenten en la red
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la investigación.
Metodología del proyecto
Se empleará la Metodología PMI, el cual se rige bajo la PMBOK GUIDE que ofrece
una serie de directrices que orientan la gestión y dirección de proyectos. Facilita
información sobre los procesos que se pueden llevar a cabo para una gestión
eficaz, y diferentes técnicas y herramientas útiles.
Al emplear esta metodología mantendremos un orden a seguir el cual consiste en
cinco procesos, los cuales aseguran el progreso adecuado del proyecto a realizar,
en la Tabla número 4 se detallan estos cinco procesos.
Tabla N. 4
Metodología Aplicada
Procesos Desarrollo
Inicio Definición, cotización, alcance
Planificación Programación, Cronograma, Visión,
Métodos.
18
Ejecución Implementación, toma de decisiones,
Aprobación de lo ejecutado
Monitoreo y control Evaluación, Observación, recoger
resultados
cierre Entrega de proyecto, Operatividad
Elaboración: Alan Ramírez – Javier Rivera
Fuentes: Datos de la investigación.
Proceso de inicio: Está compuesto por aquellos procesos realizados para definir
un nuevo proyecto o una nueva fase de un proyecto ya existente, mediante la
obtención de la autorización para comenzar dicho proyecto o fase. Dentro de los
procesos de inicio, se define el alcance inicial y se comprometen los recursos
financieros iniciales. Se identifican los interesados internos y externos.
Proceso de planificación: Los métodos de planificación desarrollan las técnicas
para la dirección y gestión del proyecto y los pliegos del proyecto que se utilizarán
para llevarlo a cabo el proyecto.
Proceso de ejecución: Involucra clasificar personas y recursos, así como integrar
y realizar las actividades del proyecto de aprobación con el plan para la dirección
del proyecto.
Proceso de monitoreo y control: Está combinado por aquellos procesos
requeridos para analizar, regular el proceso y supervisar, el desempeño del
proyecto, identificando las áreas que requieran cambios y en la cual requiera
cambios correspondientes.
Proceso de cierre del proyecto: Son aquellos procesos realizados para dar fin a
todas las actividades a través de todos los grupos de procesos de la dirección de
proyectos, a fin de completar formalmente el proyecto, una fase de este u otras
obligaciones contractuales. Todo el ciclo que generan estos procesos se puede
visualizar en el figura No 2 a continuación.
19
Elaboración: Pablo Lledo
Fuente: Gestión de Proyectos
Figura N. 2
Metodología del Proyecto
20
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
La red de una determinada empresa indistintamente de la actividad que se dedica
cada vez van siendo prioridad para las actividades normales de una empresa dado
todo esto, estas redes necesitan una mejor seguridad por lo tanto se necesita de
un servido el cual sea capaz de brindar la seguridad a la red en crecimiento y a su
vez proporcione un registro y control de esta red.
El actual proyecto ha tomado en cuenta los conocimientos previamente obtenidos,
con lo cual de investigaciones previas se ha podido considerar fracciones cuales
son de contribución para el desarrollo de este proyecto, para así de esta forma
partir de una estructura teórica ya existente.
De proyectos relacionados al tema propuesto, podemos concluir que el uso de
Raspberry y del uso de una arquitectura AAA integrados a soluciones Open
Source, garantiza la seguridad del usuario, menores costo de implementación y la
optimización del recurso.
Dando continuidad al párrafo anterior tenemos como antecedente la investigación
“DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD PARA EL
ACCESO DE LA RED INALÁMBRICA DEL COLEGIO OTTO AROSEMENA
GÓMEZ” que se realizó en la ciudad de Guayaquil en el año 2016 donde se resalta
la importancia de los protocolos AAA
Contar con acceso a información, es también estar tentado a que
se filtren intrusos que hagan mal uso de la información impartida,
para esto se debe de contar con el uso de esquemas de seguridad
que garanticen la confidencialidad de la información solicitada. Ante
esta necesidad surgen los protocolos de seguridad. (Allauca
Gusqui, 2016, p.9)
21
Tal es el caso que: (Andrade Tubun, 2019) “TACACS+ (Terminal
Access Controller Acces Control System Plus) es un protocolo que
ofrece mejores soluciones de control de acceso además se destaca
una mejoría en las funciones AAA” (p.22). En la investigación que
tiene por nombre; ANÁLISIS DE PRESTACIONES DE LOS
PROTOCOLOS DE AUTENTICACIÓN REMOTA RADIUS Y
TACACS+ EN INFRAESTRUCTURA DE COMUNICACIONES
CORPORATIVAS, realizada en la de ciudad Riobamba.
Esto demuestra la efectividad de los protocolos AAA con sus mecanismos de
seguridad de acceso a la red como se detalla en el siguiente criterio “Debe de
comprobarse que el usuario sea quien dice ser (autenticación), que solo tenga
acceso a los recursos que le corresponda (autorización) y también llevar a cabo
un registro de las actividades que haga dentro de la red (contabilidad)” (Mamani
Herrera, 2019, p.25). Organizando la gestión de la red de una manera más
interactiva entre los administradores de red y los equipos que la conforman, esto
se pudo constatar en el tema de investigación que se realizó en la ciudad de Puno
– Perú llamado “DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE
ADMINISTRACIÓN, AUTENTICACIÓN Y CONTROL EN EL ESTÁNDAR 802.11
EN EL CENTRO DE COMUNICACIONES DE LA UNIVERSIDAD NACIONAL DEL
ALTIPLANO”.
Cabe mencionar que cada vez es más necesario la protección que navega a través
de la red, en el trabajo investigativo “ANÁLISIS DE PRESTACIONES DE LOS
PROTOCOLOS DE AUTENTICACIÓN REMOTA RADIUS Y TACACS+ EN
INFRAESTRUCTURA DE COMUNICACIONES CORPORATIVAS”; Andrade
Tubun (2019) así lo afirma
“En la actualidad existe la necesidad de controlar el acceso de los
usuarios a la infraestructura corporativa para tener el control en la
seguridad de la información. Los servicios AAA hoy en día
son utilizados dentro del lineamiento de seguridad de redes de
telecomunicaciones para cumplir con los requerimientos de
22
protección de la información y tener un control centralizado del
acceso y administración de los equipos.”. (p.1)
En otra investigación realizada en Santa Clara Cuba se propuso como solución el
modelo AAA previo a una comparativa de los protocolos “El modelo de arquitectura
que se propone en este trabajo para dar solución a cada uno de los problemas
planteados es un Modelo AAA” (González Paz, 2017, p.35). Que se lo presento
en el proyecto llamado “MECANISMOS DE SEGURIDAD PARA LA RED
INALÁMBRICA LOCAL DE LA UNIVERSIDAD DE CIENFUEGOS”.
Por lo antes mencionados ahí la necesidad de utilizar los sistemas AAA, a medida
que avanza la tecnología en conjunto también los ciberataques como el robo de
información, filtración de intrusos entre otros, situación que ocurrió en ecuador y
dejo ver lo vulnerable de las redes en el país y la falta GC.
El mundo conoció el 16 de septiembre del 2019 que una brecha de
seguridad ha dejado expuestos los datos personales de más de 20
millones de ecuatorianos, entre ellos 6,7 millones de niños y
personas fallecidas. Sin embargo, hay más datos que quedaron
expuestos que no han salido a la luz. Así lo reveló a EL COMERCIO
la firma vpnMentor, que detectó la brecha. (EL Comercio, [ EC ],
2019,
Internacionalmente según un estudio de Microsoft
En 2015, se alcanzó un nuevo umbral cuando un complicado
ataque afectó a más de 100 bancos de 30 países con unas pérdidas
estimadas en más de 1.000 millones de dólares. Debido al aumento
del riesgo, las pólizas de seguros para las contingencias
cibernéticas están pasando a ser un nuevo gasto operativo para
muchas empresas, con unas primas para esta oferta emergente
que se establece en el triple en 2020, cuando se acercará a los
7.500 millones de dólares. (Microsoft Corporation, 2016, p1)
23
Como se puede observar tener redes con vulnerabilidad hoy en día
no es factible por el alto riesgo de ataques que ocurre de manera
nacional e internacional y la detección se vuelve difícil al no tener
un sistema de seguridad robusto muestra de ello es el caso del
“Dios Invisible” que ataco los servidores de un gran número de
empresas a nivel internacional “De él solo se sabían tres cosas: que
Fxmsp era su alias en internet, que lo llamaban el "dios invisible" de
las redes y que había robado información fundamental de las
entrañas de más 300 corporaciones en 44 países” (British
Broadcasting Corporation, [BBC], 2020). A medida que esto se
vuelve más crítico es necesario una ley de protección de datos en
cada País.
Es importante considerar tener una ley que proteja los datos de las personas que
se encuentra en las BD (Base de Datos) de muchas PYMES (Pequeñas y Grandes
empresas) por tal motivo desde el 2019 el Estado Ecuatoriano adopto medidas “El
ministro de Telecomunicaciones de Ecuador, Andrés Michelena, entregó este
jueves 19 de septiembre del 2019 el proyecto de Ley de Protección de Datos
Personales a la Asamblea Nacional, días después de que se conociera la filtración
masiva de datos de ecuatorianos” (EL Comercio, 2019, p.1). Con el ánimo de
resguardar la integridad de la información personal de los ecuatorianos.
Que a su vez dicha ley pone un desafío importante a las PYMES y compromete
su estructura tecnológica a la innovación e integración de los datos que son
transmitidos a través de la red con sistemas de seguridad informática y resguardo
de información de sus clientes para evitar el robo de información.
En efecto, la protección de los datos personales es una de las
tendencias que marcarán este 2020. Los usuarios no solo buscarán
impedir el acceso de personas no autorizadas a su información
personal, sino que también se prevé que las empresas ofrezcan un
mejor entorno de ciberseguridad a sus clientes. Así lo observa
Fernando Morillo, gerente de ZTE Ecuador, quien añade que, en el
caso ecuatoriano, en los próximos diez años se tendrá que trabajar
24
en un ecosistema de protección de datos tanto para personas como
compañías. (El Comercio, 2020, p.1)
Sin lugar a duda la protección de datos es algún tema en tendencia a nivel de
seguridad informática por consiguiente los ciberdelitos se dan con más frecuencia
al punto que ya se ha llegado a identificar las cuatro infracciones más frecuentes
así lo menciona un artículo publicado por.
El Código Orgánico Integral Penal tipifica algunos delitos que,
según las denuncias receptadas en la Fiscalía General del Estado,
han sido los más denunciados con respecto a la vulneración de
sistemas informáticos. Los cuatro delitos informáticos con mayor
número de denuncias son: el acceso no consentido a un sistema
informático, telemático o de telecomunicaciones (tipificado en el
artículo 234), el ataque a la integridad de sistemas informáticos
(artículo 232), la interceptación ilegal de datos (artículo 230) y la
revelación ilegal de bases de datos (artículo 229). (Dávila, 2019)
Fundamentación Teórica
Seguridad informática
La seguridad informática es el proceso de detectar y prevenir el uso no autorizado
de un sistema informático, proteger contra intrusos el uso de nuestros recursos
informáticos con malas intenciones o con intención de conseguir lucrarse, o la
posibilidad de tener acceso a ellos sin autorización. Seguridad informática es una
sub-línea de estudio de seguridad de la información, aunque en la práctica se
suelen utilizar de forma indistinta ambos términos. Seguridad informática abarca
una serie de medidas de seguridad, tales como programas de software de
antivirus, firewalls, servidores AAA y otras medidas que garantice el uso adecuado
de la computadora, los recursos de red o de Internet.
25
“Seguridad Informática es la disciplina que, con base en políticas y
normas internas y externas de la empresa, se encarga de proteger
la integridad y privacidad de la información que se encuentra
almacenada en un sistema informático, contra cualquier tipo de
amenazas, minimizando los riesgos tanto físicos como lógicos, a
los que está expuesta”. (Urbina, 2016)
Como se detalla en el párrafo anterior, la seguridad informática reúne muchas
herramientas que bajo una buena gestión permitirán proteger los datos de una
determinada red o host. En el siguiente FIGURA No 3 se observa los delitos
informáticos que han ocurrido en ecuador desde el 2017 debido a la falta de
gestión en seguridad informática.
Seguridad de red
La seguridad en red es mantener bajo protección los recursos y la información con
que cuenta la red, a través de procedimientos basados en una política de
seguridad tales que permitan el control de la información. La seguridad de red
también se refiere a la práctica de proteger las computadoras y los servidores,
sistemas electrónicos, las redes, dispositivos móviles y los datos de ataques
maliciosos “Se basa en la limitación o el bloqueo de operaciones de sistemas local
Figura N. 3
Delitos Informáticos
Elaboración: Primicias
Fuente: Deloitte/Fiscalía General del Estado
26
Figura N. 4
Restricciones de seguridad para operaciones remotas
Elaboración: oracle.com
Fuente: oracle.com
o remoto” (Oracle, 2011, p.1). Son sistemas que se integran donde se hace uso
de un software de control que permite llevar un registro de todas las operaciones
realizadas sobre el sistema con fecha, horario, autorización, entre otros, “La
seguridad de la red es el proceso de tomar medidas físicas y preventivas para
proteger la red subyacente de uso indebido, mal uso, mal funcionamiento,
modificación, destrucción o divulgación incorrecta. funciones críticas dentro de un
entorno seguro” (networkworld.es, 2018, p.1).
