UNIVERSIDAD DE GUAYAQUILrepositorio.ug.edu.ec/bitstream/redug/49458/1/B-CINT-PTG... · 2020. 11....

III

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES

IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD BASADO EN

RASPBERRY Y TACACS+ PARA DISTRIBUIDORA COMSUCRE

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR (ES):

ALAN FABIAN RAMIREZ SUAREZ

JOSE JAVIER RIVERA CAMPUZANO

TUTOR: LIC. PILAR DEL ROCIO PINEDA RENTERIA

GUAYAQUIL – ECUADOR

2020

IV

REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGIA

FICHA DE REGISTRO DE TESIS/ TRABAJO DE GRADUACION

TITULO: IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD

BASADO EN RASPBERRY Y TACACS+ PARA DISTRIBUIDORA

COMSUCRE

AUTORES:

Ramírez Suarez Alan Fabian

Jose Javier Rivera Campuzano

TUTOR: Lcda. Pilar Del Rocio Pineda Renteria

REVISOR: Lcda Janeth Diaz Vera

INSTITUCIÓN: Universidad de

Guayaquil

FACULTAD: Ciencias Matemáticas y

Física

CARRERA: Ingeniería Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: No. de Pág.. 164

AREA TEMATICA: Seguridad en redes

PALABRA CLAVE: Implementación, seguridad, Raspberry, Tacacs+

RESUMEN: La presente investigación tiene como objetivo general Implementar

un Prototipo de Seguridad basado en Raspberry y TACACS+ para la empresa

Distribuidora COMSUCRE debido a que la seguridad informática de la red de la

no es segura frente a una desorganización estructural de la red a nivel

administrativo, considerando también que los datos que se envían a través de

ella son vulnerables ante ataques, robo de información, filtración de intrusos

entre otras, se pretende centralizar la administración de la red para la gestión

de la misma facilitando la creación de usuarios, eliminación de credenciales, la

flexibilidad ante una red escalable entre otros. Para esto hemos Tomado en

consideración fundamentos teóricos de las tecnologías que se van a usar

mediante la metodología investigativa PMBOOK, con dicho método se ira

V

detallando de manera clara cada etapa de la investigación hasta su cierre

respectivo y visualizar los resultados obtenidos.

ABSTRACT : The general objective of this research is to implement a Security

Prototype based on Raspberry and TACACS + for the company

DISTRIBUIDORA COMSUCRE because the computer security of the network is

not secure against a structural disorganization of the network at an

administrative level, also considering that the data that is sent through it is

vulnerable to attacks, information theft, infiltration of intruders among others, it

is intended to centralize the administration of the network for the management

of it, facilitating the creation of users, deletion of credentials, flexibility before a

scalable network among others. For this we have taken into consideration

theoretical foundations of the technologies that are going to be used through the

PMBOOK investigative methodology, with this method each stage of the

investigation will be clearly detailed until its respective closure and the results

obtained can be viewed

No DE REGISTRO: NO DE CALIFICACIÓN

DIRECCION URL:

ADJUNTO PDF SI X NO

CONTACTO DE AUTORES:

Alan Fabian Ramírez Suarez


TELEFONOS: E-MAIL:

0980827086 [email protected]

046043015

0987365320 [email protected]

CONTACTO DE LA INSTITUCIÓN:

Ab. Juan Chávez Atocha, Esp

2307724

III

APROBACION DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “IMPLEMENTACIÓN DE UN

PROTOTIPO DE SEGURIDAD BASADO EN RASPBERRY Y TACACS+ PARA

DISTRIBUIDORA COMSUCRE “elaborado por los Sr.

ALAN FABIAN RAMIREZ SUAREZ con C.I. 0930287388 Y JOSE JAVIER

RIVERA CAMPUZANO con C.I. 0919367615, Alumno no titulado de la Carrera de

Ingeniería en Networking y Telecomunicaciones, Facultad de Ciencias

Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del

Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que

luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes.

Atentamente,

Lcda. Pilar del Rocio Pineda Renteria

TUTOR

IV

DEDICATORIA

Alan F. Ramírez

Dedico este proyecto final a mi

Hijo Dylan Ramírez Peñarrieta

como una muestra de

dedicación y esfuerzo que

certifica que las metas se

pueden alcanzar pese a todo

adversidad que se presente y

te incentivo a que forjes tu

formación profesional de la

mejora manera y con

dedicación. También quiero

dedicarlo indiscutiblemente a

mi Madre Fanny Suárez

Córdova y Enrique Ramírez

Campuzano, este logro que he

conseguido a gracias ustedes

fruto de tu dedicación en mi

crianza.

V

Javier Rivera

Dedicamos este proyecto a

nuestros familiares, amigos

como muestra de dedicación y

esfuerzo para conseguir

objetivos, también lo

dedicamos a la facultad de

ciencias y matemáticas y

físicas y sus directivos.

VI

AGRADECIMIENTO

Alan F. Ramírez

Agradecimiento a los Ingenieros

y Docentes de la Facultad de

Ciencias Matemáticas y Física

de la Universidad de Guayaquil

por su aporte en mi formación

como profesional, a mi Madre

Fanny Suárez Córdova, a mi

Padre Enrique Alberto Ramírez,

a mi hermano Bryan Ramírez y

mi hermana Michelle Ramírez

que desde lejos siempre me

apoyo durante mi formación, a

la Dr. Rosa Elena Rosero por

motivar mis estudios, a mi

Amigo Alex Pérez Erazo por su

acompañamiento en mis metas

y a mis compañeros de estudio

que siempre me brindaron su

ayuda.

VII

Javier Rivera

Agradecimiento a los Ingenieros

y Docentes de la Facultad de

Ciencias Matemáticas y Física

de la Universidad de Guayaquil

por su aporte en mi formación

como profesional, a mi Madre

Carmen Campuzano, a mi

Padre José Rivera, a mi esposa

Mariela Daza y mis hijos

Francisco, Dustin y José y a mis

hermanas Cira Rivera y

Katiusca Rivera y todos mis

familiares por los consejos y

ánimos para seguir adelante.

VIII

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Fausto Cabrera Montes, M.Sc. Ing. Abel Alarcón Salvatierra, Mgs

DECANO DE LA FACULTAD DIRECTOR DE LA CARRERA DE

CIENCIAS MATEMATICAS INGENIERIA EN NETWORKING

Y FISICAS Y TELECOMUNICACIONES

Ing. Luis Espín Pazmiño M. Sc Lcda. Janeth Diaz Vera M. Sc

Nombres y Apellidos Nombre y Apellidos

PRESIDENTE PROFESOR REVISOR

TRIBUNAL TRIBUNAL

Ing. Christian Picon Farah

Nombres y Apellidos

PROFESOR DEL AREA

TRIBUNAL

Lcda. Pilar Del Rocio Pineda Renteria

Nombre y Apellidos

PROFESOR TUTOR DEL PROYECTO

DE TITULACION

Ab. Juan Chávez Atocha, Esp.

SECRETARIO (E) DE LA FACULTAD

IX

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponden

exclusivamente; y el patrimonio intelectual de

la misma a la UNIVERSIDAD DE

GUAYAQUIL”

ALAN FABIAN RAMIREZ SUAREZ

C.I. 0930287388


C.I.0919367615

X


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS


TELECOMUNICACIONES

IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD

BASADO EN RASPBERRY Y TACACS+

PARA LA DISTRIBUIDORA COMSUCRE

Proyecto de Titulación que se presenta como requisito para optar por el título de

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autores: ALAN FABIAN RAMIREZ SUAREZ

C.I. 0930287388


C.I.09193676

Tutor: LCDA. PILAR DEL ROCIO PINEDA RENTRIA

Guayaquil, 28 de octubre del 2020

XI

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por los

estudiantes ALAN FABIAN RAMIREZ SUAREZ con C.I. 0930287388 y JOSE

JAVIER RIVERA CAMPUZANO con C.I.0919367615, como requisito previo para

optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo título es:

IMPLEMENTACIÓN DE UN PROTOTIPO DE SEGURIDAD BASADO EN

RASPBERRY Y TACACS+ PARA LA DISTRIBUIDORA COMSUCRE

Considero aprobado el trabajo en su totalidad.

Presentado por:

ALAN FABIAN RAMIREZ SUAREZ C.I. 0930287388

JOSE JAVIER RIVERA CAMPUZANO C.I. 0919367615

Tutor: Lcda. Pilar Del Rocio Pineda Renteria

Guayaquil, 28 de octubre de 2020

XII


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS


TELECOMUNICACIONES

Autorización para Publicación de Proyecto de Titulación en Formato Digital

1. Identificación del Proyecto de Titulación

Nombre Alumno: Alan Fabian Ramírez Suarez

Dirección: 6 de marzo 2708 y Letamendi

Teléfono: 0980827076 - 046043015 E-mail: [email protected]

Nombre Alumno: Jose Javier Rivera Campuzano

Dirección: Mucho Lote

Teléfono: 0919367615 E-mail: [email protected]

Facultad: Ciencias Matemáticas y Física

Carrera: Ingeniería Networking y Telecomunicaciones

Proyecto de titulación al que opta: Ingeniería Networking y

Telecomunicaciones

Profesor guía: Lcda. Pilar Del Roció Pineda Rentería

Título del Proyecto de titulación: Implementación de un Prototipo De

seguridad basado en Raspberry y TACACS+ para la DISTRIBUIDORA

COMSUCRE.

XIII

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a

la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de

este Proyecto de titulación.

Publicación electrónica:

Inmediata Después de 1 año

Alan Fabian Ramírez Suarez Jose Javier Rivera Campuzano

3. Forma de envío:

El texto del proyecto de titulación debe ser enviado en formato Word, como archivo

.Doc. O .RTF y Puf para PC. Las imágenes que la acompañen pueden ser: .gif,

.jpg o .TIFF.

DVDROM CDROM

XIV

ÍNDICE GENERAL

APROBACION DEL TUTOR ............................................................................ III

DEDICATORIA ................................................................................................... IV

AGRADECIMIENTO .......................................................................................... VI

ÍNDICE GENERAL .......................................................................................... XIV

ÍNDICE DE TABLAS ..................................................................................... XVIII

ÍNDICE DE FIGURA ......................................................................................... XX

RESUMEN .................................................................................................... XXVII

ABSTRAC .................................................................................................... XXVIII

INTRODUCCIÓN .................................................................................................. 1

CAPÍTULO I - EL PROBLEMA .......................................................................... 4

Ubicación del Problema en un Contexto ...................................................... 4

Situación Conflicto Nudos Críticos ................................................................ 6

Causas y Consecuencias del Problema ....................................................... 8

Delimitación del Problema .............................................................................. 9

Formulación del Problema .............................................................................. 9

Evaluación del Problema .............................................................................. 10

Objetivos Generales ...................................................................................... 11

Objetivos Específicos .................................................................................... 11

Alcances Del Problema ................................................................................. 11

Justificación e Importancia ............................................................................ 14

Metodología del proyecto .............................................................................. 17

CAPÍTULO II - MARCO TEÓRICO ................................................................. 20

Antecedentes del Estudio ............................................................................. 20

Fundamentación Teórica .............................................................................. 24

Fundamentación Legal .................................................................................. 52

Pregunta Científica para Contestarse ......................................................... 58

XV

Definiciones Conceptuales ........................................................................... 59

CAPÍTULO III PROPUESTA TECNOLÓGICA ............................................. 60

Análisis de Factibilidad .................................................................................. 60

Factibilidad de Operacional .......................................................................... 60

Factibilidad Tecnica ....................................................................................... 61

Factibilidad Legal ............................................................................................ 62

Factibilidad Economica .................................................................................. 63

Etapas de la metodología del proyecto ...................................................... 63

Inicio del Proyecto ...................................................................................... 63

Planificación del Proyecto ......................................................................... 68 Ejecución del Proyecto .............................................................................. 71

Monitoreo y Control .................................................................................... 94 Cierre del Proyecto .................................................................................... 94

Entregables del proyecto .............................................................................. 94

Criterios de Validación de la Propuesta ...................................................... 94

Procesamiento y Analisis .............................................................................. 95

Población y Muestra .................................................................................. 95

Encuesta ...................................................................................................... 95 Validación Hipotesis ................................................................................. 103

CAPÍTULO IV ................................................................................................... 104

Criterios de aceptación del producto o Servicio ...................................... 104

Conclusiones ................................................................................................. 106

Recomendaciones ........................................................................................ 107

Bibliografia ..................................................................................................... 108

Anexos ........................................................................................................... 113

XVI

ABREVIATURAS

ABP Aprendizaje Basado en Problemas

UG Universidad de Guayaquil

FTP Archivos de Transferencia

AAA Autenticación, Autorización Y Contabilización.