Amenazas en la seguridad de redes
Toda forma de intento de ataque que afecte el buen funcionamiento de una red
determina es considerada una amenaza como así lo detalla el instituto nacional
de ciberseguridad de España.
27
Figura N. 5
Riesgo
Elaboración: Instituto Nacional de Ciberseguridad
Fuente: Instituto Nacional de Ciberseguridad
Una amenaza es toda acción que se vale de una debilidad para
quebrantar la seguridad de un sistema de información, es decir, que
podría tener un potencial efecto negativo sobre algún elemento de
nuestros sistemas. Las amenazas pueden provenir de ataques,
fraude, robo, virus, sucesos físicos, negligencia y decisiones
corporativas (mal manejo de contraseñas, no usar cifrado).
(Instituto Nacional de Ciberseguridad, [INCIBE], 2017)
Desde el punto de vista de una corporación pueden ser tanto internas como
externas. Una red mal configurada es el principal punto de ingreso para usuarios
no autorizados, con las cuales se pueden exponer varias amenazas de seguridad
como las detallada en el Tabla 2 detallado a continuación. Dejar una red local, a
cuyos usuarios conocemos, abierta y vulnerable a la gran inseguridad que
representa Internet es casi como dejar una puerta entornada en un barrio de
criminales. Tal vez no suceda nada en un determinado período de tiempo, pero
en algún momento, alguien va a aprovechar esa oportunidad.
28
Tabla N. 5
Amenaza de Seguridad
Usuarios
Se considera la causa del mayor problema ligado a la
seguridad de un sistema informático. Es así porque
con sus acciones podrían ocasionar graves
consecuencias.
Programas
maliciosos
Conocidos como malware son destinados a perjudicar
un ordenador cuando se instala o hacer uso ilícito de
datos. Suelen ser un virus informático, un troyano o un
spyware.
Errores de
programación
Más que un peligro, se trata de un mal desarrollo. Pero
también se tiene que ver como un riesgo evitando que
los sistemas operativos y aplicaciones estén sin
actualizar.
Intrusos
Cuando personas que no están autorizadas acceden a
programas o datos que no deberían, como es el caso
de los hackers.
Elaboración: Investigadores.
Fuente: Datos de la Investigación.
Las amenazas mencionadas tienen un efecto negativo cuyos efectos son:
• Sustraer información Personal
• Eliminar información importante
• Bloquear ciertas funciones dentro del sistemas.
• Robar dinero o estafar personas.
• Suplantación de la identidad
29
Figura N. 6
Redes Internas y Externas
Redes internas
Es una red de computadores personales que maneja, tecnologías Internas para
compartir dentro de una institución parte de sus sistemas de operacionales y
sistemas de información. La expresión intranet se utiliza en oposición a Internet,
una red entre instituciones.
Elaboración: Daniel Benchimol, Gradi
Fuentes: Users Redes Cisco
Redes externas
Una red externa es la extensión de dos o más estrategias de red interna, con una
interacción segura entre instituciones participantes y sus respectivas redes
internas este concepto se detalla en un artículo de los documentos de la página
web de Microsoft.
30
Figura N. 7
Mapa Topológico de Red de Gestión
Una red interna está restringida a los usuarios dentro de la
organización, mientras que una red externa está abierta a los
usuarios que no pertenecen al dominio de la organización. Los
usuarios de las redes deben recibir una invitación. Las redes
externas se consideran extensiones de una única red interna con la
cual siempre están asociadas. (Microsoft, 2018, p.1)
Dispositivos de seguridad
Hacen referencia a aplicaciones, sistemas, servicios o elementos lógicos y físicos
basados en la red interna, y utilizan un acceso extendido y seguro a usuarios o
empresas externas Este acceso generalmente se logra mediante contraseñas,
identificaciones de usuarios, y seguridad a nivel de las aplicaciones entre estos
elementos de seguridad de red tenemos el Firewall, IDS, IPS, Antivirus, Proxy,
servidores de Acceso a la red, entre otro, en la siguiente figura se observan
algunos de estos componentes.
Fuente: Diseño De La Arquitectura De Seguridad Perimetral De La Red
Informática En La Industria De Licores Del Valle.
Elaboración: Jesús Bolaños Botina.
31
Firewall
Un firewall (cortafuegos) es un dispositivo físico o intangible para la seguridad de
la información que se transmite en una red que está ubicado entre el internet y la
red de una determinada empresa y también puede ser este un cortafuego de host
o cortafuego de red cómo se indica en el documento de estudio en progreso de la
IETF en el año 2016
A device or software that imposes a policy whose effect is "astated
type of network traffic may or may not be allowed from A to B". The
firewall may reside in the destination itself (a "hostfirewall"), or in
any intermediate system (a "network firewall"). The firewalling
functionality may be implemented in a general-purpose system (e.g.
an ACL in a router), or in a special purpose middleware device (e.g.,
a "firewall product"). The details of the policy, the granularity with
which a policy can be applied, how such policy is configured, or of
the firewall's Implementation are just that - implementation details.
(Internet Engineering Task Force, [IETF], 2016)
Adicional a lo mencionado en el párrafo anterior el firewall se usa para proteger la
red interna de accesos no autorizados que se puede intentar a una red de área
local (LAN) o Internet y con la intención de explotar vulnerabilidades en los
sistemas de la red interna.
Estos firewalls pueden "ocultar" la identidad de tus equipos como medio de
prevención, ante los intentos de escaneo o intrusión de tus computadoras por los
hackers, por ejemplo; no devolviendo el tipo de información que necesitan estos
hackers para acceder a tus equipos.
Por esta razón el firewall es un elemento importante en una red de computadoras
que no puede faltar en el ámbito de seguridad de red y tampoco se puede
descuidar su gestión
32
Cabe mencionar que, a pesar de ser una herramienta para proteger la red, esta
no realiza tareas de filtrado cómo se indica en el documento de estudio en
progreso de la IETF en el año 2016.
Firewall realiza un filtrado intensivo de recursos del tráfico basado
en conjunto de normas. Un solo firewall se convierte en un cuello
de botella de tráfico dependiendo de la expansión de la red, el
número de conexiones y el rendimiento requerido. Este documento
describe un método de interconectar los firewalls en múltiples
ubicaciones geográficas a través de una red independiente.
Permitirá que el firewall dedique su capacidad de procesamiento
completa para realizar tareas de filtrado de paquetes. Las tareas de
Figura N. 8
Diagrama de Funcionamiento de Firewall
Elaboración: Darwin Marcelo Folleco Gonzalón.
Fuente: Evaluación de posibles vulnerabilidades/Auditoría
de seguridad y propuesta de medidas de mitigación
dentro de la red interna junta nacional de defensa
del artesano.
33
cifrado, enrutamiento dinámico y anti-spoofing del tráfico son
cuidado fuera de la función de firewall. La ubicación del firewall y
dispositivo de enrutamiento junto con los protocolos que se
utilizarán formarán el propuesto sistema para mejorar la
escalabilidad y la seguridad general de la red. (Internet Engineering
Task Force, 2016).
IDS
Los IDS son sistemas de seguridad que sirven para detectar intrusos dentro de
una determinada red y lo hace analizando el tráfico de la red monitoreando una
porción de la red o la red entera, Bonilla ( 2016) afirma:
Los IDS (Intrusion detection system) o en español Sistema de
detección de intrusos, trabaja sigilosamente escucha el tráfico que
se encuentra en la red detecta actividades sospechosas, monitorea
a una red completa o a un grupo específico de computadores
buscando intentos de amenazas, es decir, cualquier intento de
comprometer la confidencialidad, integridad y disponibilidad de la
red, recoge evidencias que puedan servir al administrador de la red
para identificar qué tipo y de donde provienen los intrusos,
mostrando las vulnerabilidades en las que se debe trabajar.(p.29)
De manera que excita un control para la protección de la información que se
transmite en la red de una empresa, institución entre otros, estos sistemas nacen
debido al incremento de información que se evidencia.
IPS
A diferencia del IDS el sistema de prevención de intrusos trabaja analizando el
tráfico de la red “El IPS a menudo se ubica directamente detrás del Cortafuegos y
proporciona una capa complementaria de análisis que selecciona negativamente
el contenido peligroso.” (Ramírez Pírez & Gómez Lorentty, 2017).
34
Tabla N. 6
Funciones de IPS e IDS
Prevención y detección de intrusos
Analizador de paquetes snort-based
Base de datos de reglas de posibles amenazas
Bases de datos de listas negras IP.
Tres niveles de seguridad. Manejo de excepciones de falsos positivos
Aplicación IPv4 y tráfico IPv6
Fuente: Trabajo de Investigación
Autores: Geovanny Robayo – Yorvin Miraba
Antivirus
El antivirus es un programa para detectar y eliminar otros tipos de programas
dañinos para un sistema informático que provoquen el colapso del mismo, robo
de información, entre otros. El antivirus tiene el propósito de proteger
principalmente un host para que posteriormente no se afecté a todo el sistema de
red así se detalla en el siguiente artículo. Venturini ( 2020) afirma:
El antivirus es un programa que ayuda a proteger su computadora
contra la mayoría de los virus, worms, troyanos y otros invasores
indeseados que puedan infectar su ordenador. Entre los principales
daños que pueden causar estos programas están: la pérdida de
rendimiento del microprocesador, borrado de archivos, alteración
de datos, información confidencial expuestas a personas no
autorizadas y la desinstalación del sistema operativo. (p.1)
En referencia al párrafo anterior existen diversos Antivirus en el marcado, cada
uno de estos cuentan con sus ventajas y desventajas, basta un análisis de las
necesidades de protección que necesite la red o los hosts para determinar que
antivirus utilizar, en el siguiente Figura se observan algunos antivirus
35
Figura N. 9
Antivirus
Elaboración: Guillermo Venturini
Fuente: tecnologia-informatica.com
Proxy
El proxy generalmente se utiliza como un intermediario entre el origen y el destino
de una solicitud, en otras palabras “Un servidor proxy es un puente entre usted y
el resto de Internet.” (Belcic, 2020). Cumpliendo funciones de control de acceso o
filtrado de contenido, algo en particular que tiene el proxy es que puede estar
dentro de la red o también puede estar fuera de ella; a esto se lo conoce como
proxy inverso “En el caso del proxy inverso, el origen de las solicitudes está en
Internet y busca acceder a un servidor dentro del entorno” (Cunha Barbosa, 2020,
(p.1)). Para poder entender mejor los 2 conceptos obsérvese los Figura No 10 y
No 11.
36
Figura N. 10
Topología Proxy
Elaboración: Daniel Cunha Barbosa
Fuente: welivesecurity.com
Figura N. 11
Topología Proxy 2
Elaboración: Daniel Cunha Barbosa
Fuente: welivesecurity.com
37
DMZ
Por sus siglas una DMZ es una zona desmilitarizada su ubicación en una red es
en una zona que está abierta a Internet protegiendo su red de área local (LAN)
detrás de un firewall. Hace el papel de un servidor el cual crea una capa adicional
a la red pudiendo ser un solo host como una subred “La separación de la red
principal de un solo host o de una subred completa, o "subred", garantiza que las
personas que visiten su servicio, como juegos por Internet, videoconferencias,
servidores web o de correo electrónico a través de la DMZ, no tengan acceso a su
LAN (Cisco System, Inc., 2019). A continuación el en Figura No 12 y No 13 se
detallan las topologias en mención.
Figura N. 12
Topología de Host DMZ
Elaboración: Cisco System, Inc., 2019
Fuente: cisco.com
38
802.1x
Estándar IEEE para redes de área local y metropolitana -
Control de acceso a la red basado en puertos
Es un estándar de la IEEE que detalla la gestión de un administrador para controlar
o restringir el acceso a la red y que solo se autorice el ingreso a la red a usuarios
autorizados y autentificados así se detalla en un documento de la IEEE publicado
en IEEE explore
El control de acceso a la red basado en puertos permite a un
administrador de red restringir el uso de puntos de acceso (puertos)
de servicio LAN IEEE 802 ® para asegurar la comunicación entre
dispositivos autenticados y autorizados. Este estándar especifica
una arquitectura común, elementos funcionales y protocolos que
admiten la autenticación mutua entre los clientes de los puertos
conectados a la misma LAN y que aseguran la comunicación entre
los puertos, incluido el método de acceso a los medios, protocolos
Figura N. 13
Topología de subred DMZ
Elaboraci+on: Cisco System, Inc., 2019
Fuente: cisco.com
39
independientes que se utilizan para descubrir y establecer la
seguridad. (lnstitute of Electrical and Electronics Engineers, [IEEE],
2010)
Modelo AAA
Conjunto de herramientas, procedimientos y protocolos que garantizan un
tratamiento coherente de las tareas de autenticación, autorización y
contabilización de actividad de las entidades que tienen acceso a un sistema de
información. Permite a un usuario mediante sus credenciales (usuario y
contraseña) acceder a una red corporativa de comunicaciones, siempre y cuando
se encuentre registrado en la base de datos. “De esta manera previene el acceso
de persona no autorizada a la red, limitando quien y que recursos específicos,
puedan ser utilizados una vez que se otorga el acceso a la misma” (Valdivieso
Villamarín, 2015, p.7).