IEEE Institute of Electrical and Electronics Engineers

LAN Local Area Network

WLAN Wireless Local Area Network

UG Universidad de Guayaquil

FTP Archivos de Transferencia

http Protocolo de transferencia de Hyper Texto

Ing. Ingeniero

CC.MM.FF Facultad de Ciencias Matemáticas y Físicas

IAS Servicio de autenticación de Internet

ACS Access Control Server

HTML Lenguaje de Marca de salida de Hyper Texto

ISP Proveedor de Servicio de Internet

Msc. Master

URL Localizador de Fuente Uniforme

WWW World Wide Web (red mundial)

CSO Chief Security Officer

MP5 Maschinenpistole-5

PYMES Pequeña y mediana empresa

TACACS Terminal Access Controller Access Control System

RADIUS Remote Authentication Dial-In User Service

OSPF Open Shortest Path First

NAS Network Access Server

XVII

SIMBOLOGÍA

Router

Switch

Firewall

servidores

Laptop

XVIII

ÍNDICE DE TABLAS

TABLA NO.1 .......................................................................................................... 8

CAUSAS Y CONSECUECIAS ........................................................................... 8

TABLA N. 2 ............................................................................................................ 9

DELIMITACIÓN DEL PROBLEMA .................................................................... 9

TABLA N. 3 .......................................................................................................... 16

RELEVANCIA DE UN SISTEMA AAA LAS REDES .................................... 16

TABLA N. 4 .......................................................................................................... 17

METODOLOGÍA APLICADA ............................................................................ 17

TABLA N. 5 .......................................................................................................... 28

AMENAZA DE SEGURIDAD ............................................................................ 28

TABLA N.6 ........................................................................................................... 34

FUNCIONES DE IDP E ISP ............................................................................. 34

TABLA N.7 ........................................................................................................... 42

PROCESO GENERAL DE LA AUTENTICACIÓN ........................................ 42

TABLA N.8 ........................................................................................................... 45

BENEFICIOS DEL USO DEL PROTOCOLO TCP ....................................... 45

TABLA N.9 ........................................................................................................... 49

ATRIBUTOS DEL PAQUETE DE TACACS+ ................................................ 49

TABLA N.10 ........................................................................................................ 66

CARACTERÍSTICAS DEL RASPBERRY PI 3 .............................................. 66

TABLA N.11 ........................................................................................................ 66

CARASTERICTICAS DEL AP CISCO-LAP1142N-A-K9 ............................. 66

TABLA N.12 ........................................................................................................ 67

CARACTERISTICAS DE ROUTER CISCO 2911-K9 .................................. 67

TABLA N.13 ........................................................................................................ 67

REQUERIMIENTO DE SOFTWARE............................................................... 67

TABLA N.14 ........................................................................................................ 78

PARÁMETROS DEL ARCHIVO DE CONFIGURACIÓN TAC_PLUS.CON

............................................................................................................................... 78

XIX

TABLA N.15 ........................................................................................................ 95

RESULTADO DE LA ENCUESTA: PREGUNTA 1 ....................................... 95

TABLA N.16 ........................................................................................................ 96

RESULTADO DE LA ENCUESTA - PREGUNTA 2 ...................................... 96

TABLA N.17 ........................................................................................................ 97


TABLA N.18 ........................................................................................................ 98


TABLA N.19 ........................................................................................................ 99


TABLA N.20 ...................................................................................................... 100

RESULTADO DE LA ENCUESTA: PREGUNTA 6 ..................................... 100

TABLA N.21 ...................................................................................................... 101

RESULTADO DE LA ENCUESTA - PREGUNTA 7 .................................... 101

TABLA N.22 ...................................................................................................... 102

RESULTADO DE LA ENCUESTA - PREGUNTA 8 .................................... 102

TABLA N.23 ...................................................................................................... 104

CRITERIOS DE ACEPTACIÓN ..................................................................... 104

XX

ÍNDICE DE FIGURAS

FIGURA N.1 ........................................................................................................ 14

DELITOS INFORMÁTICOS .............................................................................. 14

FIGURA N.2 ........................................................................................................ 19

METODOLOGÍA DEL PROYECTO: PMBOOK ............................................. 19

FIGURA N.3 ........................................................................................................ 25

DELITOS INFORMÁTICOS EN ECUADOR .................................................. 25

FIGURA N.4 ........................................................................................................ 26

RESTRICCIONES DE SEGURIDAD PARA .................................................. 26

FIGURA N.5 ........................................................................................................ 27

RIESGO ............................................................................................................... 27

FIGURA N.6 ........................................................................................................ 29

REDES INTERNAS Y EXTERNAS ................................................................. 29

FIGURA N.7 ........................................................................................................ 30

MAPA TOPOLÓGICO DE RED DE GESTIÓN ............................................. 30

FIGURA N.8 ........................................................................................................ 32

DIAGRAMA DE FUNCIONAMIENTO DEL FIREWALL ............................... 32

FIGURA N.9 ........................................................................................................ 35

ANTIVIRUS ......................................................................................................... 35

FIGURA N.10 ...................................................................................................... 36

TOPOLOGÍA PROXY ........................................................................................ 36

FIGURA N. 11 ..................................................................................................... 36

TOPOLOGÍA PROXY ........................................................................................ 36

FIGURA N.13 ...................................................................................................... 38

TOPOLOGIA DE SUBRED DMZ ..................................................................... 38

FIGURA N.12 ...................................................................................................... 37

TOPOLOGIA DE HOST DMZ........................................................................... 37

FIGURA N. 14 ..................................................................................................... 41

MODELO AAA .................................................................................................... 41

FIGURA N.15 ...................................................................................................... 47

XXI

PROCESO AAA .................................................................................................. 47

FIGURA N.16 ...................................................................................................... 48

PAQUETE TACACS+ ........................................................................................ 48

FIGURA N.17 ...................................................................................................... 50

THE AUTHENTICATION START PACKET BODY ....................................... 50

FIGURA N.18 ...................................................................................................... 51

THE AUTHORIZATION REQUEST PACKET BODY ................................... 51

FIGURA N.19 ...................................................................................................... 51

THE ACCOUNT REQUEST PACKET BODY ................................................ 51

FIGURA N.20 ...................................................................................................... 52

COMPARATIVA DIFERENTES PROTOCOLOS DE ARQUITECTURA

AAA ....................................................................................................................... 52

FIGURA N.21 ...................................................................................................... 62

DISEÑO DE LA RED DISTRIBUIDORA COMSUCRE. ............................... 62

FIGURA N.22 ...................................................................................................... 65

PLACA RASPBERRY PI 3 MODEL B ............................................................ 65

FIGURA N.23 ...................................................................................................... 65

CASE RASPBERRY .......................................................................................... 65

CRONOGRAMA DE ACTIVIDADES - DOCUMENTACIÓN ....................... 70

CRONOGRAMA DE ACTIVIDADES – PRUEBAS ....................................... 70

FIGURA N. 24 ..................................................................................................... 72

RED DISTRIBUIDORA COMSUCRE ............................................................. 72

FIGURA N.25 ...................................................................................................... 73

CARGA DE S.O CON PROGRAMA WIN32 DISK IMAGER ....................... 73

FIGURA N.26 ...................................................................................................... 74

CARGA DE S.O CON PROGRAMA WIN32 DISK IMAGER ....................... 74

FIGURA N. 27 ..................................................................................................... 75

PUERTOS RASPBERRY PI 3 MODEL B ...................................................... 75

FIGURA N.28 ...................................................................................................... 75

ACTUALIZACIÓN DEL S.O UBUNTU SERVER........................................... 75

FIGURA N.29 ...................................................................................................... 76

XXII

INSTALACIÓN SERVICIO TACACS+ ............................................................ 76

FIGURA N.30 ...................................................................................................... 77

SERVICIO TACACS+ ........................................................................................ 77

FIGURA N.31 ...................................................................................................... 77

ARCHIVO LOG TACAS+ .................................................................................. 77

FIGURA N. 32 ..................................................................................................... 78

ARCHIVO DE CONFIGURACIÓN TACACS+ ............................................... 78

FIGURA N.33 ...................................................................................................... 79

CONFIGURACION DE USUARIOS ................................................................ 79

FIGURA N.34 ...................................................................................................... 79

CONFIGURACION DE PASSWORD .............................................................. 79

FIGURA N.35 ...................................................................................................... 80

CONFIGURACION DE PRIVILEGIO .............................................................. 80

FIGURA N.36 ...................................................................................................... 80

CONFIGURACION DE GRUPOS .................................................................... 80

FIGURA N.37 ...................................................................................................... 81

CONFIGURACIÓN DE EQUIPOS CISCO ..................................................... 81

FIGURA N.38 ...................................................................................................... 82

INSTALACION DE PUTTY ............................................................................... 82

FIGURA N.39 ...................................................................................................... 82

ACCESO REMOTO POR PUTTY ................................................................... 82

FIGURA N.40 ...................................................................................................... 83


FIGURA N.41 ...................................................................................................... 84


FIGURA N.42 ...................................................................................................... 85

INGRESO EN MODO ROOT ........................................................................... 85

FIGURA N.43 ...................................................................................................... 85

ESTATUS SERVICIO SAMBA ......................................................................... 85

FIGURA N.44 ...................................................................................................... 86

ARCHIVO DE CONFIGURACIÓN SAMBA .................................................... 86

XXIII

FIGURA N.45 ...................................................................................................... 88

ACCESO A RECURSOS COMPARTIDOS ................................................... 88

FIGURA N.46 ...................................................................................................... 89

VISUALIZACIÓN LOGS DE RESPALDO TACACS+ ................................... 89

FIGURA N.47 ...................................................................................................... 89

INSTALACIÓN DE KSYSTEMLOG ................................................................. 89

FIGURA N.48 ...................................................................................................... 90

VISUALIZACIÓN KSYSTEMLOG .................................................................... 90

FIGURA N.49 ...................................................................................................... 90

VISUALIZACIÓN LOG DE CONTABILIZACIÓN TACACS+ ....................... 90

FIGURA N.50 ...................................................................................................... 91

COPIA DE ARCHIVO ........................................................................................ 91

FIGURA N.51 ...................................................................................................... 91

COMANDO LS .................................................................................................... 91

FIGURA N.52 ...................................................................................................... 92

ELIMINACION DE LOG POR MANTENIMIENTO ........................................ 92

FIGURA N.53 ...................................................................................................... 93

LISTA DE RUTAS .............................................................................................. 93

FIGURA N.54 ...................................................................................................... 93

INICIALIZACION DE TACACS+ ...................................................................... 93

XXIV

ÍNDICE DE GRAFICOS

GRÁFICO N.1 ..................................................................................................... 64

PRESUPUESTO DE IMPLEMENTACIÓN ..................................................... 64

GRÁFICO N.2 ..................................................................................................... 68

CRONOGRAMA DE ACTIVIDADES ............................................................... 68

GRÁFICO N.3 ..................................................................................................... 69

CRONOGRAMA DE ACTIVIDADES - ANÁLISIS ......................................... 69

GRÁFICO N.4 ..................................................................................................... 69

CRONOGRAMA DE ACTIVIDADES - IMPLEMENTACIÓN ....................... 69

GRÁFICO N.5 ..................................................................................................... 70

CRONOGRAMA DE ACTIVIDADES - DOCUMENTACIÓN ....................... 70

GRÁFICO N.6 ..................................................................................................... 70

CRONOGRAMA DE ACTIVIDADES – PRUEBAS ....................................... 70

GRÁFICO N.7 ..................................................................................................... 71

CRONOGRAMA DE ACTIVIDADES – CONCLUSIONES Y

RECOMENDACIONES ..................................................................................... 71

GRÁFICO N.8 ..................................................................................................... 96

RESULTADOS DE LA ENCUESTA - PREGUNTA 1 ................................... 96

GRÁFICO N.9 ..................................................................................................... 97


GRÁFICO N.10 ................................................................................................... 98


GRÁFICO N.11 ................................................................................................... 99


GRÁFICO N.12 ................................................................................................. 100

RESULTADOS DE LA ENCUESTA - PREGUNTA 5 ................................. 100

GRÁFICO N.13 ................................................................................................. 101


GRÁFICO N.14 ................................................................................................. 102


XXV

GRÁFICO N.15 ................................................................................................. 103


XXVI

ÍNDICE DE ANEXOS

ANEXO N. 1 .................................................................................................... 113

FORMATO DE ENCUESTA REALIZADA A LOS COLABORADORES DE LA

DISTRIBUIDORA COMSUCRE ....................................................................... 113

ANEXO N. 2 .................................................................................................... 116

DISEÑO DE LA RED DE LA DISTRIBUIDORA COMSUCRE. ......................... 116

ANEXO N. 3 .................................................................................................... 117

CARTA DE AUTORIZACIÓN PARA LA IMPLEMENTACIÓN DEL PROYECTO

........................................................................................................................ 117

ANEXO N. 4 .................................................................................................... 118

ACTA DE ACEPTACIÓN DEL PROYECTO .................................................... 118

ANEXO N. 5 .................................................................................................... 119

MANUAL DE USUARIO ................................................................................... 119

ANEXO N. 6 .................................................................................................... 124

DATASHEET RASPBERRY PI ........................................................................ 124

ANEXO N. 7 .................................................................................................... 128

DATASHEET AP CISCO AIR-LAP1142N-A-K9 ............................................... 128

ANEXO N. 8 .................................................................................................... 133

DATASHEET ROUTER CISCO 2911-K9 ......................................................... 133

XXVII



CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

Implementación de un Prototipo de Seguridad

basado en Raspberry y TACACS+

para la DISTRIBUIDORA COMSUCRE

Autores:



Tutor:


RESUMEN

La presente investigación tiene como objetivo general Implementar un Prototipo

de Seguridad basado en Raspberry y TACACS+ para la empresa Distribuidora

COMSUCRE debido a que la seguridad informática de la red de la no es segura

frente a una desorganización estructural de la red a nivel administrativo,

considerando también que los datos que se envían a través de ella son

vulnerables ante ataques, robo de información, filtración de intrusos entre otras,

se pretende centralizar la administración de la red para la gestión de la misma

facilitando la creación de usuarios, eliminación de credenciales, la flexibilidad ante

una red escalable entre otros. Para esto hemos Tomado en consideración

fundamentos teóricos de las tecnologías que se van a usar mediante la

metodología investigativa PMBOOK, con dicho método se ira detallando de

manera clara cada etapa de la investigación hasta su cierre respectivo y visualizar

los resultados obtenidos.

Palabras clave: Implementación, seguridad, Raspberry, Tacacs+.

XXVIII



CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES

Implementation of a Security Prototype

based on Raspberry and TACACS +

for DISTRIBUIDORA COMSUCRE.

Authors:



Tutor:


ABSTRAC

The general objective of this research is to implement a Security Prototype based

on Raspberry and TACACS + for the company DISTRIBUIDORA COMSUCRE

because the computer security of the network is not secure against a structural

disorganization of the network at an administrative level, also considering that the

data that is sent through it is vulnerable to attacks, information theft, infiltration of

intruders among others, it is intended to centralize the administration of the network

for the management of it, facilitating the creation of users, deletion of credentials,

flexibility before a scalable network among others. For this we have taken into

consideration theoretical foundations of the technologies that are going to be used

through the PMBOOK investigative methodology, with this method each stage of

the investigation will be clearly detailed until its respective closure and the results

obtained can be viewed

Keywords: Implementation, security, Raspberry, Tacacs+

1

INTRODUCCIÓN

El crecimiento de las redes es imparable durante los últimos años la tecnología ha

avanzado de manera acelerada y al mismo tiempo la adquisición e

implementación de equipos se ha vuelto cada vez más rutinario dentro del mundo

empresarial que tiende a crecer, evolucionar e innovar; esto implica que al abrir

una sucursal o un nuevo punto de venta se deba configurar y gestionar un nodo

más, así como brindar seguridad, restringir accesos, entre otros. En este contexto

también se incluye las renovaciones de equipos cuando estos ya están obsoletos

o sufren algún daño físico ocasionando que se vuelva a realizar la configuración

en el equipo nuevo, que en consecuencia vuelve compleja la administración de la

red porque se debe realizar equipo por equipo, ocasionando perdida de tiempo,

movilización coste, entre otros.