Acrónimos de las siglas AAA (Autenticación, Autorización y Contabilización) este
protocolo se empeña en autenticar a un usuario basándose en la identidad
verificable del usuario, también en dar autorización a un determinado usuario
basándose en sus derechos de usuario y contabilizar el consumo de recursos de
una red. Autenticación, autorización y contabilización (AAA) es un conjunto de
herramientas capaces de controlar de forma inteligente el acceso a los recursos
informáticos, hacer cumplir las políticas, auditar el uso y proporcionar la
información necesaria para facturar los servicios. Estos procesos combinados se
consideran importantes para una gestión y seguridad de red efectiva, así también
se detalla en una petición de comentario de la Sociedad de internet
These are protocols for carrying user service information for
authentication, authorization, accounting, and auditing, between a
Network Access Server which desires to authenticate its incoming
calls and a shared authentication server. (The Internet Society,
2000, p. 1)
40
De la misma forma en el Request for Comment 2881 detalla como ventaja la
separación de la autenticación, Autorización, y Auditoría para un Servidor de
Acceso a la Red.
Al separar estas funciones del equipo NAS, se pueden implementar
en sistemas informáticos de propósito general, que pueden
proporcionar medios de almacenamiento a largo plazo más
adecuados e infraestructuras de software de base de datos más
sofisticadas. Sin mencionar que un servidor centralizado puede
permitir la administración coordinada de muchos sistemas NAS
según corresponda (por ejemplo, un solo servidor puede dar
servicio a un POP completo que consta de múltiples sistemas NAS).
(The Internet Society, 2000, p.4)
Por esta razón los protocolos AAA cada vez se vuelven necesarios y resulta
conveniente para una empresa la implementación de los mismo.
Funcionamiento del modelo AAA
El funcionamiento de un protocolo AAA consiste en utilizar un intermediario que
se encargue de controlar el acceso a la red, este intermediario se lo conoce como
NAS (Servidor de Acceso a la Red) que hace el papel de un cliente del protocolo
AAA (Radius, TACACS+), el cliente es el que se encarga de llevar la información
a los usuarios así lo detalla una publicación del Instituto de Nacional de Seguridad
de España
Los servidores RADIUS reciben la petición del cliente y realizan la
autenticación del usuario a partir de los datos recibidos
(generalmente contra servidores de directorio) devolviendo la
configuración con la información necesaria para que el cliente
acceda al servicio del usuario autenticado. Durante este proceso de
Autenticación y Autorización que verifica la validez del usuario y los
recursos a los que tiene acceso autorizado. Esta gestión se
41
Figura N. 14
Modelo AAA
Elaboración: Antonio López
Fuente: incibe-cert.es
complementa con el proceso de Contabilización que registrará los
datos relevantes de la sesión y que se usa normalmente para
generar registros de tarificación. (Instituto Nacional de
Ciberseguridad de España, 2015, p.1)
Como resultado de esta interacción el usuario logra el ingreso a la red de manera
segura para ambas partes, tanto para el usuario como para la red, quedando
registrado cada petición en los registros, a continuación, en la siguiente figura se
visualiza esta conexión entre usuario y red
.
Autenticación
Este proceso de autenticación cede una forma de comparar un usuario que intenta
ingresar a la red comparando las credenciales dadas por la persona con la base
42
de datos o configuración que se realizó en el servidor, las credenciales
generalmente son un nombre de usuario y contraseña en el siguiente TABLA se
detalla el proceso.
Tabla N. 7
Procesos General de la Autenticación
1 El usuario envía una petición solicitando el acceso a la red
2 El sistema o servidor hace un requerimiento de autenticación
3 La persona brinda un nombre de usuario y contraseña
4 El servidor valida si los datos proporcionados son válidos y suficientes para
el ingreso a la red según parámetros establecidos.
Elaboración: Alan Ramírez - Javier Rivera
Fuente: Análisis De Prestaciones De Los Protocolos De
Autenticación Remota Radius Y Tacacs+ En
Infraestructura De Comunicaciones Corporativas
Autorización
Proceso que provee la autorización para el uso de app o funcionalidades de
manera parcial o total según configuraciones establecido, hecho que se da luego
de comparar los datos proporcionados con los que se registran en el servidor así
lo afirma Jorge Espinel en un trabajo investigativo.
Provee el método de control de acceso remoto, incluyendo
autorización total o autorización para cada servicio, lista de cuentas
y perfil por usuario, soporte para grupos de usuarios, y soporte para
IP, IPX, ARA y Telnet. AAA Autorización trabaja agrupando
atributos que se describen lo que el usuario está habilitado a usar
o acceder. Estos atributos son comparados con la información
contenida en una base de datos de un usuario determinado y el
resultado se 9 devuelve a AAA para determinar las capacidades
reales de los usuarios y las restricciones. La base de datos se
puede localizar de forma local en el servidor de acceso o router
43
también puede ser alojado de forma remota en un servidor de
seguridad RADIUS o TACACS+, los servidores remotos de
seguridad, utilizan a los usuarios de los derechos específicos
mediante la asociación de atributos de valor (AV) pares, que los
derechos con el usuario apropiado. (Espinel Pilicita, 2019, p.9)
Contabilización (Accounting)
El proceso de contabilización también se lo conoce con el nombre de Auditoría y
consiste en considerar el consumo de recursos del sistema que genera un
determinado usuario para medir y registrarlos como eventos, pudiendo ser estos
la medición del tiempo, la cantidad de información enviada durante la sesión del
usuario y cualquier tipo de incidente, y así llevar un control que ayude a encontrar
la solución a los problemas que se susciten dentro de la red, también podemos
conceptualizar la Auditoría o contabilidad de la siguiente manera
La contabilidad mide los recursos que consume un usuario durante
el acceso, esto puede incluir la cantidad de tiempo del sistema o la
cantidad de datos que un usuario ha enviado o recibido durante una
sesión. La contabilidad se lleva a cabo mediante el registro de
estadísticas de sesión e información de uso y se utiliza para el
control de autorización, facturación, análisis de tendencias,
utilización de recursos y actividades de planificación de capacidad.
La contabilidad se refiere al seguimiento del consumo de recursos
de red por parte de los usuarios. Esta información puede usarse
para administración, planificación, facturación u otros fines. La
contabilidad en tiempo real se refiere a la información contable que
se entrega simultáneamente con el consumo de los recursos. La
contabilidad por lotes se refiere a la información contable que se
guarda hasta que se entrega más adelante. La información típica
que se recopila en la contabilidad es la identidad del usuario, la
naturaleza del servicio prestado, cuándo comenzó y cuándo
finalizó. (Valdivieso Villamarín, 2015, p.8).
44
Seguridad de redes LAN
La administración que se brindará a la red de área local, esta poseerá de una
seguridad de acceso al medio el usuario como de los equipos que se encuentra
conectado en nuestra red; lo cual para brindar esta seguridad utilizaremos el
modelo AAA, con o protocolo elegido es TACACS+ este nos permite vincular todos
nuestros equipos como los usuarios de nuestra red LAN.
Protocolo TACACS+
TACACS+ es un protocolo que es considerado AAA siendo esta propiedad de
CISCO System y hace la función de control los accesos a la red considerando
como clientes a todos los equipos que conforman una determinada red como por
ejemplo un Access Point, Router, Switches entre otros, a diferencia de RADIUS,
TACACS+ divide la autorización, autenticación y contabilización así lo manifiesta
Cysco system e un documento publicado en su página web.
Se incluyeron muchas funciones en el protocolo TACACS + para
satisfacer las necesidades del creciente mercado de la seguridad.
El protocolo fue diseñado para escalar a medida que las redes
crecen y para adaptarse a la nueva tecnología de seguridad a
medida que madura el mercado. La arquitectura subyacente del
protocolo TACACS + complementa la arquitectura independiente
de autenticación, autorización y contabilidad (AAA) (CISCO, 2008)
Inclusive a diferencia de RADIUS el protocolo para transportar los paquetes
durante la sesión cliente servidor es TCP así lo menciona un documento publicado
por cisco
RADIUS usa UDP mientras que TACACS + usa TCP. TCP ofrece
varias ventajas sobre UDP. TCP ofrece un transporte orientado a la
conexión, mientras que UDP ofrece una entrega con el mejor
esfuerzo. RADIUS requiere variables programables adicionales,
como intentos de retransmisión y tiempos de espera para
45
compensar el transporte de mejor esfuerzo, pero carece del nivel
de soporte integrado que ofrece un transporte TCP. (CISCO, 2008)
Por otra parte, el uso del protocolo de transporte TCP brinda muchos beneficios
para la información que se tramite a través de la red, a continuación, en el
siguiente TABLA se detalla los beneficios de TCP
Tabla N. 8
Beneficios del uso del Protocolo TCP
1 Al usar TCP y recibir una solicitud genera un reconocimiento por separado
del mismo, en un lapso de ida y vuelta de la red, indistintamente de la
lentitud del mecanismo de autenticación.
2 TCP avisa de manera instantánea cuando un servidor se encuentra
bloqueado o no se encuentra en actividad al reiniciarse, de la misma
manera TCP puede determinar un servidor con fallas a diferencia de UDP
que no distingue un servidor entre un servidor en buen o mal estado.
3 Las bajas que presenten un servidor determinado pueden ser detectados
fuera de bandas con requerimiento reales durante el uso de keepalives
de TCP, de manera simultánea TCP puede mantenerse en conexión con
varios servidores y solo enviara mensajes al servidor que este en buen
funcionamiento
4 TCP se adapta al crecimiento de la red y es más escalable a diferencia de
Radius.
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Cisco System
Como se puede observar en el TABLA anterior TACACS+ difiere mucho de
RADIUS para transportar los paquetes al momento de generar una conexión
cliente servidor así lo afirma también Gabriela Andrade en un trabajo de
investigación del 2019
TACACS+ es un protocolo que funciona bajo el modelo de
cliente/servidor y para su transporte utiliza el protocolo TCP por el
46
puerto 49 y utiliza encriptación de credenciales y datos mediante el
algoritmo de encriptación MD5 lo que lo hace más seguro y
confiable de otros protocolos. Además, que para tener menos carga
en el servidor y una mejor detección de caídas en la comunicación
puede ser establecida en una sola sesión de cliente/servidor
mientras que el servidor o dispositivo de red se encuentren en
forma operacional. (Andrade Tubun, 2019, p.29)
Tal como vemos TACACS+ a sido motivo de estudio durante varios años y ha ido
evolucionando su funcionalidad siendo inicialmente TACACS “Protocolo simple de
control de acceso basado en UDP desarrollado originalmente por BBN para
MILNET” (Internet Engineering Task Force, 1993, p.1).perteneciente a las Fuerzas
armadas de Estados unidos para luego convertirse en TACACS+ de la mano de
Cisco como se evidencia en el RFC 1492 solicitud de comentario de la universidad
de minnesota
Esta versión de la especificación se desarrolló con la asistencia de
Cisco Systems, que tiene una implementación del TACACS
protocolo que se cree que es compatible con la original
especificación. Para ser precisos, la implementación de Cisco
Systems admite tanto la versión simple (no extendida) como la
extendida. Está la versión simple que sería compatible con el
original. (Request For Coments [RFC], 1993, p.1)
posterior a ello la comunidad de código abierto se baso en la fuente original del
código de cisco para distribuir el demonio TAC_PLUS y bajo el codigo original se
desarrollo la distribucion del demonio tac_plus para maquinas linux.
De manera se pudo conseguir adaptar este modelo AAA indistintamente del
sistema operativos, la cominidad TI hace refrenecia a esto y Cisco en un
documento publicado dice lo siguiente “Hay una serie de distribuciones de código
de servidor disponibles comercial y gratuitamente. Los servidores de Cisco
incluyen Cisco Secure ACS para Windows, Cisco Secure ACS para UNIX y Cisco
Access Registrar” (CISCO, 2008).
47
Esta nueva versión de TACACS+ trajo consigo la separación de la Autenticación,
Autorización y Auditoría, en el siguiente Figura se detalla el tráfico que genera los
paquetes TACACS+ al momento de realizar estos procesos
Paquete TACACS+
Se cifra el paquete entero dejando solo la cabecera intacta, comienza dejando 12
bytes los cuales son la cabecera de TACACS+, estos se envían en texto plano
como se indica en un documento publicado de Cisco
TACACS + cifra todo el cuerpo del paquete, pero deja un
encabezado TACACS + estándar. Dentro del encabezado hay un
campo que indica si el cuerpo está encriptado o no. Para fines de
depuración, es útil tener el cuerpo de los paquetes sin cifrar. Sin
embargo, durante el funcionamiento normal, el cuerpo del paquete
Figura N. 15
Proceso AAA
Elaboración: Cisco System
Fuente: Comparación de TACACS + y RADIUS
48
está completamente encriptado para comunicaciones más seguras.
(CISCO, 2008)
En el siguiente Figura publicado por la IETF se puede observar los 12 byte
utilizados para la cabecera por TACACS+
En cuanto a estos datos de cabecera que son enviados en el paquete TACACS+
a continuación se detallan cada uno de ellos en el tabla No 9
Figura N. 16
Paquete TACACS+
Elaboración: D. Carrel, Lol Grant
Fuente: tools.ietf.org/
49
Tabla N. 9
Atributos del Paquete de TACACS+
Minor
Versión o
Menor
Versión
Guarda los valores que corresponden a la versión menor de
TACACS+ también admite utilizar la revisión de TACACS+ y con
este proceso se genere la compatibilidad con otras versiones de
TACACS+, cuando el protocolo reciba una versión menor y este
no lo admita procederá a dar una respuesta con un mensaje de
error con el valor de la versión de Tacacs+ más próxima
Major
Versión
Es el número de la versión de TACACS+.
Type o
Tipo:
indica los tipos de paquetes entre los cuales están los de
autenticación, autorización y contabilización
TAC_PLUS_AUTHEN: = 0x01 (Autenticación)
TAC_PLUS_AUTHOR: = 0x02 (Autorización)
TAC_PLUS_ACCT: = 0x03 (Contabilidad)
Seq_no Número que tiene el paquete el cual es una secuencia que indica
la sesión actual. Este valor se incremente de manera progresiva
a medida que se envían los paquetes, es decir si se genera una
sesión el primer paquete tendrá como valor 1 esto quiere decir
que el próximo paquete tendrá un valor con el número 2, por
consiguiente, los paquetes que envié los clientes serán impares.
Flags o
Banderas:
Este campo indica que si todo el cuerpo del paquete de
TACACS+ viene encriptado o no.
Session_Id: Identificador de sesión que no cambia durante la duración de la
misma.
Length o
Longitud:
Indica la longitud total del paquete TACACS+ Excluyendo la
cabecera.
Elaboración: Alan Ramírez - Javier Rivera
Fuente: tools.ietf.org/
50
Como se pudo observar los campos de la cabecera son los únicos que no se
encriptan, los demás paquete que se envíen durante de sesión si serán
encriptados cabecera mediante un hash MD5
El MD5 es un algoritmo que proporciona un código asociado a un
archivo o un texto concretos. De esta forma, a la hora de descargar
un determinado archivo, como puede ser un instalador, el código
generado por el algoritmo, también llamado hash, viene “unido” al
archivo. (rootear.com, 2015)
Por lo antes mencionado a continuación detallan en el figura N. 17 , figura N.18 y
el Figura se observan los paquete de la Autenticación, Autorización y Auditoría.
Figura N. 17
The Authentication Start Packet
Elaboración: Alan Ramírez - Javier Rivera
Fuente: tools.ietf.org/
51
Figura N. 19
The Account Request Body
Elaboración: Alan Ramírez - Javier Rivera
Fuente: tools.ietf.org
Figura N. 18
The Authorization Request Packet Body
Elaboración: Alan Ramírez - Javier Rivera
Fuente: tools.ietf.org
52
Comparativa diferentes protocolos de arquitectura AAA
Entre los protocolos del modelo AAA existen varios, los cuales podemos hacer
una comparativa, a continuación, en el siguiente Figura se hace una breve
comparativa de los protocolos Radius, Diameter y Tacacs+
Fundamentación Legal
Constitución De La República Del Ecuador
Articulo 66.- Se reconoce y garantizará a las personas:
Numeral 11.- El derecho a guardar reserva sobre sus convicciones. Nadie podrá
ser obligado a declarar sobre las mismas. En ningún caso se podrá exigir o utilizar
sin autorización del titular o de sus legítimos representantes, la información
personal o de terceros sobre sus creencias religiosas, filiación o pensamiento
Figura N. 20
Comparativa de Protocolos AAA
Elaboración: Alan Ramírez – Javier Rivera
Fuente: flu-project.com
53
político; ni sobre datos referentes a su salud y vida sexual, salvo por necesidades
de atención médica.
Articulo 66.- Se reconoce y garantizará a las personas:
Numeral 19 .- El derecho a la protección de datos de carácter personal, que incluye
el acceso y la decisión sobre información y datos de este carácter, así como su
correspondiente protección. La recolección, archivo, procesamiento, distribución
o difusión de estos datos o información requerirán la autorización del titular o el
mandato de la ley.
Articulo 92.- Las personas responsables de los bancos o archivos de datos
personales podrán difundir la información archivada con autorización de su titular
o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso
sin costo al archivo, así como la actualización de los datos, su rectificación,
eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar
autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas
de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la
jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados.
Ley Orgánica De Telecomunicaciones
Artículo 13.- Redes privadas de telecomunicaciones: Las redes privadas son
aquellas utilizadas por personas naturales o jurídicas en su exclusivo beneficio,
con el propósito de conectar distintas instalaciones de su propiedad o bajo su
control. Su operación requiere de un registro realizado ante la Agencia de
Regulación y Control de las Telecomunicaciones y en caso de requerir de uso de
frecuencias del espectro radioeléctrico, del título habilitante respectivo. Las redes
privadas están destinadas a satisfacer las necesidades propias de su titular, lo que
excluye la prestación de estos servicios a terceros. La conexión de redes privadas
se sujetará a la normativa que se emita para tal fin. La Agencia de Regulación y
Control de las Telecomunicaciones regulará el establecimiento y uso de redes
privadas de telecomunicaciones. (Arcotel, 2008, p.5)
54
Artículo 17.- Comunicaciones internas: No se requerirá la obtención de un título
habilitante para el establecimiento y uso de redes o instalaciones destinadas a
facilitar la intercomunicación interna en inmuebles o urbanizaciones, públicas o
privadas, residenciales o comerciales, siempre que:
• No se presten servicios de telecomunicaciones a terceros;
• No se afecten otras redes de telecomunicaciones, públicas o
privadas;
• No se afecte la prestación de servicios de telecomunicaciones;
• No se use y explote el espectro radioeléctrico.
No obstante, dicha instalación y uso por parte de personas naturales o jurídicas
se sujetarán a la presente Ley y normativa que resulte aplicable y, en caso de la
comisión de infracciones, se impondrán las sanciones a que haya lugar.
Artículo 29.- Regulación técnica: Consistente en establecer y supervisar las
normas para garantizar la compatibilidad, la calidad del servicio y solucionar las
cuestiones relacionadas con la seguridad y el medio ambiente.
Artículo 78.- Derecho a la intimidad: Para la plena vigencia del derecho a la
intimidad, establecido en el artículo 66, numeral 20 de la Constitución
de la República, las y los prestadores de servicios de telecomunicaciones deberán
garantizar, en el ejercicio de su actividad, la protección de los datos de carácter
personal. Para tal efecto, las y los prestadores de servicios de telecomunicaciones
deberán adoptar las medidas técnicas y
de gestión adecuadas para preservar la seguridad de su red con el fin de
garantizar la protección de los datos de carácter personal de conformidad con la
ley. Dichas medidas incluirán, como mínimo:
• La garantía de que sólo el personal autorizado tenga acceso a los
datos personales para fines autorizados por la ley.
• La protección de los datos personales almacenados o transmitidos
de la destrucción accidental o ilícita, la pérdida o alteración
accidentales o el almacenamiento, tratamiento, acceso o revelación
no autorizados o ilícitos.
55
• La garantía de la aplicación efectiva de una política de seguridad con
respecto al tratamiento de datos personales.
• La garantía de que la información suministrada por los clientes,
abonados o usuarios no será utilizada para fines comerciales ni de
publicidad, ni para cualquier otro fin, salvo que se cuente con el
consentimiento previo y autorización expresa de cada cliente,
abonado usuario. El consentimiento deberá constar registrado de
forma clara, de tal manera que se prohíbe la utilización de cualquier
estrategia que induzca al error para la emisión de dicho
consentimiento.
Código Orgánico Integral Penal
Artículo 69.- Penas restrictivas de los derechos de propiedad. - Son penas
restrictivas de los derechos de propiedad: Numeral 2 a) Los bienes, fondos o
activos, o instrumentos equipos y dispositivos informáticos utilizados para financiar
o cometer la infracción penal o la actividad preparatoria punible.
Artículo 178.- Violación a la intimidad. - La persona que, sin contar con el
consentimiento o la autorización legal, acceda, intercepte, examine, retenga,
grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz,
audio y vídeo, objetos postales, información contenida en soportes informáticos,
comunicaciones privadas o reservadas de otra persona por cualquier medio, será
sancionada con pena privativa de libertad de uno a tres años.
Artículo 190.- Apropiación fraudulenta por medios electrónicos.- La persona que
utilice fraudulentamente un sistema informático o redes electrónicas y de
telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la
transferencia no consentida de bienes, valores o derechos en perjuicio de esta o
de una tercera, en beneficio suyo o de otra persona alterando, manipulando o
modificando el funcionamiento de redes electrónicas, programas, sistemas
informáticos, telemáticos y equipos terminales de telecomunicaciones, será
sancionada con pena privativa de libertad de uno a tres años. La misma sanción
56
se impondrá si la infracción se comete con inutilización de sistemas de alarma o
guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización
de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de
apertura a distancia, o violación de seguridades electrónicas, informáticas u otras
semejantes.
Artículo 211.- Supresión, alteración o suposición de la identidad y estado civil.-
La persona que ilegalmente impida, altere, añada o suprima la inscripción de los
datos de identidad suyos o de otra persona en programas informáticos, partidas,
tarjetas índices, cédulas o en cualquier otro documento emitido por la Dirección
General de Registro Civil, Identificación y de Cedulación o sus dependencias o,
inscriba como propia, en la Dirección General de Registro Civil, Identificación y de
Cedulación a una persona que no es su hijo, será sancionada con pena privativa
de libertad de uno a tres años
Artículo 229.- Revelación ilegal de base de datos. - La persona que, en provecho
propio o de un tercero, revele información registrada, contenida en ficheros,
archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema
electrónico, informático, telemático o de telecomunicaciones; materializando
voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad
de las personas, será sancionada con pena privativa de libertad de uno a tres
años. Si esta conducta se comete por una o un servidor público, empleadas o
empleados bancarios internos o de instituciones de la economía popular y
solidaria que realicen intermediación financiera o contratistas, será sancionada
con pena privativa de libertad de tres a cinco años.
Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena privativa
de libertad de tres a cinco años: 1. La persona que, sin orden judicial previa, en
provecho propio o de un tercero, intercepte, escuche, desvíe, grabe u observe, en
cualquier forma un dato informático en su origen, destino o en el interior de un
sistema informático, una señal o una transmisión de datos o señales con la
finalidad de obtener información registrada o disponible. 2. La persona que diseñe,
desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad
o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de
57
resolución de nombres de dominio de un servicio financiero o pago electrónico u
otro sitio personal o de confianza, de tal manera que induzca a una persona a
ingresar a una dirección o sitio de internet diferente a la que quiere acceder. 3. La
persona que a través de cualquier medio copie, clone o comercialice información
contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté
soportada en las tarjetas de crédito, débito, pago o similares. 4. La persona que
produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos
o sistemas informáticos destinados a la comisión del delito descrito en el inciso
anterior.
Artículo 232.- Ataque a la integridad de sistemas informáticos. - La persona que
destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal
funcionamiento, comportamiento no deseado o suprima datos informáticos,
mensajes de correo electrónico, de sistemas de tratamiento de información,
telemático o de telecomunicaciones a todo o partes de sus componentes lógicos
que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será sancionada la persona que: 1. Diseñe, desarrolle, programe,
adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera,
dispositivos o programas informáticos maliciosos o programas destinados a
causar los efectos señalados en el primer inciso de este artículo. 2. Destruya o
altere sin la autorización de su titular, la infraestructura tecnológica necesaria para
la transmisión, recepción o procesamiento de información en general. Si la
infracción se comete sobre bienes informáticos destinados a la prestación de un
servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a
siete años de privación de libertad.
Artículo 233.- Delitos contra la información pública reservada legalmente. - La
persona que destruya o inutilice información clasificada de conformidad con la Ley,
será sancionada con pena privativa de libertad de cinco a siete años. La o el
servidor público que, utilizando cualquier medio electrónico o informático, obtenga
este tipo de información, será sancionado con pena privativa de libertad de tres a
cinco años. Cuando se trate de información reservada, cuya revelación pueda
comprometer gravemente la seguridad del Estado, la o el servidor público
encargado de la custodia o utilización legítima de la información que sin la
58
autorización correspondiente revele dicha información, será sancionado con pena
privativa de libertad de siete a diez años y la inhabilitación para ejercer un cargo o
función pública por seis meses, siempre que no se configure otra infracción de
mayor gravedad.
Artículo 234.- Acceso no consentido a un sistema informático, telemático o de
telecomunicaciones.- La persona que sin autorización acceda en todo o en parte
a un sistema informático o sistema telemático o de telecomunicaciones o se
mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo
derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web,
desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos
sistemas proveen a terceros, sin pagarlos a los proveedores de servicios
legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años.
PREGUNTA CIENTÍFICA PARA CONTESTARSE
¿Qué Beneficios proporciona la iimplementación de un prototipo de
seguridad basado en Raspberry y TACACS+ para DISTRIBUIDORA
COMSUCRE?
Una solución centralizada ante una desorganizada estructura de red que presenta
a nivel administrativo y conjuntamente se estaría resolviendo el hecho de que no
tienen implementado un estándar IEEE 802.11x como toda red en crecimiento
debería tener, así mismo cumpliría con las buenas normas de seguridad y
garantiza la seguridad de la integridad de los datos de sus clientes evitando futuras
demandas por mal manejo de datos personal. Brindará las herramientas
necesarias para que los administradores de la red gestionen según las
necesidades como la creación y eliminación de usuarios de manera remota,
asignación de privilegios y restricción de los mismos, creación de grupos usuarios
con accesos a la red, manejo de Auditoría y con ella establecer estadística,
determinar responsabilidades, proporcionar robusticidad a inicio de sesión,
restringir el uso de determinados comandos entre otros, por lo antes mencionado
59
TACAS+ será el intermediario entre las personas que administran la red con los
equipo que la conforman.
¿Cuál es la adaptación y conectividad que tendrá de protocolo TACACS+ ante
equipos nuevo y cuál será su funcionabilidad sobre ellos?