En la actualidad el número de pequeñas, medianas o grandes empresas que

invierten en su estructura de redes viene siendo habitual desde hace mucho

tiempo, “las tecnologías de la información y comunicación (TIC) son un factor

determinante para el crecimiento en la pequeña y mediana empresa (PyME) y se

han vuelto imprescindibles en las actividades cotidianas de las organizaciones”

(Valdez Juárez, Pérez de Lema, & Maldonado Guzmán, 2017). Pues se ven en la

necesidad de registrar, controlar y mejorar las actividades que realizan, este es el

caso de COMSUCRE una empresa guayaquileña dedicada al servicio de

distribución de suministros de oficina que ha incurrido en adquisición de equipos

y en consecuencia ha implicado un crecimiento desorganizado, frágil, vulnerable,

no estructurado ni centralizado en su red, situación que preocupa a la empresa en

mención por no contar con una buena administración de red ni protocolos de

seguridad que protejan la información almacenada en la misma. La

implementación de un protocolo que controle la autenticación remota así como los

servicios para el control de acceso a red además de permitir que un servidor de

acceso remoto se pueda comunicar con un servidor de autenticación con el fin de

determinar si el usuario tiene acceso a la red es cada vez más imprescindible

dentro de las empresas y en este caso en particular en la empresa COMSUCRE.

2

Por lo antes expuesto este proyecto tiene como finalidad brindar una solución a

los administradores en el ámbito de redes para la administración centralizada y

reducción de costo con equipo como Raspberry que mejore y optimice el

mantenimiento eficiente de la administración de red y así lograr contrarrestar los

problemas actuales de la DISTRIBUIDORA COMSUCRE fundamentalmente la

protección de los datos de la empresa y datos de sus clientes, puesto que es

importante brindar una seguridad informática robusta, y garantizar confiabilidad,

calidad de servicio, integridad de datos entre otros, que conlleven a una

operatividad normal de la empresa en sus actividades diarias.

En el primer Capítulo se detalla la problemática de la red de la DISTRIBUIDORA

COMSUCRE que constituye la falta de innovación y no implementación de

protocolos triple AAA planteando el problema existente de manera precisa y

exacta analizando las causas y consecuencias del mismo, que producen una

desorganización total cada vez que la red escala con el crecimiento del negocio

posicionando la propuesta de Implementar un prototipo de seguridad basado en

Raspberry y TACACS+ como una solución de bajo costo y de seguridad robusta

para contrarrestar los problemas de la red.

En segundo Capítulo se expone los antecedentes de las tecnologías que se

utilizan para la Implementación de un Prototipo de Seguridad basado en

Raspberry y TACACS+ para la DISTRIBUIDORA COMSUCRE en un marco

nacional como internacional y a la vez se detallan los conceptos más relevantes

para el desarrollo de la investigación, así como también los fundamentos legales

en relación con los problemas planteados destacando su importancia.

Tercer Capítulo abarca todos los temas conceptuales relacionados con la

Implementación de un Prototipo de Seguridad basado en Raspberry y TACACS+

para la DISTRIBUIDORA COMSUCRE, conceptos importantes que permiten el

entendimiento de la propuesta de solución, así como también se detalla la

factibilidad en diversos aspectos que tiene la investigación a presentarse.

El cuarto Capítulo cuenta con la conclusión una vez realizada las pruebas

pertinentes, encuestas, entre otros, que hacen referencia como respuestas a los

3

objetivos específicos planteados, también se encuentra las recomendaciones

necesarias para una operatividad a largo plazo del prototipo.

4

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

Ubicación del Problema en un Contexto

Con la era del tráfico de información a través de las redes informáticas se

considera a la administración de red como un factor de transcendencia dentro de

las empresas, pues la gestión de administración para la seguridad de la red es un

conjunto de técnicas que permiten mantener una red operativa, segura, eficiente

con una apropiada planeación y debidamente documentada debido a que

Los atacantes no van a esperar a que el software de seguridad esté

al día: los informes de la industria revelan que los ciberataques

avanzados pueden existir sin ser detectados durante unos 200 días.

En el entorno de amenazas actual, las organizaciones necesitan

soluciones de seguridad inteligente en constante evolución para

mantenerse al día de las últimas amenazas según van surgiendo.

(Microsoft Corporation, 2016, p.1)

De allí su importancia, pues al crecer o evolucionar un negocio o empresa también

crece uno de los retos para los administradores de redes o los CSO es gestionar

de forma eficiente dichas redes, que consiste en configuración de equipos,

creación de usuarios, habilitación de permisos, entre otros.

Los problemas de una red no estructurada de manera centralizada y organizada

para su gestión administrativa en el campo, suelen ser mayores a medida que una

organización progresa; pero ese progreso se ve fragmentado si la base

tecnológica no está diseñada para soportar la demanda de datos y operaciones

5

que se transmiten y se realizan a través de la red, es decir sería una limitante no

tener este tipo de soluciones AAA en redes en crecimiento

Por esta razón La DISTRIBUIDORA COMSUCRE ha considerado reestructurar y

modificar la gestión de administración de red, para esto es necesario mencionar

que la DISTRIBUIDORA en mención tiene 34 años en el mercado específicamente

en el sector de comercial ofreciendo suministros de oficina; actualmente está

estructurada por 4 departamentos principales que están en constante renovación

de equipos, también cuenta con 3 sucursales y en total la empresa tiene 80

equipos de red, la misma que es administrada por 3 personas que tienen una

sobrecarga de trabajo provocando conflictos al momento de configurar nuevos

equipos por motivos de movilización, tiempo, informes desactualizados del

departamento de TI y finalmente pero no menos importante la falta de una

arquitectura ágil que dificulta el mantenimiento de la red.

Además de la problemática detallada en el párrafo anterior se suma el alto riesgo

de filtración de intrusos y robo de información producidos por la cantidad de

usuarios creados con credenciales que aún no han sido eliminados del sistema

los mismos que bajo la utilización de personas que se dedican al ciberdelito

podrían ocasionar daño a los clientes de la DISTRIBUIDORA COMSUCRE y

posiblemente también a la empresa en problema legales debido al ciberdelito que

cada día aumenta

La Dirección de Política Criminal de la Fiscalía General del Estado

registró 626 denuncias por delitos informáticos desde el 10 de

agosto del 2014 cuando entró en vigencia el Código Orgánico

Integral Penal (COIP)- hasta el 31 de mayo del 2015. A partir del

COIP se tipifica este tipo de delitos. (Fiscalía General del Estado,

2015, p.1)

Adicionalmente en los primeros meses del año 2020 por motivo de la pandemia

hubo una reducción considerable de personal entre ellos hubo quienes tienen

conocimiento de las credenciales lo que aumento el riesgo de robo de información,

filtración de intrusos entre otros, esta situación surge porque el personal que fue

6

liquidado tiene conocimiento de los usuarios y credenciales, convirtiendo la red de

la empresa COMSUCRE en una red muy inestable y vulnerable.

El no tener un registro de quien genera una acción determinada en la red de la

DISTRIBUIDORA COMSUCRE, genera desconcierto debido a que muchas

acciones detectadas no han sido bien ejecutadas, y se desconoce las intenciones

con la que se realizó, esto es un problema muy grave dado que deja en

incertidumbre cualquier tipo de irresponsabilidad que se haya detectado, en

consecuencia esto produce reducción en los ingresos de la empresa al tener que

incurrir en el gasto de análisis, seguimiento y solución del problema.

De la misma forma los problemas de la red no solo afectan de manera técnica,

sino también en la parte comercial de la DISTRIBUIDORA COMSUCRE, que en

efecto la parte comercial tiene mucha importancia en un negocio puesto que es el

área donde se concretas ventas, se realizan contratos, se crean alianzas a

beneficio de la empresa para aumentar el capital de la misma dicho capital es la

razón de ser de cualquier negocio, dichas gestiones demandan agilidad y calidad

de atención al cliente, respuestas rápidas, soluciones y un trato o asistencia eficaz.

Cabe señalar que hoy en día las empresas funcionan en base a la estructura

tecnológica, por consiguiente, la DITRIBUIDORA COMSUCRE no es la excepción

y los problemas a nivel de red son el detonante de más problemas, generando un

árbol de inconvenientes en todas las áreas, retrasando pedido, atentado con la

concertación de contratos importantes, perdidas de ventas entre otros.

Situación Conflicto Nudos Críticos

Los problemas de la red del departamento TI de la empresa COMSUCRE

presenta, se generan por la falta de una administración centralizada de su

estructura tecnológica e innovación de equipos de bajo costo con la misma

capacidad que un equipo de alto costo brinda; para empezar no se lleva un registro

de datos de acceso a la red, además no tienen un histórico de incidentes, así

mismo no constan de una depuración de usuarios y credenciales inactivos.

7

Finalmente, no tiene un programa o plan que requiere una red que proyecta

escalabilidad constantemente, todos esto parámetros y problemas se pudieron

verificar en los testimonios recibidos de parte de los integrantes del departamento

TI. Estas incidencias no confrontadas son causa de un efecto negativo en las

actividades normales de la empresa que implica al retraso de su actividad en el

campo de su negocio evitando su evolución y crecimiento que se mantendrá

paralizado mientras los problemas se mantengan vigentes por no innovar o

fortalecer el desarrollo de las TIC con implementaciones de solución AAA.

El uso de las TIC es crucial en el desarrollo exitoso de un proceso

de GC, lo que permite fortalecer las prácticas empresariales como

el despliegue de las estrategias y políticas, la captura del

conocimiento y de la información, la capacitación de los empleados

y la mejora de la cultura organizacional dentro de la empresa

pequeña y mediana. (Valdez Juárez, Perez de Lema, & Maldonado

Guzmán, 2017, p.14)

En lo concerniente a seguridad los administradores de la red ya se han topado

con robos de información, filtraciones de intrusos entre otros, esto genera doble

trabajo al tratar de analizar, y encontrar una solución que contrarreste el

inconveniente, al mismo tiempo crea retraso de proyecto e implementación de

nuevas propuestas para mejora de la empresa.

A pesar que la empresa ha implementado sistemas de seguridad informática estos

no han tenido los resultados esperados pues se sigue evidenciando vulnerabilidad

en la red al no aplicar en su estructura tecnológica estándares como IEEE 802.1X

que previene el acceso a un determinado puerto cuando la autenticación falla pues

la seguridad AAA garantiza robusticidad en la seguridad informática de la

DISTRIBUIDORA COMSUCRE por esta razón un modelo cliente servidor de

TACAS+ trabaja en la capa 3 (capa de transporte) de TPC/IP es una solución ante

los inconvenientes de red de la DISTRIBUIDORA COMSUCRE.

8

Causas y Consecuencias del Problema

De acorde con lo planeado en el texto como un potencial Problema en el siguiente

TABLA se observa las causas y consecuencias en la Tabla 1.

Tabla N. 1

Causas y Consecuencias

Causas Consecuencias

Red de la DISTRIBUIDORA

COMSUCRE no cuenta con registros

históricos de incidentes.

Dificultad para determinar las

ejecuciones de solución por parte del

personal TI en los equipos de red.

Usuarios y Credenciales activos de

personal que ya no pertenece a la

empresa.

Riesgos de acceso, ataque y robo de

información por personal interno o

externo

Falta de renovación de equipos de red

actualizados

Fallos y vulnerabilidades en la red.

Retrasos en los tiempos de respuesta

en las operaciones/procesos de TI de

la empresa.

Crecimiento acelerado de la red, y

Falta de una arquitectura ágil

Red no estructurada que produce la

saturación de la misma Dificultando el

control, mantenimiento y

administración de dicha red.

Administración no centralizada o

Falta de centralización para la

creación de usuarios y grupos de

acceso a los equipos de red

Difícil administración gestión frente a

implementaciones nuevas y existentes

en creaciones de usuarios; Además,

afectan las normas de seguridad por

uso de un súper usuario para todos los

administradores de la red.

Actualización de software y hardware Trabaja con equipos que ya han

perdido su vida útil por ende no son

9

compatibles con sus fabricantes

ocasionando vulnerabilidades en la

red

Elaboración: Alan Ramírez – Javier Rivera

Fuente: Datos de la investigación

Delimitación del Problema

Tabla N. 2

Delimitación del Problema

Campo:

Informática

Área:

Seguridad en redes

Aspecto:

Gestión de redes

Tema: Implementación de un prototipo de

seguridad basado en Raspberry y

TACACS+ para DISTRIBUIDORA

COMSUCRE

Elaboración: Alan Ramírez - Javier Rivera

Fuente: Datos de la investigación

Formulación del Problema

¿De qué manera la implementación de un prototipo de seguridad basado en

Raspberry y TACACS+, permitirá una administración centralizada y organizada de

los usuarios con acceso administrativo remoto en la red COMSUCRE?

10

Evaluación del Problema

Delimitado: El prototipo de seguridad basado en Raspberry y TACAS+ a

implementarse será aplicado en la DISTRIBUIDORA COMSUCRE cuyo proceso

inicia desde el 15 de junio del 2020 terminando su implementación el 20

de octubre

Claro: El problema redactado es de fácil compresión y se detallan las ventajas

de forma precisa que ofrece un prototipo de seguridad basada en

Raspberry y TACAS+

Evidente: El proyecto realiza el estudio y comprobación de las ventajas de

un prototipo de seguridad basado en Raspberry y TACAS+ en la DISTRIBUIDORA

COMSUCRE.