TACACS+ mantendrá conectividad inicialmente con 5 router los cuales serán
administrados por dicho protocolo y de ellos se registrará cada incidente dado
teniendo una funcionalidad total sobre ellos que me permita tener una red
organizada en la DISTRIBUIDORA COMSUCRE y preparada para admitir equipos
nuevos en la red.
DEFINICIONES CONCEPTUALES
AAA: Modelo de seguridad de acceso a la red que rige el control utilizando
Autenticación, Autorización y Auditoría.
TACACS+: Es un protocolo de autenticación remota privativo de Cisco, permite a
un servidor de acceso remoto comunicarse con un servidor de autenticación para
determinar si el usuario tiene acceso a la red.
RADIUS: Es un protocolo de autenticación y autorización para aplicaciones de
acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus
conexiones.
UDP: Proporciona un servicio no orientado a conexión y no fiable, intenta por todos
los medios que los datos lleguen, pero no lo garantiza.
Bases de datos: programa de computador que almacenara la información de los
usuarios y los eventos generados por el usuario.
IAS: Es un componente de los sistemas operativos Windows Server que
proporciona autenticación, autorización y contabilidad centralizadas de usuarios.
60
CAPÍTULO III PROPUESTA TECNOLÓGICA
Esta propuesta dada se realizó en base al método de PMBOOK (PMI) para su
ejecución, l presentará y entregará la solución para los problemas que presenta la
red de la DISTRIBUIDORA COMSUCRE.
Análisis de factibilidad
En esta sección se detallará el logro frente a los problemas de red con la
Implementación de un Prototipo de Seguridad Basado en Raspberry Y Tacacs+
Para DISTRIBUIDORA COMSUCRE, y para saber si la propuesta de solución es
practicable se ha empleado como medición de resultados y factibilidad de la
misma “la encuesta” que se realizó tanto a empleados internos del departamento
TI y empleados externos de la DISTRIBUIDORA COMSUCRE con conocimiento
del área.
De acorde a la situación actual se estableció que es necesaria la reestructuración
estratégica de la red para la gestión administrativa de la misma y disminuir la carga
de administración al momento de cambios, escalabilidad e incidentes que
presente la red y de manera centralizada dar solución a los problemas planteados
Culminado el proyecto se presentará y se obtendrá una red totalmente
centralizada para la administración de equipo de la red de la DISTRIBUIDORA
COMSUCRE completamente funcional es todos los aspectos de gestión de la
misma que permitan por medio de un sistema AAA validar acciones,
modificaciones e ingresos a la red.
Factibilidad Operacional
La propuesta de solución presentada es factible al contar con la aprobación de la
DISTRIBUIDORA COMSUCRE y los administradores de red de la misma e
involucrados en el área, también se contó con la colaboración de análisis técnico
61
de los ingenieros graduados de la Universidad Estatal de Guayaquil de la Facultad
de Ciencias Matemáticas y Física carrera Ingeniería Networking y
telecomunicaciones a quienes inicialmente se les presento el prototipo a
consideración obteniendo comentarios aceptables de manera técnica para su
implementación siendo su acogida muy competente frente a la evolución de las
redes de las PYMES y leyes a aprobarse en el Ecuador.
Una vez revisados y analizados los procesos operativos a innovar de manera
centralizada para la gestión administrativa y por lo antes detallado se puede
ratificar que la Implementación de un Prototipo de Seguridad Basado en
Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE satisface las
exigencias de la DISTRIBUIDORA en mención.
Factibilidad técnica
Se elaboro estudios de la Implementación de un Prototipo de Seguridad Basado
en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE direccionados a
consideraciones como el software y hardware para determinar cuáles son las
exigencias necesarias para el funcionamiento y rendimiento óptimo y eficaz de la
red de la DISTRIBUIDORA COMSUCRE.
Desde el análisis intangible de software se tomó en consideración las
herramientas modernas y vigentes que proporcionen la facilidad para la
Implementación de un Prototipo de Seguridad Basado en Raspberry Y Tacacs+
Para DISTRIBUIDORA COMSUCRE como lo son Ubuntu Server 18.04 que se
implementó en una Micro SD para la integración en el equipo Raspberry Pi III por
medio del software Win 32 Imagen Versión 1.0, versión de TACACS+, para el
servidor instalado en el equipo Raspberry que se va a conectar con la
virtualización de Router creados en Virtual Box 6.1 con accesos a ellos por medio
del software Putty 0.73 Dichos router tienen un sistema operativos instalado de
Ubuntu 16.04 cabe mencionar que los software empleados tienen compatibilidad
total en el sistema de red de la DISTRIBUIDORA COMSUCRE los cuales son en
su mayoría herramientas open Source, y requieren de licencia salvo una
necesidad puntual.
62
Y desde el análisis tangible del Hardware podemos mencionar que la
implementación se hará de forma paralela al sistema de red de la
DISTRIBUIDORA COMSUCRE que de igual forma al integrarla a ella no afecta en
temas de compatibilidad con el sistema de seguridad basado en Raspberry y
TACACS+ debido a que los equipos de red que utiliza son de CISCO los mismos
que están siendo virtualizados en el prototipo.
Factibilidad Legal
La Implementación de un Prototipo de Seguridad Basado en Raspberry Y Tacacs+
para DISTRIBUIDORA COMSUCRE se desarrolla en base a herramientas Open
Source denomina dentro de la comunidad tecnológica como software libre y su
código tiene un enfoque público es decir son código abierto por consiguiente no
se necesita de una licencia para el uso de las mimas por lo que su factibilidad legal
está garantizada al no incumplir leyes vigentes de la propiedad intelectual dentro
de la ley ecuatoriana.
Figura N. 21
Diseño de red de la DISTRIBUIDORA COMSUCRE
Elaboración: Alan Ramírez - Javier Rivera
Fuente: Datos de la Investigación
63
Factibilidad Económica
Referente al factor económico puede determinarse que para la DISTRIBUIDORA
COMSUCRE sería una implementación sin costo debido a que la empresa cuenta
con equipos físicos compatibles con el protocolo TACACS+. Además de
implementar tecnologías Open Source que no requieren de pago alguno para su
utilización.
Etapas de la metodología del proyecto
Este proyecto está siendo implementado por la metodología PMI el cual cuanta
con pasos puntuales los cuales fundamentaran al desarrollo del mismo. Las
etapas utilizadas en esta metodología son las siguientes:
Inicio del Proyecto
El proyecto consiste en la administración centralizada con gestión de
contabilización hacia los equipos de red administrables de la DISTRIBUIDORA
COMSUCRE. El área beneficiada por esta implementación será la de Tecnología
de la información junto con su respectiva subárea que es la del departamento
técnico.
Ante el problema actual que está presentando el país ciertas empresas optan por
un recorte de personal, esta implementación facilitara tener un control y obtención
de log de eventos hacia los dispositivos de red remotos por esto se propone la
implantación de un servidor TACAS+, en esta primera del desarrollo del proyecto
se detallara en el siguiente la figura No el presupuesto.
Presupuesto General de Implementación de un Prototipo
de Seguridad Basado en Raspberry y Tacacs+ para
DISTRIBUIDORA COMSUCRE
Se detallan los costos invertidos dentro de la implementación del servidor
Tacacs+:
64
Gráfico N. 1
Presupuesto de Implementación
Elaboración: Alan Ramírez - Javier Rivera
Fuente: Datos de la Investigación
Requerimientos de hardware para instalación de servidor
Tacacs+
Para lograr una mayor aceptación optamos en la implementación de un servidor
AAA de bajo presupuesto el cual realizara las funciones de administración
centralizada
Los equipos que se requirieron para la implementación del servidor son:
Placa Raspberry Pi 3 model B
Esta placa nos sirve para la implantación de nuestro servidor Tacacs+ con un
sistema operativo Ubuntu Server 18.04 el cual va instalada por medio de software
a la micro SD.
65
Figura N. 22
Placa Raspberry Pi3 Model B
Elaboración: Alan Ramírez - Javier Rivera
Fuente: Datos de la Investigación
Case Raspberry
El case brinda protección del medio externo la cual no viene incluida por la
compra de la placa y se la adquierio de manera adicional.
Figura N. 23
Case Raspberry
Elaboración: Alan Ramírez - Javier Rivera
Fuente: Datos de la Investigación
66
Tabla N. 10
Características Raspberry
Características del Hardware
Tipo Detalle
Servidor Raspberry Pi 3
Procesador CPU + GPU: Broadcom
BCM2837B0, Cortex-A53 (ARMv8)
64-bit SoC @ 1.4GHz
MEMORIA RAM 1GB LPDDR2 SDRAM
ALMACENAMIENTO Micro SD 32 GB
RED Gigabit Ethernet
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
La DISTRIBUIDORA COMSUCRE tiene a futuro implementar varios AP dentro de
la red, y dentro de su planificación a futuro también usar AP Cisco-LAP1142N-A-
K9 a continuación de detalla las características de este equipo
Tabla N. 11
Características del AP Cisco-LAP1142N-A-K9
Características del Hardware
Tipo Detalle
AP Cisco AIR-LAP1142N-A-K9
FRECUENCIA DE BANDA 2.4, 5 GHz
MEMORIA INTERNA 128 MB
MEMORIA FLASH 32 MB
RED 10/100/1000Base-T(X)
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
67
Tabla N. 12
Características de Router Cisco 2911-k9
Características del Hardware
Tipo Detalle
ROUTER Cisco 2911-K9
INTERFACES 3 x 10Base-T/100Base-TX/1000Base-
T - RJ-45
Administración: 1 x consola - RJ-45
Administración: 1 x consola - mini
USB tipo B
Serial: 1 x auxiliar - RJ-45
USB: 2 x USB de 4 clavijas Tipo A
MEMORIA INTERNA 512 MB
MEMORIA FLASH 256 MB
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Requerimiento de Software
Tabla N. 13
Requerimiento de Software
SOFTWARE DESCRIPCION USO VERSIÓN
Ubuntu Server Software base para
la implemantacion
de Tacacs+
S.O compatible con
Raspberry y
Tacacs+
18.04
win32diskimager Software de lectura
y carga de
imágenes
Carga e instalacion
de S.O en la micreo
SD
1.0.0
Putty Software cliente
para accesos
remotos
Permite los accesos
SSH y Telnet hacia
los equipos
Release 0.73
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación.
68
Planificación del Proyecto
De acuerdo con el planteamiento se establece alcances, tiempo y presupuesto a
ejecutarse en el proyecto. A continuación, se detalla el cronograma.
Cronograma
En el siguiente cronograma se detalla la durabilidad de las fases del proyecto
indicando la fecha de inicio y fecha de finalización de los mismos, el grafico
también abarca desde la fase de la problemática constatada en la
DISTRIBUIDORA COMSUCRE, la recopilación de información durante todas las
etapas y su respectivo análisis para de esta manera tener un pleno control en el
desarrollo del mismo.
Gráfico N. 2
Cronograma de Actividades
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación.
69
Gráfico N. 4
Cronograma de Actividades – Implementación
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Gráfico N. 3
Cronograma de Actividades Análisis
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
70
Gráfico N. 5
Cronograma de Actividades Pruebas
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Gráfico N. 6
Cronograma de Actividades – Documentación
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
71
Gráfico N. 7
Cronograma de Actividades - Conclusiones y recomendaciones
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
El alcance de la propuesta consiste en la entrega de un servidor UBUNTU
implementado un servicio Open Source Tacacs+ para la administración acceso,
control y contabilización de los equipos de red remotos.
El plazo de este proyecto será de 52 días desde el inicio hasta el cierre del mismo
los cuales se ejecutan las fases de diseño de solución y la implantación del
prototipo (Hardware y Software).
Entra la fase de cierre tendremos las pruebas finales del prototipo y la entrega
formal del mismo.
Ejecución del Proyecto
Para la ejecución del proyecto se mostrará la funcionabilidad del prototipo de
seguridad basado en el protocolo TACACS+ junto con su operabilidad y
administración para lo cual fue diseñado.
72
Dentro de la fase de la ejecución del proyecto se realizó una simulación previa a
la implementación en la DISTRIBUIDORA COMSUCRE tomando en cuenta el
diseño otorgado por el departamento de sistema esto facilitara el entorno real de
la empresa antes de su implementación en sitio.
Instalación de Sistema Operativo
Para la instalación del sistema operativo se tuvo que investigar cual era el más
compatible tanto con el equipo Raspberry Pi 3 Modelo B como el protocolo
TACACS+ ya que si se implementaba un sistema no compatible presentaba
incompatibilidad con los drivers de video y de red lo cual hacia inaccesible al
equipo.
Descarga del Sistema Operativo Ubuntu Server 18.05.5
Figura N. 24
Red de la DISTRIBUIDORA COMSUCRE
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
73
Se descarga desde la página oficial raspberrypi.org la versión Ubuntu Server
18.04.5 compatible con el equipo Raspberry Pi 3 y se procede con la carga del
sistema operativo a la micro SD desde la herramienta Win32DiskImager.
Figura N. 25
Carga de S.O. con Programa Win32 Disk Imager
Elaboración: Alan Ramírez – Javier Rivera
Fuente: ubuntu.com
74
En Image File se debe elegir la iso del sistema operativo que descargamos y en
Device se escoge la unidad de almacenamiento que en nuestro caso es la
microSD de 32Gb en la unidad [E:\]
Figura N. 26
Carga de S.O. Programa Win32
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Configuración de servidor Tacacs+
Para el funcionamiento de nuestro servidor Tacacs+ dividimos por partes la
configuración:
1. Instalación de Raspberry Pi 3: Se procede conectar el cable de red en el
puerto Ethernet, el teclado y mouse en sus puertos usb 2.0, el cable HDMI
75
para la salida de imagen a un monitor y el cable micro USB para la
alimentación de energía tomar en cuenta que el cargador debe dar máximo
5 voltios caso contrario puede quemar la tarjeta.
2. Actualización del sistema operativo: Se procede a actualizar el sistema
operativo dando los comandos apt-get update y apt-get upgrade para no
tener inconvenientes con los próximos servicios a implementar.
Figura N. 28
Actualización del S.O. Ubuntu Server
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 27
Puertos Raspberry PI 3 Model B
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
76
3. Instalación Tacacs+: Desde el terminal se procede dando el comando
sudo apt install tacacs+ el cual servirá para la implementación de nuestro
servicio AAA.
4. Servicio Tacacs+: Luego de la instalación de Tacacs+ si todo está
correcto se podrá visualizar el servicio activo con el comando systemctl
status tacacs_plus.
Figura N. 29
Instalación del Servicio TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
77
5. Creación de archivo de log: Se crea archivo vacío tac_plus.acct en la
ruta predefinida /var/log/.
6. Configuración de servidor: Se procede con la configuración del archivo
tac_plus.conf, en este archivo se define la key que permitirá la relación
de confianza entre los equipos de red y el servidor Tacacs+, en las
Figura N. 31
Archivo de log TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 30
Servicio TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
78
siguientes imágenes se detallan las configuraciones de los clientes, grupos
y clave enable para el acceso remoto a los equipos.
Tabla N. 14
Parámetros del Archivo de Configuración tac_plus
accounting file Archivo de contabilidad.
key Clave utilizada para cifrar paquetes
entre el demonio y los clientes.
user Definir usuario
login Definir clave para user definido
member Definir a que grupo pertenece user
user = $enable$ Definir clave modo Exec privilegiado
group Definir un grupo y los permisos del
grupo
Elaboración: Alan Ramírez – Javier Rivera
Fuente: manpages.ubuntu.com
Figura N. 32
Archivo de Configuración TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
79
Figura N. 33
Configuración de Password
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 34
Configuración de Usuarios
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
80
Figura N. 35
Configuración de Grupos
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 36
Configuración de Privilegios
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
81
NOTA: Después de estas configuraciones se debe reiniciar el servicio
tacacs_plus.service para que se efectúen los cambios realizados si no existe
ningún problema o inconsistencia en el archivo de configuración debe levantar
el servicio sin problema, caso contrario revisar el archivo de configuración.
Configuración de equipos
Para la configuración de los equipos de red tanto router, switch y ap de la marca
CISCO o cualquier otro equipo que soporte Tacacs+ se aplica las siguientes líneas
de comando, este proceso se realizará a todos los router y ap de la
DISTRIBUIDORA COMSUCRE.
Figura N. 37
Configuración de Equipos Cisco
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación.
82
Figura N. 38
Instalación de Putty
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Instalación de Putty
Para poder ingresar remotamente al servidor y a los equipos se procederá con la
instalación del programa Putty en nuestro equipo Ubuntu Desktop, también puede
instalarse en Windows.
Accesos remotos a equipos
Para el acceso remoto a los equipos ya sea el servidor Tacacs+ o los equipos
CISCO utilizaremos el programa PUTTY en el cual se ingresa de la forma como
lo detallan las imágenes desde una maquina independiente ya sea con sistema
operativo Windows 10 o Ubuntu, para las pruebas por cuestiones de
licenciamiento optamos por el sistema operativo Open Source Ubuntu Desktop.
Ingresar la dirección ip para este ejemplo ingresaremos al servidor Tacacs+
[192.168.0.50] del equipo remoto escogiendo el check Telnet y luego un click en
OPEN
Figura N. 39
Acceso Remoto por Putty
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación.
83
A continuación, se abrirá una sesión en la cual podremos acceder al equipo solo
con ingresar el usuario y clave definidas por el administrador del servidor.
Figura N. 40
Acceso Remoto a Servidor TACACS+
Para acceder a los equipos de red repetimos los pasos anteriores solo cambiando
la dirección ip del equipo correspondiente para este ejemplo ingresaremos al
router [192.168.0.1 R_MAT] con el usuario jrivera definida en el servidor Tacacs+.
84
Figura N. 41
Acceso Remoto a Equipo Cisco
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Instalación y configuración samba
Debido a la limitante del equipo utilizado se vio la necesidad de implementar algún
método que nos permita obtener una mejora en el entorno Figura para la
visualización de los logs por este motivo se procederá con la instalación del
servicio samba el cual nos permitirá compartir archivos desde nuestro servidor
Tacacs+ hacia cualquier equipa ya sea que tenga sistema operativo Windows o
Linux.
Para la instalación se ingresa al servidor Tacacs+ 192.168.0.50 y como usuario
root se ingresa el siguiente comando:
85
Después de la instalación si no existe ningún error podremos verificar el servicio
que este corriendo con el comando a continuación:
Figura N. 43
Estado de Servicio Samba
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 42
Ingreso en modo Root
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
86
Luego de la verificación del servicio samba activo se procede con la creación de
directorio /samba, esto nos permitirá poder alojar los respaldos de los archivos de
log de nuestro servidor Tacacs+, esto lo conseguimos ejecutando el siguientes
comando: root@ubuntu:/home/ubuntu# mkdir /samba. Por cuestiones de
seguridad se recomienda respaldar el archivo de configuración samba antes de
proceder con alguna modificación que se desee realizar, esto lo realizamos con el
siguiente comando: root@ubuntu:/home/ubuntu# cp /etc /samba /smb.conf /
samba/smb.config.old; luego del respaldo del archivo de configuración se edita el
archivo con algún gestor de texto para este caso estamos utilizando NANO que
viene instalado por default en nuestro servidor editamos el archivo de
configuración smb.conf para la definición de la ruta y los accesos hacia la carpeta
compartida, ingresando al final del archivo las siguientes líneas:
[samba-logs]
comment = LOGS TACACS+
path = /samba
read only = yes
browsable = yes
Figura N. 44
Archivo de Configuración Samba
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
87
Luego de la configuración se necesita definir una clave para poder tener acceso
al recurso compartido para este ejemplo utilizaremos el usuario ubuntu que viene
por default en la instalación de nuestro servidor Ubuntu Server Tacacs+, tomar en
cuenta que esta clave se debe ingresar al momento que se desee ingresar al
recurso compartido desde otro equipo ubicado en la misma red; la clave la
definimos con el siguiente comando : root@ubuntu:/home/ubuntu# sudo
smbpasswd -a ubuntu
Por último, para que se efectúen los cambios realizados se procederá con un
reinicio del servicio samba desde el terminal de nuestro servidor Tacacs+ dando
la siguiente línea de comando: root@ubuntu:/home/ubuntu# systemctl restart
smb.service
Acceso a carpeta compartida
Para poder acceder a nuestro recurso compartido /samba-logs donde se alojarán
los archivos logs de respaldo de nuestro servidor Tacacs+ se puede realizar de
dos maneras:
Acceso desde terminal
Se ingresa desde el equipo Ubuntu Desktop a una terminal colocando el siguiente
comando: sudo smbclient //192.168.0.50 /samba-logs/ -U Ubuntu y al ejecutar el
comando solicitara la clave del usuario de ubuntu otorgada al administrador de la
DISTRIBUIDORA COMSUCRE:
Acceso por modo Figura
Se ingresa desde el equipo Ubuntu Desktop y en el lanzador ubicar nuestra
carpeta personal, en la parte inferior damos clic en conectar con servidor y en el
textbox agregamos la siguiente línea smb://192.168.0.50/samba-logs/ luego dar
clic en conectar, en este proceso solicitara la clave del usuario de ubuntu otorgada
al administrador de la DISTRIBUIDORA COMSUCRE.
88
Visualización de logs de eventos Tacacs+
Para la visualización de los logs podremos realizarlo de dos maneras ya sea
directamente desde el servidor ingresando a la siguiente ruta: tail -f
/var/log/tac_plus.acct
Tambien podremos visualizar el archivo despues del proceso de repaldo
de log detallado anteriormente el cual se alojaran los archivos en la ruta
compartida en nuestro servidor smb://192.168.0.50/samba-logs/.
Figura N. 45
Acceso a Recursos Compartidos
Elaborado por: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
89
Figura N. 46
Visualización de logs de respaldo TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Instalación de KSYSTEMLOG
El programa KSYSTEMLOG nos permitirá obtener una vista más agradable de los
archivos de log de nuestro servidor Tacacs+, se procederá con la instalación en
nuestra estación de trabajo Ubuntu Desktop con el comando sudo apt intall
ksystemlog como se detalla a continuación.
Una vez que tengamos acceso al archivo de log compartido desde el equipo
Ubuntu Desktop procederemos a copiarlo en la ruta más conveniente para el
Figura N. 47
Instalación de KSYSTEMLOG
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
90
administrador, para este caso se lo copio en la ruta /home/jrivera/Documentos/ y
finalmente abriremos el archivo acct con el programa KSYSTEMLOG.
Este programa nos permite realizar busquedas mas sencillas a traves de su filtro.
Figura N. 49
Visualización log de Contabilización TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 48
Visualización KSYSTEMLOG
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
91
Respaldo de logs Tacacs+
Se recomienda una vez implementado el servidor Tacacs+ realizar
mantenimientos periódicos del log de evento tac_plus.acct con el fin que este no
llene el almacenamiento de nuestro servidor.
Se copia el archivo /var/log/tac_plus.acct en la carpeta compartida /samba para
poder extraerla y a su vez respaldar, en este ejemplo se recomienda colocar un
identificador como ejemplo la fecha en la que se copia el archivo como se visualiza
a continuación.
Luego de este proceso se valida el archivo creado en la ruta /samba y listamos su
contenido con el comando ls como se aprecia a continuación.
Figura N. 51
Comando ls
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Figura N. 50
Copia de Archivo TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
92
Eliminación de log proceso de mantenimiento
Luego de la copia y respaldo respectivo el cual debe ser ejecutado por el
administrador se procede deteniendo el servicio tacacs_plus.service para luego
proceder con la eliminación del archivo de log tac_plus.acct, para detener el
servicio ejecutamos el siguiente comando: systemctl stop tacacs_plus.service
Ahora procederemos con la eliminación del log por motivo de mantenimiento,
tomar muy en consideración tener respaldo en archivo antes de proceder con la
eliminación.
Figura N. 52
Eliminación de log por Mantenimiento
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Luego de la eliminación se procederá con la creación del archivo log en su ruta
original ejecutando el siguiente comando: touch /var/log/tac_plus.acct
93
Luego procederemos a listar la ruta /var/log para cerciorarnos que el log esta
creado caso contrario repita el paso anterior.
Figura N. 53
Lista de Ruta
s
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
Por último, procederemos a levantar el servicio Tacacs+ con el comando
root@ubuntu: /var/log# systemctl start Tacacs_plus.service y listo.
Figura N. 54
Inicialización de TACACS+
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la Investigación
94
Monitoreo y control
En esta fase se realizó las siguientes actividades:
La revisión diaria del funcionamiento del prototipo de seguridad TACACS+
ejecutado en un ambiente de prueba GNS3 junto con los equipos físicos
adquiridos.
La revisión de la documentación y prototipo por parte de las autoridades
académicas tutor y revisor mediante las reuniones semanales.
Cierre del Proyecto
La fase de cierre del proyecto está establecida junto con la fecha de finalización
del proyecto dada por las autoridades respectivas de la facultad de Ciencias
Matemáticas y Físicas de la carrera de Ingeniería en Networking y
Telecomunicaciones.
Entregables del proyecto
Los entregables del proyecto son:
• Server Tacacs+ implementado en equipo Raspberry Pi 3.
• Manual de instalación y configuración del server.
• Manuel de usuario para departamento de Sistema.
• Acta de aceptación del proyecto.
Criterios de Validación de la Propuesta
Para esta propuesta se desarrolla en una investigación de campo y se describe
como un proyecto factible “un proyecto se compone de diversas acciones e ideas
que interrelacionan y se llevan a cabo de forma coordinada con el objetivo de
alcanzar una meta. Factible, por su parte, es aquello que es susceptible de
realización o concreción” (Pérez Porto & Merino, 2015). y se describe de esa
95
manera por lo accesible que es la implementación debido a la utilización de
equipos de bajo presupuesto y software Open Source, lo que beneficiará tanto a
la empresa como nuestro personal en la implementación. En este proyecto se
podrá brindar un nivel más de seguridad y administración hacia los equipos de red
optimizando el tiempo y disponibilidad del personal de la DISTRIBUIDORA
COMSUCRE.
Procesamiento y Análisis
Población y Muestra
La población a la cual se aplicará las encuestas es directamente al departamento
de sistema de la DISTRIBUIDORA COMSUCRE junto a personal externo los
cuales brindan soporte a los equipos de cómputo tomando la muestra de 10
empleados sin la necesidad de aplicar formula.
Encuesta
Aplicada la encuesta se realiza el procesamiento analítico de los resultados a
través de Tablas y Figura que detallan un porcentaje y frecuencias obtenidas.
Pregunta # 1
¿Evalué con qué frecuencia se presentan accesos no autorizados a la red
de la DISTRIBUIDORA COMSUCRE?