Concreto: La implementación de un prototipo de seguridad basado en Raspberry

y TACAS+ en la DISTRIBUIDORA COMSUCRE adecuado para una eficiente

gestión de administración de la red.

Relevante: Un prototipo de red basado en Raspberry y TACAS+ se destaca en

redes en crecimiento, indistintamente del negocio este prototipo a implementar es

una solución para las redes de una grande y mediana empresa.

Contextual: La implementación de un prototipo de seguridad basado en

Raspberry y TACAS+ en la DISTRIBUIDORA COMSUCRE guarda relación

directa la carrera de Ingeniería Networking y Telecomunicaciones.

Factible: Es totalmente posible realizar la implementación debido al bajo costo de

los equipos y software, además de su esquema de solución planteada.

11

Objetivos

Objetivo General

Implementar un prototipo de seguridad basado en Raspberry y TACACS+ para

DISTRIBUIDORA COMSUCRE para contrarrestar los problemas de la red y que

soporte el crecimiento del negocio.

Objetivos Específicos

• Analizar el diseño de topología de la red COMSUCRE

• Identificar protocolos a utilizar verificando compatibilidad con TACAS+ y

Raspberry

• Determinar la funcionalidad y conectividad del servidor TACACS+.

• Situar el prototipo de seguridad sobre el contexto de los problemas

detectados

• Establecer un sistema AAA que brinde seguridad en las conexiones de

acceso a los equipos de red.

• Realizar una simulación (Software) del entorno de una red en la que se

pueda observar el funcionamiento del sistema.

• Presentar la operatividad del prototipo de seguridad como una solución

para redes con escalabilidad.

Alcances del Problema

La implementación de un prototipo de seguridad basado en Raspberry y TACAS+,

describe un alcance progresivo, debido a que el presente proyecto está diseñado

para redes en crecimiento, por lo que se visualiza una operatividad y

administración de la red a largo plazo con TACAS+ y Raspberry, sirviendo de

modelo para futuras implementaciones en otras redes, y también se podría

12

considerar para redes grandes debido a su amplio concepto de solución AAA.

• En otras palabras, la Implementación de un prototipo de seguridad basado

en Raspberry y TACACS+ para DISTRIBUIDORA COMSUCRE es lo más

adecuado para resolver la desorganización que la red presentan

• La creación de nuevos nodos o la apertura de nuevas sucursales no será

algo complicado al momento de realizar las respectivas configuraciones a

nivel de red en los equipos por lo que La implementación de un prototipo

de seguridad basado en Raspberry y TACAS+ en la DISTRIBUIDORA

COMSUCRE será capaz de permitir que la administración realice las

configuraciones pertinentes de manera remota.

• Blindara los datos transmitidos a través de la red al ser TACAS+ un

protocolo robusto a causa de la encriptación total del paquete a la hora de

iniciar la sesión entre cliente y servidor

• la versión mejorada de TACACS, TACACS+ (TAC_PLUS) garantizara que

no se almacenen credenciales en los dispositivos de red durante las

sesiones,

• Dichas sesiones se realizan a través del puerto 49 para tráfico TCP

abarcando grandes beneficios a la administración de la red y cabe

mencionar que la flexibilidad de adaptación de TACACS+ va de acorde a

las necesidades de la administración debido a la separación de

Autenticación, Autorización y la Auditoría

• Así mismo la creación y eliminación de usuarios de manera organizada y

controlada es alcanzable con TACACS+ ya que, si hubiere un cambio de

personal o despido, y el personal tenga credenciales de acceso a los

equipos con privilegios importantes que con un mal direccionamiento

afectaría la gravemente la red y si planteamos un escenario de varias

personas despedidas eliminar esos usuarios o cambiar credenciales

equipo por equipo será un trabajo arduo para la administración de la red

13

• De la misma forma con TACACS+ la Delegación de permisos sería más

dinámica debido a que con esta solución triple AAA a diferencias de otras

como RADIUS, permite separar Autenticación, Autorización y Auditoría

por ende tomando en consideración estas propiedades de TACACS+ la

administración de la red no necesariamente podría dar permiso a un

usuario autentificado de utilizar una o varias determinadas app o

comandos dentro del equipo es decir con TACACS+ el administrador

puede negar dar instrucciones para que el protocolo niegue ciertas

funciones a usuarios autentificados.

• Mientras que las Auditorías o registros de incidentes es algo muy relevante

y su enfoque abarca muchas situaciones de riesgo en la red pueden

presentarse distintas situaciones como por el ejemplo una mala ejecución

o un cambio de equipo, TACACS+ tendría registros del usuario que lo

realizo dicha acción así como también la hora y fecha entre otros, las

ventajas y el alcances de TACACS son notorias muchas pero de cierto

modo la centralización tiene su desventaja al momento que el nodo

principal de la red (Servidor TACACS+) se cae o colapsa, ya que de él

depende el control de la red, no obstante una de las soluciones a esto es

la creación de un nodo de respaldo.

• Otro punto a resaltar es el entorno Figura del sistema de seguridad a

implementarse, puesto que no posee debido a la capacidad de los

equipos, sin embargo, no representa un obstáculo para su puesta en

funcionamiento.

Para fortalecer la dimensión del alcance de este proyecto a continuación se

detalla la figura No 1 que en un informe emitido el 13 de junio del 2015 visualiza

el estudio de la Fiscalía general del Estado sobre la cantidad de delitos

informáticos que se registran el Ecuador por medio de denuncias.

14

Justificación e Importancia

Hoy en día conforme las redes de comunicaciones van aumentando y de igual

manera aumentan su gestión de administración, los cuales para un ambiente

empresarial estos pueden causar grandes pérdidas si no hay un correcto manejo

de la administración, lo que conllevaría a pérdida de tiempo para el negocio,

paralización de actividades, desgaste administrativo entre otros, hasta encontrar

la solución he aquí la justificación de la Implementación de un prototipo de

seguridad basado en Raspberry y TACACS+ para DISTRIBUIDORA

COMSUCRE.

Figura N. 1

Delitos Informáticos

Elaboración: Fiscalía General del Estado, FGE.

Fuente: Fiscalía General del Estado, FGE.

Elaboración: Fiscalía General del Estado, FGE.

Fuente: Fiscalía General del Estado, FGE.

15

Con esta implementación, TACACS+ permitirá una administración centralizada

de los usuarios y grupos que pueden conectarse a los equipos de red bajo un

Sistema AAA que permitirá que se aplique seguridad mediante la autenticación,

autorización y Auditoría dada la importancia que tiene el hecho de organizar la

red como lo resalta el trabajo en progreso de la IETF “The TACACS+ protocol

separates the functions of Authentication, Authorization and Accounting. It allows

for arbitrary length and content authentication exchanges, which will support any

authentication mechanism to be utilized with TACACS+ clients” (Internet

Engineering Task Force, IETF, 2020). De esta manera evitar robo de información

y filtración de intrusos, así como también preparar la red para que soporte la

demanda que conlleva el crecimiento del negocio y evolución de la

DISTRIBUIDORA y que la gestión administrativa de la red no se torne

desgastante

En consecuencia, el panorama económico y las formas de trabajo cambiaron a

raíz de la pandemia y quedo en evidencia el direccionamiento que toman las

nuevas formas de empleo tal es el caso que la mayoría de empresas optaron

por el teletrabajo modalidad que cada vez es más frecuente según la O.I.T. “El

teletrabajo es una modalidad de trabajo cada vez más frecuente facilitada por la

tecnología de la información y las comunicaciones (TIC), cuyos potenciales

beneficios reconocen y promueven los gobiernos, los empleadores y los

trabajadores por igual” (Organización Internacional del Trabajo, [O.I.T], 2016,

p1). Dando notoriedad a la necesidad de aplicar este modo de trabajar en la

mayoría de empresa dejando por lo que es importante tener una red bien

organizada y preparada para la escalabilidad, movilidad y que se adapte a las

necesidades del negocio entre otros, y que su implementación sea de bajo costo.

Además del tema de teletrabajo existen otros que resaltan la importancia de un

sistema AAA como los son los ataques informáticos que no se toman en

consideración sin embargo son puede representar una perdida muy grande para

las organizaciones como lo explica (Microsoft Corporation, 2016, p1)

También existen otras cicatrices menos cuantificables y

potencialmente más costosas que dejan los ciberataques que

16

consiguen su objetivo: dañar la marca, clientes cautelosos,

crecimiento estancado y relaciones diplomáticas en peligro.

Aunque no se les pueda atribuir directamente una cantidad

monetaria, estos impactos pueden tener efectos negativos

duraderos en una organización, y llevar a la baja la lealtad de los

clientes y al alza el escepticismo público y, en última instancia,

afectando al personal encargado de las operaciones de seguridad

que deben ser responsables de las vulnerabilidades. (p.6)

Por otro lado, indistintamente del diseño de red que tenga y pesar de los cambios

que se presenten en este, la red de la DISTRIBUIDORA COMSUCRE con la

Implementación de un prototipo de seguridad basado en Raspberry y TACACS+

podrá soportar dichos cambios y resguardar lo más importante que son los datos

de la empresa, los datos de clientes e integridad de los mismos como lo

demuestra: (Andrade Tubun, 2019) ”Se estudió detalladamente cada

característica entre RADIUS y TACACS+ además de las prestaciones que brinda

cada protocolo llegando a la conclusión de que Tacacs+ posee mejores

características en entornos de seguridad corporativos” (p.63). Dicho esto, a

continuación, se detalla en la tabla No 3 el beneficio y la afectación positiva que

tiene TACACS+ en la administración.

Tabla N. 3

Relevancia de un sistema AAA en redes

Beneficios Afectación

Organización de la red Una red organizada es más fácil

gestionarla y el control de la misma se

vuelve más sencillo

Centralización Afecta directamente a los

administradores de red de manera

favorable, se evitan la movilidad

debido a la administración remota,

17

control total de lo que sucede en la

red.

Seguridad en inicio de sesión La seguridad de inicio de sesión de

vuelve robusta

Operatividad continua del negocio Independientemente a lo que se

dedique la empresa, el negocio

continuara sus actividades de manera

tranquila frente a configuraciones

nuevas a aplicar en los equipos de red

Registro Se registran todos los incidentes que

se presenten en la red


Fuente: Datos de la investigación.

Metodología del proyecto

Se empleará la Metodología PMI, el cual se rige bajo la PMBOK GUIDE que ofrece

una serie de directrices que orientan la gestión y dirección de proyectos. Facilita

información sobre los procesos que se pueden llevar a cabo para una gestión

eficaz, y diferentes técnicas y herramientas útiles.

Al emplear esta metodología mantendremos un orden a seguir el cual consiste en

cinco procesos, los cuales aseguran el progreso adecuado del proyecto a realizar,

en la Tabla número 4 se detallan estos cinco procesos.

Tabla N. 4

Metodología Aplicada

Procesos Desarrollo

Inicio Definición, cotización, alcance

Planificación Programación, Cronograma, Visión,

Métodos.

18

Ejecución Implementación, toma de decisiones,

Aprobación de lo ejecutado

Monitoreo y control Evaluación, Observación, recoger

resultados

cierre Entrega de proyecto, Operatividad


Fuentes: Datos de la investigación.

Proceso de inicio: Está compuesto por aquellos procesos realizados para definir

un nuevo proyecto o una nueva fase de un proyecto ya existente, mediante la

obtención de la autorización para comenzar dicho proyecto o fase. Dentro de los

procesos de inicio, se define el alcance inicial y se comprometen los recursos

financieros iniciales. Se identifican los interesados internos y externos.

Proceso de planificación: Los métodos de planificación desarrollan las técnicas

para la dirección y gestión del proyecto y los pliegos del proyecto que se utilizarán

para llevarlo a cabo el proyecto.

Proceso de ejecución: Involucra clasificar personas y recursos, así como integrar

y realizar las actividades del proyecto de aprobación con el plan para la dirección

del proyecto.

Proceso de monitoreo y control: Está combinado por aquellos procesos

requeridos para analizar, regular el proceso y supervisar, el desempeño del

proyecto, identificando las áreas que requieran cambios y en la cual requiera

cambios correspondientes.

Proceso de cierre del proyecto: Son aquellos procesos realizados para dar fin a

todas las actividades a través de todos los grupos de procesos de la dirección de

proyectos, a fin de completar formalmente el proyecto, una fase de este u otras

obligaciones contractuales. Todo el ciclo que generan estos procesos se puede

visualizar en el figura No 2 a continuación.

19

Elaboración: Pablo Lledo

Fuente: Gestión de Proyectos

Figura N. 2

Metodología del Proyecto

20

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

La red de una determinada empresa indistintamente de la actividad que se dedica

cada vez van siendo prioridad para las actividades normales de una empresa dado

todo esto, estas redes necesitan una mejor seguridad por lo tanto se necesita de

un servido el cual sea capaz de brindar la seguridad a la red en crecimiento y a su

vez proporcione un registro y control de esta red.

El actual proyecto ha tomado en cuenta los conocimientos previamente obtenidos,

con lo cual de investigaciones previas se ha podido considerar fracciones cuales

son de contribución para el desarrollo de este proyecto, para así de esta forma

partir de una estructura teórica ya existente.

De proyectos relacionados al tema propuesto, podemos concluir que el uso de

Raspberry y del uso de una arquitectura AAA integrados a soluciones Open

Source, garantiza la seguridad del usuario, menores costo de implementación y la

optimización del recurso.

Dando continuidad al párrafo anterior tenemos como antecedente la investigación

“DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD PARA EL

ACCESO DE LA RED INALÁMBRICA DEL COLEGIO OTTO AROSEMENA

GÓMEZ” que se realizó en la ciudad de Guayaquil en el año 2016 donde se resalta

la importancia de los protocolos AAA

Contar con acceso a información, es también estar tentado a que

se filtren intrusos que hagan mal uso de la información impartida,

para esto se debe de contar con el uso de esquemas de seguridad

que garanticen la confidencialidad de la información solicitada. Ante

esta necesidad surgen los protocolos de seguridad. (Allauca

Gusqui, 2016, p.9)

21

Tal es el caso que: (Andrade Tubun, 2019) “TACACS+ (Terminal

Access Controller Acces Control System Plus) es un protocolo que

ofrece mejores soluciones de control de acceso además se destaca

una mejoría en las funciones AAA” (p.22). En la investigación que

tiene por nombre; ANÁLISIS DE PRESTACIONES DE LOS

PROTOCOLOS DE AUTENTICACIÓN REMOTA RADIUS Y

TACACS+ EN INFRAESTRUCTURA DE COMUNICACIONES

CORPORATIVAS, realizada en la de ciudad Riobamba.

Esto demuestra la efectividad de los protocolos AAA con sus mecanismos de

seguridad de acceso a la red como se detalla en el siguiente criterio “Debe de

comprobarse que el usuario sea quien dice ser (autenticación), que solo tenga

acceso a los recursos que le corresponda (autorización) y también llevar a cabo

un registro de las actividades que haga dentro de la red (contabilidad)” (Mamani

Herrera, 2019, p.25). Organizando la gestión de la red de una manera más

interactiva entre los administradores de red y los equipos que la conforman, esto

se pudo constatar en el tema de investigación que se realizó en la ciudad de Puno

– Perú llamado “DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE

ADMINISTRACIÓN, AUTENTICACIÓN Y CONTROL EN EL ESTÁNDAR 802.11

EN EL CENTRO DE COMUNICACIONES DE LA UNIVERSIDAD NACIONAL DEL

ALTIPLANO”.

Cabe mencionar que cada vez es más necesario la protección que navega a través

de la red, en el trabajo investigativo “ANÁLISIS DE PRESTACIONES DE LOS

PROTOCOLOS DE AUTENTICACIÓN REMOTA RADIUS Y TACACS+ EN

INFRAESTRUCTURA DE COMUNICACIONES CORPORATIVAS”; Andrade

Tubun (2019) así lo afirma

“En la actualidad existe la necesidad de controlar el acceso de los

usuarios a la infraestructura corporativa para tener el control en la

seguridad de la información. Los servicios AAA hoy en día

son utilizados dentro del lineamiento de seguridad de redes de

telecomunicaciones para cumplir con los requerimientos de

22

protección de la información y tener un control centralizado del

acceso y administración de los equipos.”. (p.1)

En otra investigación realizada en Santa Clara Cuba se propuso como solución el

modelo AAA previo a una comparativa de los protocolos “El modelo de arquitectura

que se propone en este trabajo para dar solución a cada uno de los problemas

planteados es un Modelo AAA” (González Paz, 2017, p.35). Que se lo presento

en el proyecto llamado “MECANISMOS DE SEGURIDAD PARA LA RED

INALÁMBRICA LOCAL DE LA UNIVERSIDAD DE CIENFUEGOS”.

Por lo antes mencionados ahí la necesidad de utilizar los sistemas AAA, a medida

que avanza la tecnología en conjunto también los ciberataques como el robo de

información, filtración de intrusos entre otros, situación que ocurrió en ecuador y

dejo ver lo vulnerable de las redes en el país y la falta GC.

El mundo conoció el 16 de septiembre del 2019 que una brecha de

seguridad ha dejado expuestos los datos personales de más de 20

millones de ecuatorianos, entre ellos 6,7 millones de niños y

personas fallecidas. Sin embargo, hay más datos que quedaron

expuestos que no han salido a la luz. Así lo reveló a EL COMERCIO

la firma vpnMentor, que detectó la brecha. (EL Comercio, [ EC ],

2019,

Internacionalmente según un estudio de Microsoft

En 2015, se alcanzó un nuevo umbral cuando un complicado

ataque afectó a más de 100 bancos de 30 países con unas pérdidas

estimadas en más de 1.000 millones de dólares. Debido al aumento

del riesgo, las pólizas de seguros para las contingencias

cibernéticas están pasando a ser un nuevo gasto operativo para

muchas empresas, con unas primas para esta oferta emergente

que se establece en el triple en 2020, cuando se acercará a los

7.500 millones de dólares. (Microsoft Corporation, 2016, p1)

23

Como se puede observar tener redes con vulnerabilidad hoy en día

no es factible por el alto riesgo de ataques que ocurre de manera

nacional e internacional y la detección se vuelve difícil al no tener

un sistema de seguridad robusto muestra de ello es el caso del

“Dios Invisible” que ataco los servidores de un gran número de

empresas a nivel internacional “De él solo se sabían tres cosas: que

Fxmsp era su alias en internet, que lo llamaban el "dios invisible" de

las redes y que había robado información fundamental de las

entrañas de más 300 corporaciones en 44 países” (British

Broadcasting Corporation, [BBC], 2020). A medida que esto se

vuelve más crítico es necesario una ley de protección de datos en

cada País.

Es importante considerar tener una ley que proteja los datos de las personas que

se encuentra en las BD (Base de Datos) de muchas PYMES (Pequeñas y Grandes

empresas) por tal motivo desde el 2019 el Estado Ecuatoriano adopto medidas “El

ministro de Telecomunicaciones de Ecuador, Andrés Michelena, entregó este

jueves 19 de septiembre del 2019 el proyecto de Ley de Protección de Datos

Personales a la Asamblea Nacional, días después de que se conociera la filtración

masiva de datos de ecuatorianos” (EL Comercio, 2019, p.1). Con el ánimo de

resguardar la integridad de la información personal de los ecuatorianos.

Que a su vez dicha ley pone un desafío importante a las PYMES y compromete

su estructura tecnológica a la innovación e integración de los datos que son

transmitidos a través de la red con sistemas de seguridad informática y resguardo

de información de sus clientes para evitar el robo de información.

En efecto, la protección de los datos personales es una de las

tendencias que marcarán este 2020. Los usuarios no solo buscarán

impedir el acceso de personas no autorizadas a su información

personal, sino que también se prevé que las empresas ofrezcan un

mejor entorno de ciberseguridad a sus clientes. Así lo observa

Fernando Morillo, gerente de ZTE Ecuador, quien añade que, en el

caso ecuatoriano, en los próximos diez años se tendrá que trabajar

24

en un ecosistema de protección de datos tanto para personas como

compañías. (El Comercio, 2020, p.1)

Sin lugar a duda la protección de datos es algún tema en tendencia a nivel de

seguridad informática por consiguiente los ciberdelitos se dan con más frecuencia

al punto que ya se ha llegado a identificar las cuatro infracciones más frecuentes

así lo menciona un artículo publicado por.

El Código Orgánico Integral Penal tipifica algunos delitos que,

según las denuncias receptadas en la Fiscalía General del Estado,

han sido los más denunciados con respecto a la vulneración de

sistemas informáticos. Los cuatro delitos informáticos con mayor

número de denuncias son: el acceso no consentido a un sistema

informático, telemático o de telecomunicaciones (tipificado en el

artículo 234), el ataque a la integridad de sistemas informáticos

(artículo 232), la interceptación ilegal de datos (artículo 230) y la

revelación ilegal de bases de datos (artículo 229). (Dávila, 2019)

Fundamentación Teórica

Seguridad informática

La seguridad informática es el proceso de detectar y prevenir el uso no autorizado

de un sistema informático, proteger contra intrusos el uso de nuestros recursos

informáticos con malas intenciones o con intención de conseguir lucrarse, o la

posibilidad de tener acceso a ellos sin autorización. Seguridad informática es una

sub-línea de estudio de seguridad de la información, aunque en la práctica se

suelen utilizar de forma indistinta ambos términos. Seguridad informática abarca

una serie de medidas de seguridad, tales como programas de software de

antivirus, firewalls, servidores AAA y otras medidas que garantice el uso adecuado

de la computadora, los recursos de red o de Internet.

25

“Seguridad Informática es la disciplina que, con base en políticas y

normas internas y externas de la empresa, se encarga de proteger

la integridad y privacidad de la información que se encuentra

almacenada en un sistema informático, contra cualquier tipo de

amenazas, minimizando los riesgos tanto físicos como lógicos, a

los que está expuesta”. (Urbina, 2016)

Como se detalla en el párrafo anterior, la seguridad informática reúne muchas

herramientas que bajo una buena gestión permitirán proteger los datos de una

determinada red o host. En el siguiente FIGURA No 3 se observa los delitos

informáticos que han ocurrido en ecuador desde el 2017 debido a la falta de

gestión en seguridad informática.

Seguridad de red

La seguridad en red es mantener bajo protección los recursos y la información con

que cuenta la red, a través de procedimientos basados en una política de

seguridad tales que permitan el control de la información. La seguridad de red

también se refiere a la práctica de proteger las computadoras y los servidores,

sistemas electrónicos, las redes, dispositivos móviles y los datos de ataques

maliciosos “Se basa en la limitación o el bloqueo de operaciones de sistemas local

Figura N. 3

Delitos Informáticos

Elaboración: Primicias

Fuente: Deloitte/Fiscalía General del Estado

26

Figura N. 4

Restricciones de seguridad para operaciones remotas

Elaboración: oracle.com

Fuente: oracle.com

o remoto” (Oracle, 2011, p.1). Son sistemas que se integran donde se hace uso

de un software de control que permite llevar un registro de todas las operaciones

realizadas sobre el sistema con fecha, horario, autorización, entre otros, “La

seguridad de la red es el proceso de tomar medidas físicas y preventivas para

proteger la red subyacente de uso indebido, mal uso, mal funcionamiento,

modificación, destrucción o divulgación incorrecta. funciones críticas dentro de un

entorno seguro” (networkworld.es, 2018, p.1).

Amenazas en la seguridad de redes

Toda forma de intento de ataque que afecte el buen funcionamiento de una red

determina es considerada una amenaza como así lo detalla el instituto nacional

de ciberseguridad de España.

27

Figura N. 5

Riesgo

Elaboración: Instituto Nacional de Ciberseguridad

Fuente: Instituto Nacional de Ciberseguridad

Una amenaza es toda acción que se vale de una debilidad para

quebrantar la seguridad de un sistema de información, es decir, que

podría tener un potencial efecto negativo sobre algún elemento de

nuestros sistemas. Las amenazas pueden provenir de ataques,

fraude, robo, virus, sucesos físicos, negligencia y decisiones

corporativas (mal manejo de contraseñas, no usar cifrado).

(Instituto Nacional de Ciberseguridad, [INCIBE], 2017)

Desde el punto de vista de una corporación pueden ser tanto internas como

externas. Una red mal configurada es el principal punto de ingreso para usuarios

no autorizados, con las cuales se pueden exponer varias amenazas de seguridad

como las detallada en el Tabla 2 detallado a continuación. Dejar una red local, a

cuyos usuarios conocemos, abierta y vulnerable a la gran inseguridad que

representa Internet es casi como dejar una puerta entornada en un barrio de

criminales. Tal vez no suceda nada en un determinado período de tiempo, pero

en algún momento, alguien va a aprovechar esa oportunidad.

28

Tabla N. 5

Amenaza de Seguridad

Usuarios

Se considera la causa del mayor problema ligado a la

seguridad de un sistema informático. Es así porque

con sus acciones podrían ocasionar graves

consecuencias.

Programas

maliciosos

Conocidos como malware son destinados a perjudicar

un ordenador cuando se instala o hacer uso ilícito de

datos. Suelen ser un virus informático, un troyano o un

spyware.

Errores de

programación

Más que un peligro, se trata de un mal desarrollo. Pero

también se tiene que ver como un riesgo evitando que

los sistemas operativos y aplicaciones estén sin

actualizar.

Intrusos

Cuando personas que no están autorizadas acceden a

programas o datos que no deberían, como es el caso

de los hackers.

Elaboración: Investigadores.

Fuente: Datos de la Investigación.

Las amenazas mencionadas tienen un efecto negativo cuyos efectos son:

• Sustraer información Personal

• Eliminar información importante

• Bloquear ciertas funciones dentro del sistemas.

• Robar dinero o estafar personas.

• Suplantación de la identidad

29

Figura N. 6

Redes Internas y Externas

Redes internas

Es una red de computadores personales que maneja, tecnologías Internas para

compartir dentro de una institución parte de sus sistemas de operacionales y

sistemas de información. La expresión intranet se utiliza en oposición a Internet,

una red entre instituciones.

Elaboración: Daniel Benchimol, Gradi

Fuentes: Users Redes Cisco

Redes externas

Una red externa es la extensión de dos o más estrategias de red interna, con una

interacción segura entre instituciones participantes y sus respectivas redes

internas este concepto se detalla en un artículo de los documentos de la página

web de Microsoft.

30

Figura N. 7

Mapa Topológico de Red de Gestión

Una red interna está restringida a los usuarios dentro de la

organización, mientras que una red externa está abierta a los

usuarios que no pertenecen al dominio de la organización. Los

usuarios de las redes deben recibir una invitación. Las redes

externas se consideran extensiones de una única red interna con la

cual siempre están asociadas. (Microsoft, 2018, p.1)

Dispositivos de seguridad

Hacen referencia a aplicaciones, sistemas, servicios o elementos lógicos y físicos

basados en la red interna, y utilizan un acceso extendido y seguro a usuarios o

empresas externas Este acceso generalmente se logra mediante contraseñas,

identificaciones de usuarios, y seguridad a nivel de las aplicaciones entre estos

elementos de seguridad de red tenemos el Firewall, IDS, IPS, Antivirus, Proxy,

servidores de Acceso a la red, entre otro, en la siguiente figura se observan

algunos de estos componentes.

Fuente: Diseño De La Arquitectura De Seguridad Perimetral De La Red

Informática En La Industria De Licores Del Valle.

Elaboración: Jesús Bolaños Botina.

31

Firewall

Un firewall (cortafuegos) es un dispositivo físico o intangible para la seguridad de

la información que se transmite en una red que está ubicado entre el internet y la

red de una determinada empresa y también puede ser este un cortafuego de host

o cortafuego de red cómo se indica en el documento de estudio en progreso de la

IETF en el año 2016

A device or software that imposes a policy whose effect is "astated

type of network traffic may or may not be allowed from A to B". The

firewall may reside in the destination itself (a "hostfirewall"), or in

any intermediate system (a "network firewall"). The firewalling

functionality may be implemented in a general-purpose system (e.g.

an ACL in a router), or in a special purpose middleware device (e.g.,

a "firewall product"). The details of the policy, the granularity with

which a policy can be applied, how such policy is configured, or of

the firewall's Implementation are just that - implementation details.