Tabla N. 15
Resultados de la Encuesta - Pregunta 1
Opciones
Total
Porcentaje %
Frecuentemente 2 20
Ocasionalmente 2 20
Rara vez 2 20
Nunca 4 40
Elaborado por: Alan Ramírez - José Rivera
Fuente: Datos de la encuesta
96
Análisis: Del personal encuestado que son parte de la DISTRIBUIDORA
COMSUCRE la mayoría de los accesos no autorizados se vinieron presentando
desde que se implementaron las redes inalámbricas los cuales ya se los está
controlando, a medida que se fueron mejorando los métodos de autenticación e
implementación de mejoras en la seguridad de la red estos porcentajes fueron
disminuyendo hasta virtualizar las cifras actuales.
Pregunta # 2
¿Con que frecuencia se actualiza los mecanismos de seguridad en la red
de la DISTRIBUIDORA COMSUCRE?
Tabla N. 16
Resultados de la Encuesta - Pregunta 2
Opciones Total Porcentaje %
Frecuentemente 3 30
Ocasionalmente 5 50
Rara vez 1 10
Nunca 1 10
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Gráfico N. 8
Resultados de la encuesta - Pregunta 1
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
97
Análisis: De los 10 encuestados que son parte de la DISTRIBUIDORA
COMSUCRE los porcentajes varían desde la jerarquía del área y la antigüedad,
visualizando las respuestas y la gráfica se sugiere mejorar o estar en constante
mejoramiento de los mecanismos de seguridad y así evitar algún tipo de ataque
dentro de la red.
Pregunta # 3
¿Qué tan frecuente usted accede a los equipos de red de la
DISTRIBUIDORA COMSUCRE?
Tabla N. 17
Resultados de la encuesta - Pregunta 3
Opciones Total Porcentaje %
Frecuentemente 3 30
Ocasionalmente 2 20
Rara vez 2 20
Nunca 3 30
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Gráfico N. 9
Resultado de la Encuesta - Pregunta 2
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
98
Análisis: De los 10 encuestados que son parte de la DISTRIBUIDORA
COMSUCRE el 30% accede frecuentemente por cuestiones de monitoreo y
control, un 40% ingresa ocasionalmente o rara vez por trabajos programados y un
restante del 30% no ingresa ya que realizan gestiones administrativas.
Pregunta # 4
¿Califique usted los niveles de control de acceso que se realizan en los
equipos de red de la DISTRIBUIDORA COMSUCRE?
Tabla N. 18
Resultados de la Encuesta - Pregunta 4
Opciones Total Porcentaje %
Alto 2 20
Medio 6 60
Bajo 2 20
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Gráfico N. 10
Resultados de la Encuesta - Pregunta 3
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
99
Análisis: De los 10 encuestados que son parte de la nómina de la
DISTRIBUIDORA COMSUCRE el 80% los cuales abarcan los niveles medio y bajo
no llevan un control de sus accesos y acciones en los diferentes equipos de red,
mientras que el 20% lleva un control digital de todos los trabajos coordinados y
son los encargados de entregar informes de actividades y eventos en reuniones
gerenciales.
Pregunta # 5
¿Evalúe usted el control de cambios de clave de administración hacia los
equipos de red local y remoto de la DISTRIBUIDORA COMSUCRE?
Tabla N. 19
Resultados de la Encuesta - Pregunta 5
Opciones Total Porcentaje %
Excelente 3 30
Bueno 3 30
Satisfactorio 2 20
No satisfactorio 2 20
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Gráfico N. 11
Resultados de la Encuesta - Pregunta 4
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
100
Gráfico N. 12
Resultados de la Encuesta - Pregunta 5
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Análisis: De los encuestados que son parte de la DISTRIBUIDORA COMSUCRE
y los estudios realizados podemos indicar que los cambios de claves que se
solicitan puede tomar cierto tiempo hasta ser aprobados por el jefe inmediato y
estos ser realizan ingresando a equipo por equipo manualmente pudiendo esto
ser mejorado con nuestra implementación.
Pregunta # 6
¿Tomando en cuenta que un servidor Tacacs+ de bajo presupuesto puede
facilitar la administración de los equipos de red y a su vez facilitar la
obtención de un log de accesos y tareas aprobaría su implementación dentro
de la DISTRIBUIDORA COMSUCRE?
Tabla N. 20
Resultados de la Encuesta - Pregunta 6
Opciones Total Porcentaje %
Si aprobaría 6 60
No aprobaría 2 20
Neutral 2 20
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
101
Análisis: De los 10 encuestados de la DISTRIBUIDORA COMSUCRE el 60% le
interesa la implementación de un servidor Tacacs+ debido a su independencia del
resto de servidores y su bajo consumo de recursos y la ágil administración y
control, mientras que el porcentaje restante debido a las funciones que
desempeñan o siendo personal externo no afectaría ni beneficiaría en sus
funciones diarias.
Pregunta # 7
¿Evalué usted la importancia en la obtención de un log con los accesos y
acciones que se realizan en los equipos de red?
Tabla N. 21
Resultados de la Encuesta - Pregunta 7
Opciones Total Porcentaje %
Muy importante 5 50
Importante 2 20
Poco importante 2 20
No es importante 1 10
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Gráfico N. 13
Resultados de la Encuesta - Pregunta 6
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
102
Análisis: De los 10 encuestados de la DISTRIBUIDORA COMSUCRE se
detallan los porcentajes de importancia de un control mediante un log, estas
importancias se reflejan desde el punto de vista y roles que ejecutan cada
empleado siendo más importante desde el punto de vista administrativo.
Pregunta # 8
¿Cómo evalúa usted la posibilidad de que se pueda implementar un servidor
Tacacs+, para la administración centralizada de los equipos de red de la
Distribuidora Comsucre?
Tabla N. 22
Resultados de la Encuesta - Pregunta 8
Opciones Total Porcentaje %
Excelente 4 40
Buena 4 40
Mala 1 10
Pésima 1 10
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
Gráfico N. 14
Resultados de la Encuesta - Pregunta 7
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
103
Análisis: De los encuestados de la DISTRIBUIDORA COMSUCRE el 80% da una
aceptación a la implementación de un servidor Tacacs+ para una administración
centralizada por la disminución en los tiempos de administración y control.
Validación Hipótesis
De acuerdo con la encuesta realizada a los empleados del departamento de
sistema de la DISTRIBUIDORA COMSUCRE se vio la factibilidad de poder
integrar un servidor AAA Tacacs+ dentro de sus instalaciones, debido a que la
empresa no cuenta con un sistema que le facilite la administración y control de
sus equipos de red.
Gráfico N. 15
Resultados de la Encuesta - Pregunta 8
Elaboración: Alan Ramírez – Javier Rivera
Fuente: Datos de la encuesta
104
CAPÍTULO IV
Criterios de aceptación del producto o Servicio
Se logro ratificar la validez de la Implementación de un Prototipo de Seguridad
Basado en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE, propuesta
de solución ante una red desorganizada sin sistemas de seguridad para iniciar
sesión en los equipos de red con el fin, que cuando entre ene operatividad su
desempeño cumpla la funcionabilidad establecida y aporte con respuestas de
solución a los distintos posibles eventos a presentarse en la red de la
DISTRIBUIDORA COMSUCRE.
En consecuencia, se detalla a continuación el cumplimiento de los requerimientos
establecidos aprobados luego de su evaluación respectiva
Tabla N. 23
Criterios de Aceptación
Requerimiento Criterios de Aceptación Estado
Resolver la
desorganización que
la red de la
DISTRIBUIDORA
COMSUCRE
presentan
Por medio del servidor TACACS+ se
centralizaron todos los equipos de red
hacia el mismo, en el cual se pudo
reorganizar independientemente de su
ubicación física la gestión administrativa
utilizando configuraciones especificas
según los grupos creados.
Aprobado
Permitir que la
administración realice
las configuraciones
pertinentes en nuevos
nodos
Se realizo simulaciones de en donde se
demostró que ante nuevos nodos creados
la configuración de los mismo sin la
movilidad física es más rápida de manera
remota
Aprobado
105
Blindar los datos
transmitidos a través
de la red
Al ser TACAS+ un protocolo robusto a
causa de la encriptación total del paquete
a la hora de iniciar la sesión entre cliente
y servidor
Aprobado
Garantiza que no se
almacenen
credenciales en los
dispositivos de red
durante las sesiones
Al tener una centralización con la nueva
versión de TACACS, TACACS+
(TAC_PLUS), los usuarios creados se
guardarán solo y únicamente en el
servidor
Aprobado
Flexibilidad para la
gestión administración
Se realizo una demostración
virtualizando un nodo adicional donde se
pudo constatar que por medio del
servidor TACACS+ cierto usuario puede
pasar el filtro de autenticación, pero no
está autorizado para realizar ciertas
tareas.
Aprobado
Eliminación de
usuarios inactivos que
tienen privilegios
importantes para
acceder a la red
Se simulo la necesidad de eliminar un
usuario que pertenece a un personal que
ya no trabaja en la empresa así mismo se
creó el escenario en donde son varias las
credenciales que necesitan ser
eliminadas
Aprobado
la Delegación y
negación de ciertas
tareas para
determinados
usuarios.
Se seleccionaron 2 usuarios, el primero
podrá ejecutar ciertos comandos que el
segundo usuario no.
Aprobado
106
Conclusiones
Luego del respectivo proceso de estudio de la Implementación de un Prototipo de
Seguridad Basado en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE
finalmente se realizaron las pruebas pertinentes con la utilización herramientas
para la evaluación de la misma se alcanzó los objetivos específicos planteados
teniendo como conclusión las siguientes respuestas:
• Que el diseño de topología para la Implementación de un Prototipo de
Seguridad Basado en Raspberry Y Tacacs+ Para DISTRIBUIDORA
COMSUCRE fue totalmente compatible con la implementación e
indistintamente de la topología física la topología lógica centralizada de
TACACS+ o topología estrella no se verá afectada ante la puesta en
funcionamiento en cualquier tipo de red.
• Que el protocolo que utiliza la DISTRIBUIDORA COMSUCRE es OSPF,
así mismo las App que emplea en su funcionamiento diario como Windows
server 2016, app de facturación, PBX Grandstream UCM 5001, consola de
antivirus ESET, no se afectan negativamente y su funcionamiento es
normal ante la implementación del prototipo, también el equipo Raspberry
no afecta en lo absoluto al manejo diario de las actividades de la
DISTRIBUIDORA debido a que el cambio es a nivel de gestión de equipos
de red y no de tareas de equipos finales.
• Se pudo decidir la funcionalidad de TACACS+ con relación a las
herramientas que este provee a la administración, también se identificó y
se logró la conectividad de los equipos de la red con el servidor TACAS+
de manera exitosa.
• Al Situar el prototipo de seguridad sobre el contexto de los problemas
detectados se pudo observar su totalmente factibilidad en las redes que no
tienen una planificación frente al crecimiento de la misma, adaptándose
completamente a sus necesidades de resolver problemas existentes.
107
• Establecer un sistema AAA dio como resultado un dinamismo favorable
para la administración con los equipos de red, siendo TACACS+ el
intermediario entre ellos y se solucionaron distintos inconvenientes de
manera centralizada en una simulación realizada que arrojo resultados
favorables.
• Una vez presentada Implementación de un Prototipo de Seguridad Basado
en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE de parte de
los investigadores ambas partes quedaron conforme con los resultados
dando un veredicto mutuo muy aceptable, posterior a ello se procedió a
dar recomendaciones a tomar en cuenta.
Recomendaciones
Se recomienda designar 1 o 2 personas que tengan acceso a la configuración del
servidor TACACS+, no pueden ser más porque estarían aumentando la
vulnerabilidad del sistema de red, así mismo se sugiere que se creen grupos de
usuarios para el manejo y control de la Autenticación, Autorización y Auditoría para
dividir funciones y que la determinación de responsabilidades sea más detectable.
Se recomienda también consolidar la implementación del sistema de seguridad
basado en Tacacs+ y Raspberry integrando las mejores prácticas como norma en
la operatividad del sistema y por último se recomienda crear un cronograma en el
cual se establezca cada que tiempo se debe realizar las Auditorías pertinentes y
con ella dar forma a un historial que permita crear estadísticas que ayuden a la
tome de decisiones frente a incidentes que se presenten.
Se recomienda crear un entorno FIGURA para la gestión de las herramientas que
TACACS+ para una mejor interacción con el sistema.
108
Bibliografía
Allauca Gusqui, L. (2016). Diseño e implementación de un sistema de
seguridad para el acceso de la red inalámbrica del colegio Otto
Arosemena Gómez (tesis de pregrado). tesis, Guayaquil - Ecuador.
Obtenido de
http://www.dspace.espol.edu.ec/xmlui/handle/123456789/37242
Andrade Tubun, G. A. (2019). ANÁLISIS DE PRESTACIONES DE LOS
PROTOCOLOS DE AUTENTICACIÓN REMOTA RADIUS Y
TACACS+ EN INFRAESTRUCTURA DE COMUNICACIONES
CORPORATIVAS. Riobamba – Ecuador. Obtenido de
http://dspace.espoch.edu.ec/bitstream/123456789/10997/1/98T002
37.pdf
Belcic, I. (11 de 03 de 2020). www.avast.com. Obtenido de
www.avast.com: https://www.avast.com/es-es/c-what-is-a-proxy-
server
Bolaños Botina, J. (2018). Diseño de la arquitectura de seguridad
perimetral de la red informática en la industria de licores del valle.