(Internet Engineering Task Force, [IETF], 2016)

Adicional a lo mencionado en el párrafo anterior el firewall se usa para proteger la

red interna de accesos no autorizados que se puede intentar a una red de área

local (LAN) o Internet y con la intención de explotar vulnerabilidades en los

sistemas de la red interna.

Estos firewalls pueden "ocultar" la identidad de tus equipos como medio de

prevención, ante los intentos de escaneo o intrusión de tus computadoras por los

hackers, por ejemplo; no devolviendo el tipo de información que necesitan estos

hackers para acceder a tus equipos.

Por esta razón el firewall es un elemento importante en una red de computadoras

que no puede faltar en el ámbito de seguridad de red y tampoco se puede

descuidar su gestión

32

Cabe mencionar que, a pesar de ser una herramienta para proteger la red, esta

no realiza tareas de filtrado cómo se indica en el documento de estudio en

progreso de la IETF en el año 2016.

Firewall realiza un filtrado intensivo de recursos del tráfico basado

en conjunto de normas. Un solo firewall se convierte en un cuello

de botella de tráfico dependiendo de la expansión de la red, el

número de conexiones y el rendimiento requerido. Este documento

describe un método de interconectar los firewalls en múltiples

ubicaciones geográficas a través de una red independiente.

Permitirá que el firewall dedique su capacidad de procesamiento

completa para realizar tareas de filtrado de paquetes. Las tareas de

Figura N. 8

Diagrama de Funcionamiento de Firewall

Elaboración: Darwin Marcelo Folleco Gonzalón.

Fuente: Evaluación de posibles vulnerabilidades/Auditoría

de seguridad y propuesta de medidas de mitigación

dentro de la red interna junta nacional de defensa

del artesano.

33

cifrado, enrutamiento dinámico y anti-spoofing del tráfico son

cuidado fuera de la función de firewall. La ubicación del firewall y

dispositivo de enrutamiento junto con los protocolos que se

utilizarán formarán el propuesto sistema para mejorar la

escalabilidad y la seguridad general de la red. (Internet Engineering

Task Force, 2016).

IDS

Los IDS son sistemas de seguridad que sirven para detectar intrusos dentro de

una determinada red y lo hace analizando el tráfico de la red monitoreando una

porción de la red o la red entera, Bonilla ( 2016) afirma:

Los IDS (Intrusion detection system) o en español Sistema de

detección de intrusos, trabaja sigilosamente escucha el tráfico que

se encuentra en la red detecta actividades sospechosas, monitorea

a una red completa o a un grupo específico de computadores

buscando intentos de amenazas, es decir, cualquier intento de

comprometer la confidencialidad, integridad y disponibilidad de la

red, recoge evidencias que puedan servir al administrador de la red

para identificar qué tipo y de donde provienen los intrusos,

mostrando las vulnerabilidades en las que se debe trabajar.(p.29)

De manera que excita un control para la protección de la información que se

transmite en la red de una empresa, institución entre otros, estos sistemas nacen

debido al incremento de información que se evidencia.

IPS

A diferencia del IDS el sistema de prevención de intrusos trabaja analizando el

tráfico de la red “El IPS a menudo se ubica directamente detrás del Cortafuegos y

proporciona una capa complementaria de análisis que selecciona negativamente

el contenido peligroso.” (Ramírez Pírez & Gómez Lorentty, 2017).

34

Tabla N. 6

Funciones de IPS e IDS

Prevención y detección de intrusos

Analizador de paquetes snort-based

Base de datos de reglas de posibles amenazas

Bases de datos de listas negras IP.

Tres niveles de seguridad. Manejo de excepciones de falsos positivos

Aplicación IPv4 y tráfico IPv6

Fuente: Trabajo de Investigación

Autores: Geovanny Robayo – Yorvin Miraba

Antivirus

El antivirus es un programa para detectar y eliminar otros tipos de programas

dañinos para un sistema informático que provoquen el colapso del mismo, robo

de información, entre otros. El antivirus tiene el propósito de proteger

principalmente un host para que posteriormente no se afecté a todo el sistema de

red así se detalla en el siguiente artículo. Venturini ( 2020) afirma:

El antivirus es un programa que ayuda a proteger su computadora

contra la mayoría de los virus, worms, troyanos y otros invasores

indeseados que puedan infectar su ordenador. Entre los principales

daños que pueden causar estos programas están: la pérdida de

rendimiento del microprocesador, borrado de archivos, alteración

de datos, información confidencial expuestas a personas no

autorizadas y la desinstalación del sistema operativo. (p.1)

En referencia al párrafo anterior existen diversos Antivirus en el marcado, cada

uno de estos cuentan con sus ventajas y desventajas, basta un análisis de las

necesidades de protección que necesite la red o los hosts para determinar que

antivirus utilizar, en el siguiente Figura se observan algunos antivirus

35

Figura N. 9

Antivirus

Elaboración: Guillermo Venturini

Fuente: tecnologia-informatica.com

Proxy

El proxy generalmente se utiliza como un intermediario entre el origen y el destino

de una solicitud, en otras palabras “Un servidor proxy es un puente entre usted y

el resto de Internet.” (Belcic, 2020). Cumpliendo funciones de control de acceso o

filtrado de contenido, algo en particular que tiene el proxy es que puede estar

dentro de la red o también puede estar fuera de ella; a esto se lo conoce como

proxy inverso “En el caso del proxy inverso, el origen de las solicitudes está en

Internet y busca acceder a un servidor dentro del entorno” (Cunha Barbosa, 2020,

(p.1)). Para poder entender mejor los 2 conceptos obsérvese los Figura No 10 y

No 11.

36

Figura N. 10

Topología Proxy

Elaboración: Daniel Cunha Barbosa

Fuente: welivesecurity.com

Figura N. 11

Topología Proxy 2

Elaboración: Daniel Cunha Barbosa

Fuente: welivesecurity.com

37

DMZ

Por sus siglas una DMZ es una zona desmilitarizada su ubicación en una red es

en una zona que está abierta a Internet protegiendo su red de área local (LAN)

detrás de un firewall. Hace el papel de un servidor el cual crea una capa adicional

a la red pudiendo ser un solo host como una subred “La separación de la red

principal de un solo host o de una subred completa, o "subred", garantiza que las

personas que visiten su servicio, como juegos por Internet, videoconferencias,

servidores web o de correo electrónico a través de la DMZ, no tengan acceso a su

LAN (Cisco System, Inc., 2019). A continuación el en Figura No 12 y No 13 se

detallan las topologias en mención.

Figura N. 12

Topología de Host DMZ

Elaboración: Cisco System, Inc., 2019

Fuente: cisco.com

38

802.1x

Estándar IEEE para redes de área local y metropolitana -

Control de acceso a la red basado en puertos

Es un estándar de la IEEE que detalla la gestión de un administrador para controlar

o restringir el acceso a la red y que solo se autorice el ingreso a la red a usuarios

autorizados y autentificados así se detalla en un documento de la IEEE publicado

en IEEE explore

El control de acceso a la red basado en puertos permite a un

administrador de red restringir el uso de puntos de acceso (puertos)

de servicio LAN IEEE 802 ® para asegurar la comunicación entre

dispositivos autenticados y autorizados. Este estándar especifica

una arquitectura común, elementos funcionales y protocolos que

admiten la autenticación mutua entre los clientes de los puertos

conectados a la misma LAN y que aseguran la comunicación entre

los puertos, incluido el método de acceso a los medios, protocolos

Figura N. 13

Topología de subred DMZ

Elaboraci+on: Cisco System, Inc., 2019

Fuente: cisco.com

39

independientes que se utilizan para descubrir y establecer la

seguridad. (lnstitute of Electrical and Electronics Engineers, [IEEE],

2010)

Modelo AAA

Conjunto de herramientas, procedimientos y protocolos que garantizan un

tratamiento coherente de las tareas de autenticación, autorización y

contabilización de actividad de las entidades que tienen acceso a un sistema de

información. Permite a un usuario mediante sus credenciales (usuario y

contraseña) acceder a una red corporativa de comunicaciones, siempre y cuando

se encuentre registrado en la base de datos. “De esta manera previene el acceso

de persona no autorizada a la red, limitando quien y que recursos específicos,

puedan ser utilizados una vez que se otorga el acceso a la misma” (Valdivieso

Villamarín, 2015, p.7).

Acrónimos de las siglas AAA (Autenticación, Autorización y Contabilización) este

protocolo se empeña en autenticar a un usuario basándose en la identidad

verificable del usuario, también en dar autorización a un determinado usuario

basándose en sus derechos de usuario y contabilizar el consumo de recursos de

una red. Autenticación, autorización y contabilización (AAA) es un conjunto de

herramientas capaces de controlar de forma inteligente el acceso a los recursos

informáticos, hacer cumplir las políticas, auditar el uso y proporcionar la

información necesaria para facturar los servicios. Estos procesos combinados se

consideran importantes para una gestión y seguridad de red efectiva, así también

se detalla en una petición de comentario de la Sociedad de internet

These are protocols for carrying user service information for

authentication, authorization, accounting, and auditing, between a

Network Access Server which desires to authenticate its incoming

calls and a shared authentication server. (The Internet Society,

2000, p. 1)

40

De la misma forma en el Request for Comment 2881 detalla como ventaja la

separación de la autenticación, Autorización, y Auditoría para un Servidor de

Acceso a la Red.

Al separar estas funciones del equipo NAS, se pueden implementar

en sistemas informáticos de propósito general, que pueden

proporcionar medios de almacenamiento a largo plazo más

adecuados e infraestructuras de software de base de datos más

sofisticadas. Sin mencionar que un servidor centralizado puede

permitir la administración coordinada de muchos sistemas NAS

según corresponda (por ejemplo, un solo servidor puede dar

servicio a un POP completo que consta de múltiples sistemas NAS).

(The Internet Society, 2000, p.4)

Por esta razón los protocolos AAA cada vez se vuelven necesarios y resulta

conveniente para una empresa la implementación de los mismo.

Funcionamiento del modelo AAA

El funcionamiento de un protocolo AAA consiste en utilizar un intermediario que

se encargue de controlar el acceso a la red, este intermediario se lo conoce como

NAS (Servidor de Acceso a la Red) que hace el papel de un cliente del protocolo

AAA (Radius, TACACS+), el cliente es el que se encarga de llevar la información

a los usuarios así lo detalla una publicación del Instituto de Nacional de Seguridad

de España

Los servidores RADIUS reciben la petición del cliente y realizan la

autenticación del usuario a partir de los datos recibidos

(generalmente contra servidores de directorio) devolviendo la

configuración con la información necesaria para que el cliente

acceda al servicio del usuario autenticado. Durante este proceso de

Autenticación y Autorización que verifica la validez del usuario y los

recursos a los que tiene acceso autorizado. Esta gestión se

41

Figura N. 14

Modelo AAA

Elaboración: Antonio López

Fuente: incibe-cert.es

complementa con el proceso de Contabilización que registrará los

datos relevantes de la sesión y que se usa normalmente para

generar registros de tarificación. (Instituto Nacional de

Ciberseguridad de España, 2015, p.1)

Como resultado de esta interacción el usuario logra el ingreso a la red de manera

segura para ambas partes, tanto para el usuario como para la red, quedando

registrado cada petición en los registros, a continuación, en la siguiente figura se

visualiza esta conexión entre usuario y red

.

Autenticación

Este proceso de autenticación cede una forma de comparar un usuario que intenta

ingresar a la red comparando las credenciales dadas por la persona con la base

42

de datos o configuración que se realizó en el servidor, las credenciales

generalmente son un nombre de usuario y contraseña en el siguiente TABLA se

detalla el proceso.

Tabla N. 7

Procesos General de la Autenticación

1 El usuario envía una petición solicitando el acceso a la red

2 El sistema o servidor hace un requerimiento de autenticación

3 La persona brinda un nombre de usuario y contraseña

4 El servidor valida si los datos proporcionados son válidos y suficientes para

el ingreso a la red según parámetros establecidos.


Fuente: Análisis De Prestaciones De Los Protocolos De

Autenticación Remota Radius Y Tacacs+ En

Infraestructura De Comunicaciones Corporativas

Autorización

Proceso que provee la autorización para el uso de app o funcionalidades de

manera parcial o total según configuraciones establecido, hecho que se da luego

de comparar los datos proporcionados con los que se registran en el servidor así

lo afirma Jorge Espinel en un trabajo investigativo.

Provee el método de control de acceso remoto, incluyendo

autorización total o autorización para cada servicio, lista de cuentas

y perfil por usuario, soporte para grupos de usuarios, y soporte para

IP, IPX, ARA y Telnet. AAA Autorización trabaja agrupando

atributos que se describen lo que el usuario está habilitado a usar

o acceder. Estos atributos son comparados con la información

contenida en una base de datos de un usuario determinado y el

resultado se 9 devuelve a AAA para determinar las capacidades

reales de los usuarios y las restricciones. La base de datos se

puede localizar de forma local en el servidor de acceso o router

43

también puede ser alojado de forma remota en un servidor de

seguridad RADIUS o TACACS+, los servidores remotos de

seguridad, utilizan a los usuarios de los derechos específicos

mediante la asociación de atributos de valor (AV) pares, que los

derechos con el usuario apropiado. (Espinel Pilicita, 2019, p.9)

Contabilización (Accounting)

El proceso de contabilización también se lo conoce con el nombre de Auditoría y

consiste en considerar el consumo de recursos del sistema que genera un

determinado usuario para medir y registrarlos como eventos, pudiendo ser estos

la medición del tiempo, la cantidad de información enviada durante la sesión del

usuario y cualquier tipo de incidente, y así llevar un control que ayude a encontrar

la solución a los problemas que se susciten dentro de la red, también podemos

conceptualizar la Auditoría o contabilidad de la siguiente manera

La contabilidad mide los recursos que consume un usuario durante

el acceso, esto puede incluir la cantidad de tiempo del sistema o la

cantidad de datos que un usuario ha enviado o recibido durante una

sesión. La contabilidad se lleva a cabo mediante el registro de

estadísticas de sesión e información de uso y se utiliza para el

control de autorización, facturación, análisis de tendencias,

utilización de recursos y actividades de planificación de capacidad.

La contabilidad se refiere al seguimiento del consumo de recursos

de red por parte de los usuarios. Esta información puede usarse

para administración, planificación, facturación u otros fines. La

contabilidad en tiempo real se refiere a la información contable que

se entrega simultáneamente con el consumo de los recursos. La

contabilidad por lotes se refiere a la información contable que se

guarda hasta que se entrega más adelante. La información típica

que se recopila en la contabilidad es la identidad del usuario, la

naturaleza del servicio prestado, cuándo comenzó y cuándo

finalizó. (Valdivieso Villamarín, 2015, p.8).

44

Seguridad de redes LAN

La administración que se brindará a la red de área local, esta poseerá de una

seguridad de acceso al medio el usuario como de los equipos que se encuentra

conectado en nuestra red; lo cual para brindar esta seguridad utilizaremos el

modelo AAA, con o protocolo elegido es TACACS+ este nos permite vincular todos

nuestros equipos como los usuarios de nuestra red LAN.

Protocolo TACACS+

TACACS+ es un protocolo que es considerado AAA siendo esta propiedad de

CISCO System y hace la función de control los accesos a la red considerando

como clientes a todos los equipos que conforman una determinada red como por

ejemplo un Access Point, Router, Switches entre otros, a diferencia de RADIUS,

TACACS+ divide la autorización, autenticación y contabilización así lo manifiesta

Cysco system e un documento publicado en su página web.

Se incluyeron muchas funciones en el protocolo TACACS + para

satisfacer las necesidades del creciente mercado de la seguridad.

El protocolo fue diseñado para escalar a medida que las redes

crecen y para adaptarse a la nueva tecnología de seguridad a

medida que madura el mercado. La arquitectura subyacente del

protocolo TACACS + complementa la arquitectura independiente

de autenticación, autorización y contabilidad (AAA) (CISCO, 2008)

Inclusive a diferencia de RADIUS el protocolo para transportar los paquetes

durante la sesión cliente servidor es TCP así lo menciona un documento publicado

por cisco

RADIUS usa UDP mientras que TACACS + usa TCP. TCP ofrece

varias ventajas sobre UDP. TCP ofrece un transporte orientado a la

conexión, mientras que UDP ofrece una entrega con el mejor

esfuerzo. RADIUS requiere variables programables adicionales,

como intentos de retransmisión y tiempos de espera para

45

compensar el transporte de mejor esfuerzo, pero carece del nivel

de soporte integrado que ofrece un transporte TCP. (CISCO, 2008)

Por otra parte, el uso del protocolo de transporte TCP brinda muchos beneficios

para la información que se tramite a través de la red, a continuación, en el

siguiente TABLA se detalla los beneficios de TCP

Tabla N. 8

Beneficios del uso del Protocolo TCP

1 Al usar TCP y recibir una solicitud genera un reconocimiento por separado

del mismo, en un lapso de ida y vuelta de la red, indistintamente de la

lentitud del mecanismo de autenticación.

2 TCP avisa de manera instantánea cuando un servidor se encuentra

bloqueado o no se encuentra en actividad al reiniciarse, de la misma

manera TCP puede determinar un servidor con fallas a diferencia de UDP

que no distingue un servidor entre un servidor en buen o mal estado.

3 Las bajas que presenten un servidor determinado pueden ser detectados

fuera de bandas con requerimiento reales durante el uso de keepalives

de TCP, de manera simultánea TCP puede mantenerse en conexión con

varios servidores y solo enviara mensajes al servidor que este en buen

funcionamiento

4 TCP se adapta al crecimiento de la red y es más escalable a diferencia de

Radius.


Fuente: Cisco System

Como se puede observar en el TABLA anterior TACACS+ difiere mucho de

RADIUS para transportar los paquetes al momento de generar una conexión

cliente servidor así lo afirma también Gabriela Andrade en un trabajo de

investigación del 2019

TACACS+ es un protocolo que funciona bajo el modelo de

cliente/servidor y para su transporte utiliza el protocolo TCP por el

46

puerto 49 y utiliza encriptación de credenciales y datos mediante el

algoritmo de encriptación MD5 lo que lo hace más seguro y

confiable de otros protocolos. Además, que para tener menos carga

en el servidor y una mejor detección de caídas en la comunicación

puede ser establecida en una sola sesión de cliente/servidor

mientras que el servidor o dispositivo de red se encuentren en

forma operacional. (Andrade Tubun, 2019, p.29)

Tal como vemos TACACS+ a sido motivo de estudio durante varios años y ha ido

evolucionando su funcionalidad siendo inicialmente TACACS “Protocolo simple de

control de acceso basado en UDP desarrollado originalmente por BBN para

MILNET” (Internet Engineering Task Force, 1993, p.1).perteneciente a las Fuerzas

armadas de Estados unidos para luego convertirse en TACACS+ de la mano de

Cisco como se evidencia en el RFC 1492 solicitud de comentario de la universidad

de minnesota

Esta versión de la especificación se desarrolló con la asistencia de

Cisco Systems, que tiene una implementación del TACACS

protocolo que se cree que es compatible con la original

especificación. Para ser precisos, la implementación de Cisco

Systems admite tanto la versión simple (no extendida) como la

extendida. Está la versión simple que sería compatible con el

original. (Request For Coments [RFC], 1993, p.1)

posterior a ello la comunidad de código abierto se baso en la fuente original del

código de cisco para distribuir el demonio TAC_PLUS y bajo el codigo original se

desarrollo la distribucion del demonio tac_plus para maquinas linux.

De manera se pudo conseguir adaptar este modelo AAA indistintamente del

sistema operativos, la cominidad TI hace refrenecia a esto y Cisco en un

documento publicado dice lo siguiente “Hay una serie de distribuciones de código

de servidor disponibles comercial y gratuitamente. Los servidores de Cisco

incluyen Cisco Secure ACS para Windows, Cisco Secure ACS para UNIX y Cisco

Access Registrar” (CISCO, 2008).

47

Esta nueva versión de TACACS+ trajo consigo la separación de la Autenticación,

Autorización y Auditoría, en el siguiente Figura se detalla el tráfico que genera los

paquetes TACACS+ al momento de realizar estos procesos

Paquete TACACS+

Se cifra el paquete entero dejando solo la cabecera intacta, comienza dejando 12

bytes los cuales son la cabecera de TACACS+, estos se envían en texto plano

como se indica en un documento publicado de Cisco

TACACS + cifra todo el cuerpo del paquete, pero deja un

encabezado TACACS + estándar. Dentro del encabezado hay un

campo que indica si el cuerpo está encriptado o no. Para fines de

depuración, es útil tener el cuerpo de los paquetes sin cifrar. Sin

embargo, durante el funcionamiento normal, el cuerpo del paquete

Figura N. 15

Proceso AAA

Elaboración: Cisco System

Fuente: Comparación de TACACS + y RADIUS

48

está completamente encriptado para comunicaciones más seguras.

(CISCO, 2008)

En el siguiente Figura publicado por la IETF se puede observar los 12 byte

utilizados para la cabecera por TACACS+

En cuanto a estos datos de cabecera que son enviados en el paquete TACACS+

a continuación se detallan cada uno de ellos en el tabla No 9

Figura N. 16

Paquete TACACS+

Elaboración: D. Carrel, Lol Grant

Fuente: tools.ietf.org/

49

Tabla N. 9

Atributos del Paquete de TACACS+

Minor

Versión o

Menor

Versión

Guarda los valores que corresponden a la versión menor de

TACACS+ también admite utilizar la revisión de TACACS+ y con

este proceso se genere la compatibilidad con otras versiones de

TACACS+, cuando el protocolo reciba una versión menor y este

no lo admita procederá a dar una respuesta con un mensaje de

error con el valor de la versión de Tacacs+ más próxima

Major

Versión

Es el número de la versión de TACACS+.

Type o

Tipo:

indica los tipos de paquetes entre los cuales están los de

autenticación, autorización y contabilización

TAC_PLUS_AUTHEN: = 0x01 (Autenticación)

TAC_PLUS_AUTHOR: = 0x02 (Autorización)

TAC_PLUS_ACCT: = 0x03 (Contabilidad)

Seq_no Número que tiene el paquete el cual es una secuencia que indica

la sesión actual. Este valor se incremente de manera progresiva

a medida que se envían los paquetes, es decir si se genera una

sesión el primer paquete tendrá como valor 1 esto quiere decir

que el próximo paquete tendrá un valor con el número 2, por

consiguiente, los paquetes que envié los clientes serán impares.

Flags o

Banderas:

Este campo indica que si todo el cuerpo del paquete de

TACACS+ viene encriptado o no.

Session_Id: Identificador de sesión que no cambia durante la duración de la

misma.

Length o

Longitud:

Indica la longitud total del paquete TACACS+ Excluyendo la

cabecera.



50

Como se pudo observar los campos de la cabecera son los únicos que no se

encriptan, los demás paquete que se envíen durante de sesión si serán

encriptados cabecera mediante un hash MD5

El MD5 es un algoritmo que proporciona un código asociado a un

archivo o un texto concretos. De esta forma, a la hora de descargar

un determinado archivo, como puede ser un instalador, el código

generado por el algoritmo, también llamado hash, viene “unido” al

archivo. (rootear.com, 2015)

Por lo antes mencionado a continuación detallan en el figura N. 17 , figura N.18 y

el Figura se observan los paquete de la Autenticación, Autorización y Auditoría.

Figura N. 17

The Authentication Start Packet



51

Figura N. 19

The Account Request Body


Fuente: tools.ietf.org

Figura N. 18

The Authorization Request Packet Body


Fuente: tools.ietf.org

52

Comparativa diferentes protocolos de arquitectura AAA

Entre los protocolos del modelo AAA existen varios, los cuales podemos hacer

una comparativa, a continuación, en el siguiente Figura se hace una breve

comparativa de los protocolos Radius, Diameter y Tacacs+

Fundamentación Legal

Constitución De La República Del Ecuador

Articulo 66.- Se reconoce y garantizará a las personas:

Numeral 11.- El derecho a guardar reserva sobre sus convicciones. Nadie podrá

ser obligado a declarar sobre las mismas. En ningún caso se podrá exigir o utilizar

sin autorización del titular o de sus legítimos representantes, la información

personal o de terceros sobre sus creencias religiosas, filiación o pensamiento

Figura N. 20

Comparativa de Protocolos AAA


Fuente: flu-project.com

53

político; ni sobre datos referentes a su salud y vida sexual, salvo por necesidades

de atención médica.

Articulo 66.- Se reconoce y garantizará a las personas:

Numeral 19 .- El derecho a la protección de datos de carácter personal, que incluye

el acceso y la decisión sobre información y datos de este carácter, así como su

correspondiente protección. La recolección, archivo, procesamiento, distribución

o difusión de estos datos o información requerirán la autorización del titular o el

mandato de la ley.

Articulo 92.- Las personas responsables de los bancos o archivos de datos

personales podrán difundir la información archivada con autorización de su titular

o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso

sin costo al archivo, así como la actualización de los datos, su rectificación,

eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar

autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas

de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la

jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados.

Ley Orgánica De Telecomunicaciones

Artículo 13.- Redes privadas de telecomunicaciones: Las redes privadas son

aquellas utilizadas por personas naturales o jurídicas en su exclusivo beneficio,

con el propósito de conectar distintas instalaciones de su propiedad o bajo su

control. Su operación requiere de un registro realizado ante la Agencia de

Regulación y Control de las Telecomunicaciones y en caso de requerir de uso de

frecuencias del espectro radioeléctrico, del título habilitante respectivo. Las redes

privadas están destinadas a satisfacer las necesidades propias de su titular, lo que

excluye la prestación de estos servicios a terceros. La conexión de redes privadas

se sujetará a la normativa que se emita para tal fin. La Agencia de Regulación y

Control de las Telecomunicaciones regulará el establecimiento y uso de redes

privadas de telecomunicaciones. (Arcotel, 2008, p.5)

54

Artículo 17.- Comunicaciones internas: No se requerirá la obtención de un título

habilitante para el establecimiento y uso de redes o instalaciones destinadas a

facilitar la intercomunicación interna en inmuebles o urbanizaciones, públicas o

privadas, residenciales o comerciales, siempre que:

• No se presten servicios de telecomunicaciones a terceros;

• No se afecten otras redes de telecomunicaciones, públicas o

privadas;

• No se afecte la prestación de servicios de telecomunicaciones;

• No se use y explote el espectro radioeléctrico.

No obstante, dicha instalación y uso por parte de personas naturales o jurídicas

se sujetarán a la presente Ley y normativa que resulte aplicable y, en caso de la

comisión de infracciones, se impondrán las sanciones a que haya lugar.

Artículo 29.- Regulación técnica: Consistente en establecer y supervisar las

normas para garantizar la compatibilidad, la calidad del servicio y solucionar las

cuestiones relacionadas con la seguridad y el medio ambiente.

Artículo 78.- Derecho a la intimidad: Para la plena vigencia del derecho a la

intimidad, establecido en el artículo 66, numeral 20 de la Constitución

de la República, las y los prestadores de servicios de telecomunicaciones deberán

garantizar, en el ejercicio de su actividad, la protección de los datos de carácter

personal. Para tal efecto, las y los prestadores de servicios de telecomunicaciones

deberán adoptar las medidas técnicas y

de gestión adecuadas para preservar la seguridad de su red con el fin de

garantizar la protección de los datos de carácter personal de conformidad con la

ley. Dichas medidas incluirán, como mínimo:

• La garantía de que sólo el personal autorizado tenga acceso a los

datos personales para fines autorizados por la ley.

• La protección de los datos personales almacenados o transmitidos

de la destrucción accidental o ilícita, la pérdida o alteración

accidentales o el almacenamiento, tratamiento, acceso o revelación

no autorizados o ilícitos.