Santiago de Cali, Colombia . Obtenido de
https://www.google.com/search?q=santiago+de+cali&oq=santiago+
de+cali&aqs=chrome..69i57j46j0l6.3945j1j7&sourceid=chrome&ie=
UTF-8
Bonilla Constante, M. (01 de 03 de 2016). Obtenido de "Análisis y Diseño
de un Sistema de Seguridad de Red Perimetral en la Empresa
Aseguradora del Sur - Matriz"
British Broadcasting Corporation, [BBC]. (28 de 07 de 2020). Andrey
Turchin, el hacker llamado "el dios invisible" al que acusan de robar
información de 300 empresas en 44 países. Obtenido de
www.bbc.com: https://www.bbc.com/mundo/noticias-53559843
109
CISCO. (08 de 01 de 2008). www.cisco.com. Obtenido de www.cisco.com:
https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-
authentication-dial-user-service-radius/13838-10.html
Cisco System, Inc. (31 de 05 de 2019). www.cisco.com. Obtenido de
www.cisco.com:
https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-
series-small-business-
routers/Configuring_DMZ_on_the_RV34x_Series_Router.html?dtid
=osscdc000283
Cunha Barbosa, D. (02 de 06 de 2020). www.welivesecurity.com.
Obtenido de www.welivesecurity.com:
https://www.welivesecurity.com/la-es/2020/01/02/que-es-proxy-
para-que-sirve/
Dávila, E. (19 de 09 de 2019). Los cuatro delitos informáticos más
recurrentes en Ecuador. Delitos informáticos. Obtenido de
https://www.primicias.ec/noticias/tecnologia/estos-delitos-
informaticos-mas-recurrentes-ecuador/
EL Comercio, [ EC ]. (18 de 09 de 2019). VpnMentor revela que hay más
datos de ecuatorianos expuestos: 'No nos sentíamos cómodos de
publicar'. TECNOLOGÍA. Obtenido de
https://www.elcomercio.com/tendencias/ecuador-informe-brecha-
datos-seguridad.html
Espinel Pilicita, J. (2019). “DISEÑO E IMPLEMENTACIÓN DE
SEGURIDAD A.A.A (AUTHENTICATION AUTHORIZATION AND
ACCOUNTING) EN LAS REDES WI-FI DEL GAD MUNICIPAL DEL
CANTÓN MEJÍA”. Latacunga, Ecuador. Obtenido de
http://repositorio.utc.edu.ec/bitstream/27000/5337/1/PI-001357.pdf
Fiscalía General del Estado. (2015). LOS DELITOS INFORMÁTICOS
VAN DESDE EL FRAUDE HASTA EL ESPIONAJE. Recuperado el
13 de 06 de 2015, de https://www.fiscalia.gob.ec/los-delitos-
informaticos-van-desde-el-fraude-hasta-el-espionaje/
110
flu-project.com. (02 de 01 de 2014). www.flu-project.com. (P. González,
Editor) Obtenido de https://www.flu-project.com: https://www.flu-
project.com/2014/01/las-tecnologias-triple-parte-iii-de-iii.html
Folleco Gonzalón, D. M. (2017). Evaluación de posibles
vulneabilidades/Auditoría de seguridad y propuesta de medidas de
mitigación dentro de la red interna Junta Nacional de Defensa de
Artesano. Quito , Ecuador. Obtenido de
http://dspace.udla.edu.ec/bitstream/33000/8303/1/UDLA-EC-TTRT-
2017-05.pdf
González Paz, A. (2017). MECANISMOS DE SEGURIDAD PARA LA RED
INALÁMBRICA LOCAL DE LA UNIVERSIDAD DE CIENFUEGOS
(Tesis de pregrado). Tesis, Santa Clara - Cuba. Obtenido de
http://dspace.uclv.edu.cu:8089/handle/123456789/8211
Instituto Nacional de Ciberseguridad de España. (15 de 02 de 2015).
www.incibe.es. (A. López , Ed.) Obtenido de www.incibe.es:
https://www.incibe.es/aviso-legal
Instituto Nacional de Ciberseguridad, [INCIBE]. (20 de 03 de 2017).
Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian? Informe
Investigativo, Madrid - España. Obtenido de
https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-
vulnerabilidad-sabes-se-diferencian
Internet Engineering Task Force [IETF]. (01 de 01 de 1993). tools.ietf.org.
Obtenido de tools.ietf.org: https://tools.ietf.org/html/draft-grant-
tacacs-02
Internet Engineering Task Force, [IETF]. (04 de 02 de 2016). tools.ietf.org.
(F. Gont, & F. Baker, Edits.) Obtenido de tools.ietf.org:
https://tools.ietf.org/html/draft-gont-opsawg-firewalls-analysis-02
Internet Engineering Task Force, IETF. (01 de 09 de 2020). www.ietf.org.
(D. Thorsten , & O. Andrej , Edits.) Obtenido de www.ietf.org:
https://www.ietf.org/id/draft-ietf-opsawg-tacacs-18.txt
111
lnstitute of Electrical and Electronics Engineers, [IEEE]. (02 de 02 de
2010). standards.ieee.org. Obtenido de ieeexplore.ieee.org:
https://standards.ieee.org/standard/802_1X-2010.html
Mamani Herrera, L. J. (2019). Diseño e implementación de un sistema de
administración, autenticación y control en el estándar 802.11 en el
Centro de Comunicaciones de la Universidad Nacional del Altiplano
(tesis de pregrado). tesis, Puno - Peu. Obtenido de
http://repositorio.unap.edu.pe/handle/UNAP/11860
Microsoft. (07 de 09 de 2018). www.microsoft.com. Obtenido de
https://docs.microsoft.com/: https://docs.microsoft.com/es-
es/sharepoint/administration/yammer-networks-groups-and-users-
overview
Microsoft Corporation. (2016). Seguridad inteligente: el uso del
aprendizaje automático para ayudar a detectar ciberataques
avanzados.
Oracle. (01 de 01 de 2011). ww.oracle.com. Obtenido de ww.oracle.com:
https://docs.oracle.com/cd/E24842_01/html/E23286/concept-4.html
Organización Internacional del Trabajo, O.I.T. (10 de 11 de 2016).
www.ilo.org. Obtenido de www.ilo.org:
https://www.ilo.org/global/lang--es/index.htm
Pérez Porto, J., & Merino, M. (2015). https://definicion.de. Obtenido de
https://definicion.de: https://definicion.de/proyecto-
factible/#:~:text=Un%20proyecto%20se%20compone%20de,susce
ptible%20de%20realizaci%C3%B3n%20o%20concreci%C3%B3n.
Porto, J. P. (2015). definicion.de. Obtenido de
https://definicion.de/proyecto-factible/
Ramírez Pírez, M., & Gómez Lorentty, J. (01 de 01 de 2017).
www.paloaltonetworks.com. Obtenido de
www.paloaltonetworks.com:
paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-
system-ips
112
Request For Coments [RFC]. (01 de 07 de 1993). www.rfc-editor.org. (F.
Craig A, Ed.) Obtenido de www.rfc-editor.org: https://www.rfc-
editor.org/rfc/rfc1492.txt
rootear.com. (15 de 06 de 2015). https://rootear.com. Obtenido de
https://rootear.com: https://rootear.com/seguridad/md5-como-
funciona-usos
The Internet Society. (Julio de 2000). www.rfc-editor.org. (M. D., & M.
Beadles, Edits.) Obtenido de https://www.rfc-
editor.org/rfc/rfc2881.txt
Urbina, G. B. (2016). Introducción a la Seguridad Informática. Mexico,
Mexico: Grupo Editorial Patria.
Valdez Juárez, L. E., Perez de Lema, D. G., & Maldonado Guzmán, G.
(2017). TIC y la gestión del conocimiento como elementos
determinantes (Tesis de pregrado). Universidad Autónoma de
Aguascalientes, Aguascalientes, México.
Valdivieso Villamarín, A. (01 de 05 de 2015). Diseño e Implementación y
Políticas de seguridad mediante un servidor AAA, Haciendo uso del
Estándar IEEE 802.1X y los protocolos Radius y Tacacs+ para la
Red Corporativa de la Empresa Proyectos Integrales del Ecuador.
Quito, Ecuador. Obtenido de
https://dspace.ups.edu.ec/bitstream/123456789/10192/1/UPS%20-
%20ST001851.pdf
Venturini, G. (16 de 07 de 2020). www.tecnologia-informatica.com.
Obtenido de www.tecnologia-informatica.com:
https://www.tecnologia-informatica.com/que-es-un-antivirus-como-
funciona/
www.networkworld.es. (04 de 07 de 2018). www.networkworld.es. (J.
Fruhlinger, Editor) Obtenido de www.networkworld.es:
https://www.networkworld.es/seguridad/que-es-la-seguridad-de-la-
red
113
ANEXOS
Anexo N. 1
Formato de Encuesta Realizada a los Colaboradores de la
DISTRIBUIDORA COMSUCRE.
Pregunta N°1
¿Evalué con qué frecuencia se presentan accesos no autorizados a la red
de la DISTRIBUIDORA COMSUCRE?
Frecuentemente
Ocasionalmente
Rara vez
Nunca
Pregunta N°2
¿Con que frecuencia se actualiza los mecanismos de seguridad en la red
de la DISTRIBUIDORA COMSUCRE?
Frecuentemente
Ocasionalmente
Rara vez
Nunca
114
Pregunta N°3
¿Qué tan frecuente usted accede a los equipos de red de la
DISTRIBUIDORA COMSUCRE?
Frecuentemente
Ocasionalmente
Rara vez
Nunca
Pregunta N°4
¿Califique usted los niveles de control de acceso que se realizan en los
equipos de red de la DISTRIBUIDORA COMSUCRE?
Alto
Medio
Bajo
Pregunta N°5
¿Evalúe usted el control de cambios de clave de administración hacia los
equipos de red local y remoto de la DISTRIBUIDORA COMSUCRE?
Excelente
Bueno
Satisfactorio
No satisfactorio
Pregunta N°6
¿Tomando en cuenta que un servidor Tacacs+ de bajo presupuesto puede
facilitar la administración de los equipos de red y a su vez facilitar la
obtención de un log de accesos y tareas aprobaría su implementación
dentro de la DISTRIBUIDORA COMSUCRE?
115
Si aprobaría
No aprobaría
Neutral
Pregunta N°7
¿Evalué usted la importancia en la obtención de un log con los accesos y
acciones que se realizan en los equipos de red?
Muy importante
Importante
Poco Importante
No es importante
Pregunta N°8
¿Facilitaría una administración centralizada de los usuarios y permisos a
los equipos de red de la DISTRIBUIDORA COMSUCRE?
Excelente
Buena
Mala
Pesima
116
Anexo N. 2
Diseño de la Red de la Distribuidora Comsucre.
117
Anexo N. 3
Carta de Autorización para la Implementación del Proyecto
118
Anexo N. 4
Acta de Aceptación del Proyecto
119
Anexo N. 5
Manual de Usuario
Acceso por modo Figura: Se ingresa desde el equipo Ubuntu Desktop y en el
lanzador ubucar nuestra carpeta personal, en la parte inferior damos clic en
conectar con servidor y en el textbox agregamos la siguiente línea
smb://192.168.0.50/samba-logs/ luego dar clic en conectar, en este proceso
solicitara la clave del usuario de ubuntu otorgada al administrador de la
DISTRIBUIDORA COMSUCRE.
Acceso a recursos compartidos
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Visualización de logs de eventos Tacacs+: Para la visualización de los logs
podremos realizarlo de dos maneras ya sea directamente desde el servidor
ingresando a la siguiente ruta.
120
Tambien podremos visualizar el archivo despues del proceso de repaldo
de log detallado anteriormente el cual se alojaran los archivos en la ruta
compartida en nuestro servidor smb://192.168.0.50/samba-logs/.
Visualización logs de respaldo Tacacs+
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Respaldo de logs Tacacs+: Se recomienda una vez implementado el servidor
Tacacs+ realizar mantenimientos periódicos del log de evento tac_plus.acct con
el fin que este no llene el almacenamiento de nuestro servidor.
Se copia el archivo /var/log/tac_plus.acct en la carpeta compartida /samba para
poder extraerla y a su vez respaldar, en este ejemplo se recomienda colocar un
identificador como ejemplo la fecha en la que se copia el archivo como se visualiza
a continuación.
121
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Luego de este proceso se valida el archivo creado en la ruta /samba y listamos su
contenido con el comando ls como se aprecia a continuación.
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Eliminación de log proceso de mantenimiento: Luego de la copia y respaldo
respectivo el cual debe ser ejecutado por el administrador se procede deteniendo
el servicio tacacs_plus.service para luego proceder con la eliminación del archivo
de log tac_plus.acct.
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Ahora procederemos con la eliminación del log por motivo de mantenimiento,
tomar muy en consideración tener respaldo en archivo antes de proceder con la
eliminación.
122
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Luego de la eliminación se procederá con la creación del archivo log en su ruta
original dando el comando a continuación.
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Luego procederemos a listar la ruta /var/log para cerciorarnos que el log esta
creado caso contrario repita el paso anterior.
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Por último procederemos a levantar el servicio Tacacs+ y listo.
123
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
Elaborado por: Alan Ramirez – Javier Rivera
Fuente: Datos de la Investigacion
124
Anexo N. 6
DATASHEET Raspberry Pi
125
126
127
128
Anexo N. 7
DATASHEET AP Cisco AIR-LAP1142N-A-K9
129
130
131
132
133
Anexo N. 8
DATASHEET ROUTER Cisco 2911-K9
134
135