55

• La garantía de la aplicación efectiva de una política de seguridad con

respecto al tratamiento de datos personales.

• La garantía de que la información suministrada por los clientes,

abonados o usuarios no será utilizada para fines comerciales ni de

publicidad, ni para cualquier otro fin, salvo que se cuente con el

consentimiento previo y autorización expresa de cada cliente,

abonado usuario. El consentimiento deberá constar registrado de

forma clara, de tal manera que se prohíbe la utilización de cualquier

estrategia que induzca al error para la emisión de dicho

consentimiento.

Código Orgánico Integral Penal

Artículo 69.- Penas restrictivas de los derechos de propiedad. - Son penas

restrictivas de los derechos de propiedad: Numeral 2 a) Los bienes, fondos o

activos, o instrumentos equipos y dispositivos informáticos utilizados para financiar

o cometer la infracción penal o la actividad preparatoria punible.

Artículo 178.- Violación a la intimidad. - La persona que, sin contar con el

consentimiento o la autorización legal, acceda, intercepte, examine, retenga,

grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz,

audio y vídeo, objetos postales, información contenida en soportes informáticos,

comunicaciones privadas o reservadas de otra persona por cualquier medio, será

sancionada con pena privativa de libertad de uno a tres años.

Artículo 190.- Apropiación fraudulenta por medios electrónicos.- La persona que

utilice fraudulentamente un sistema informático o redes electrónicas y de

telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la

transferencia no consentida de bienes, valores o derechos en perjuicio de esta o

de una tercera, en beneficio suyo o de otra persona alterando, manipulando o

modificando el funcionamiento de redes electrónicas, programas, sistemas

informáticos, telemáticos y equipos terminales de telecomunicaciones, será

sancionada con pena privativa de libertad de uno a tres años. La misma sanción

56

se impondrá si la infracción se comete con inutilización de sistemas de alarma o

guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización

de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de

apertura a distancia, o violación de seguridades electrónicas, informáticas u otras

semejantes.

Artículo 211.- Supresión, alteración o suposición de la identidad y estado civil.-

La persona que ilegalmente impida, altere, añada o suprima la inscripción de los

datos de identidad suyos o de otra persona en programas informáticos, partidas,

tarjetas índices, cédulas o en cualquier otro documento emitido por la Dirección

General de Registro Civil, Identificación y de Cedulación o sus dependencias o,

inscriba como propia, en la Dirección General de Registro Civil, Identificación y de

Cedulación a una persona que no es su hijo, será sancionada con pena privativa

de libertad de uno a tres años

Artículo 229.- Revelación ilegal de base de datos. - La persona que, en provecho

propio o de un tercero, revele información registrada, contenida en ficheros,

archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema

electrónico, informático, telemático o de telecomunicaciones; materializando

voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad

de las personas, será sancionada con pena privativa de libertad de uno a tres

años. Si esta conducta se comete por una o un servidor público, empleadas o

empleados bancarios internos o de instituciones de la economía popular y

solidaria que realicen intermediación financiera o contratistas, será sancionada

con pena privativa de libertad de tres a cinco años.

Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena privativa

de libertad de tres a cinco años: 1. La persona que, sin orden judicial previa, en

provecho propio o de un tercero, intercepte, escuche, desvíe, grabe u observe, en

cualquier forma un dato informático en su origen, destino o en el interior de un

sistema informático, una señal o una transmisión de datos o señales con la

finalidad de obtener información registrada o disponible. 2. La persona que diseñe,

desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad

o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de

57

resolución de nombres de dominio de un servicio financiero o pago electrónico u

otro sitio personal o de confianza, de tal manera que induzca a una persona a

ingresar a una dirección o sitio de internet diferente a la que quiere acceder. 3. La

persona que a través de cualquier medio copie, clone o comercialice información

contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté

soportada en las tarjetas de crédito, débito, pago o similares. 4. La persona que

produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos

o sistemas informáticos destinados a la comisión del delito descrito en el inciso

anterior.

Artículo 232.- Ataque a la integridad de sistemas informáticos. - La persona que

destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal

funcionamiento, comportamiento no deseado o suprima datos informáticos,

mensajes de correo electrónico, de sistemas de tratamiento de información,

telemático o de telecomunicaciones a todo o partes de sus componentes lógicos

que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.

Con igual pena será sancionada la persona que: 1. Diseñe, desarrolle, programe,

adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera,

dispositivos o programas informáticos maliciosos o programas destinados a

causar los efectos señalados en el primer inciso de este artículo. 2. Destruya o

altere sin la autorización de su titular, la infraestructura tecnológica necesaria para

la transmisión, recepción o procesamiento de información en general. Si la

infracción se comete sobre bienes informáticos destinados a la prestación de un

servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a

siete años de privación de libertad.

Artículo 233.- Delitos contra la información pública reservada legalmente. - La

persona que destruya o inutilice información clasificada de conformidad con la Ley,

será sancionada con pena privativa de libertad de cinco a siete años. La o el

servidor público que, utilizando cualquier medio electrónico o informático, obtenga

este tipo de información, será sancionado con pena privativa de libertad de tres a

cinco años. Cuando se trate de información reservada, cuya revelación pueda

comprometer gravemente la seguridad del Estado, la o el servidor público

encargado de la custodia o utilización legítima de la información que sin la

58

autorización correspondiente revele dicha información, será sancionado con pena

privativa de libertad de siete a diez años y la inhabilitación para ejercer un cargo o

función pública por seis meses, siempre que no se configure otra infracción de

mayor gravedad.

Artículo 234.- Acceso no consentido a un sistema informático, telemático o de

telecomunicaciones.- La persona que sin autorización acceda en todo o en parte

a un sistema informático o sistema telemático o de telecomunicaciones o se

mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo

derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web,

desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos

sistemas proveen a terceros, sin pagarlos a los proveedores de servicios

legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años.

PREGUNTA CIENTÍFICA PARA CONTESTARSE

¿Qué Beneficios proporciona la iimplementación de un prototipo de

seguridad basado en Raspberry y TACACS+ para DISTRIBUIDORA

COMSUCRE?

Una solución centralizada ante una desorganizada estructura de red que presenta

a nivel administrativo y conjuntamente se estaría resolviendo el hecho de que no

tienen implementado un estándar IEEE 802.11x como toda red en crecimiento

debería tener, así mismo cumpliría con las buenas normas de seguridad y

garantiza la seguridad de la integridad de los datos de sus clientes evitando futuras

demandas por mal manejo de datos personal. Brindará las herramientas

necesarias para que los administradores de la red gestionen según las

necesidades como la creación y eliminación de usuarios de manera remota,

asignación de privilegios y restricción de los mismos, creación de grupos usuarios

con accesos a la red, manejo de Auditoría y con ella establecer estadística,

determinar responsabilidades, proporcionar robusticidad a inicio de sesión,

restringir el uso de determinados comandos entre otros, por lo antes mencionado

59

TACAS+ será el intermediario entre las personas que administran la red con los

equipo que la conforman.

¿Cuál es la adaptación y conectividad que tendrá de protocolo TACACS+ ante

equipos nuevo y cuál será su funcionabilidad sobre ellos?

TACACS+ mantendrá conectividad inicialmente con 5 router los cuales serán

administrados por dicho protocolo y de ellos se registrará cada incidente dado

teniendo una funcionalidad total sobre ellos que me permita tener una red

organizada en la DISTRIBUIDORA COMSUCRE y preparada para admitir equipos

nuevos en la red.

DEFINICIONES CONCEPTUALES

AAA: Modelo de seguridad de acceso a la red que rige el control utilizando

Autenticación, Autorización y Auditoría.

TACACS+: Es un protocolo de autenticación remota privativo de Cisco, permite a

un servidor de acceso remoto comunicarse con un servidor de autenticación para

determinar si el usuario tiene acceso a la red.

RADIUS: Es un protocolo de autenticación y autorización para aplicaciones de

acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP para establecer sus

conexiones.

UDP: Proporciona un servicio no orientado a conexión y no fiable, intenta por todos

los medios que los datos lleguen, pero no lo garantiza.

Bases de datos: programa de computador que almacenara la información de los

usuarios y los eventos generados por el usuario.

IAS: Es un componente de los sistemas operativos Windows Server que

proporciona autenticación, autorización y contabilidad centralizadas de usuarios.

60

CAPÍTULO III PROPUESTA TECNOLÓGICA

Esta propuesta dada se realizó en base al método de PMBOOK (PMI) para su

ejecución, l presentará y entregará la solución para los problemas que presenta la

red de la DISTRIBUIDORA COMSUCRE.

Análisis de factibilidad

En esta sección se detallará el logro frente a los problemas de red con la

Implementación de un Prototipo de Seguridad Basado en Raspberry Y Tacacs+

Para DISTRIBUIDORA COMSUCRE, y para saber si la propuesta de solución es

practicable se ha empleado como medición de resultados y factibilidad de la

misma “la encuesta” que se realizó tanto a empleados internos del departamento

TI y empleados externos de la DISTRIBUIDORA COMSUCRE con conocimiento

del área.

De acorde a la situación actual se estableció que es necesaria la reestructuración

estratégica de la red para la gestión administrativa de la misma y disminuir la carga

de administración al momento de cambios, escalabilidad e incidentes que

presente la red y de manera centralizada dar solución a los problemas planteados

Culminado el proyecto se presentará y se obtendrá una red totalmente

centralizada para la administración de equipo de la red de la DISTRIBUIDORA

COMSUCRE completamente funcional es todos los aspectos de gestión de la

misma que permitan por medio de un sistema AAA validar acciones,

modificaciones e ingresos a la red.

Factibilidad Operacional

La propuesta de solución presentada es factible al contar con la aprobación de la

DISTRIBUIDORA COMSUCRE y los administradores de red de la misma e

involucrados en el área, también se contó con la colaboración de análisis técnico

61

de los ingenieros graduados de la Universidad Estatal de Guayaquil de la Facultad

de Ciencias Matemáticas y Física carrera Ingeniería Networking y

telecomunicaciones a quienes inicialmente se les presento el prototipo a

consideración obteniendo comentarios aceptables de manera técnica para su

implementación siendo su acogida muy competente frente a la evolución de las

redes de las PYMES y leyes a aprobarse en el Ecuador.

Una vez revisados y analizados los procesos operativos a innovar de manera

centralizada para la gestión administrativa y por lo antes detallado se puede

ratificar que la Implementación de un Prototipo de Seguridad Basado en

Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE satisface las

exigencias de la DISTRIBUIDORA en mención.

Factibilidad técnica

Se elaboro estudios de la Implementación de un Prototipo de Seguridad Basado

en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE direccionados a

consideraciones como el software y hardware para determinar cuáles son las

exigencias necesarias para el funcionamiento y rendimiento óptimo y eficaz de la

red de la DISTRIBUIDORA COMSUCRE.

Desde el análisis intangible de software se tomó en consideración las

herramientas modernas y vigentes que proporcionen la facilidad para la

Implementación de un Prototipo de Seguridad Basado en Raspberry Y Tacacs+

Para DISTRIBUIDORA COMSUCRE como lo son Ubuntu Server 18.04 que se

implementó en una Micro SD para la integración en el equipo Raspberry Pi III por

medio del software Win 32 Imagen Versión 1.0, versión de TACACS+, para el

servidor instalado en el equipo Raspberry que se va a conectar con la

virtualización de Router creados en Virtual Box 6.1 con accesos a ellos por medio

del software Putty 0.73 Dichos router tienen un sistema operativos instalado de

Ubuntu 16.04 cabe mencionar que los software empleados tienen compatibilidad

total en el sistema de red de la DISTRIBUIDORA COMSUCRE los cuales son en

su mayoría herramientas open Source, y requieren de licencia salvo una

necesidad puntual.

62

Y desde el análisis tangible del Hardware podemos mencionar que la

implementación se hará de forma paralela al sistema de red de la

DISTRIBUIDORA COMSUCRE que de igual forma al integrarla a ella no afecta en

temas de compatibilidad con el sistema de seguridad basado en Raspberry y

TACACS+ debido a que los equipos de red que utiliza son de CISCO los mismos

que están siendo virtualizados en el prototipo.

Factibilidad Legal

La Implementación de un Prototipo de Seguridad Basado en Raspberry Y Tacacs+

para DISTRIBUIDORA COMSUCRE se desarrolla en base a herramientas Open

Source denomina dentro de la comunidad tecnológica como software libre y su

código tiene un enfoque público es decir son código abierto por consiguiente no

se necesita de una licencia para el uso de las mimas por lo que su factibilidad legal

está garantizada al no incumplir leyes vigentes de la propiedad intelectual dentro

de la ley ecuatoriana.

Figura N. 21

Diseño de red de la DISTRIBUIDORA COMSUCRE


Fuente: Datos de la Investigación

63

Factibilidad Económica

Referente al factor económico puede determinarse que para la DISTRIBUIDORA

COMSUCRE sería una implementación sin costo debido a que la empresa cuenta

con equipos físicos compatibles con el protocolo TACACS+. Además de

implementar tecnologías Open Source que no requieren de pago alguno para su

utilización.

Etapas de la metodología del proyecto

Este proyecto está siendo implementado por la metodología PMI el cual cuanta

con pasos puntuales los cuales fundamentaran al desarrollo del mismo. Las

etapas utilizadas en esta metodología son las siguientes:

Inicio del Proyecto

El proyecto consiste en la administración centralizada con gestión de

contabilización hacia los equipos de red administrables de la DISTRIBUIDORA

COMSUCRE. El área beneficiada por esta implementación será la de Tecnología

de la información junto con su respectiva subárea que es la del departamento

técnico.

Ante el problema actual que está presentando el país ciertas empresas optan por

un recorte de personal, esta implementación facilitara tener un control y obtención

de log de eventos hacia los dispositivos de red remotos por esto se propone la

implantación de un servidor TACAS+, en esta primera del desarrollo del proyecto

se detallara en el siguiente la figura No el presupuesto.

Presupuesto General de Implementación de un Prototipo

de Seguridad Basado en Raspberry y Tacacs+ para

DISTRIBUIDORA COMSUCRE

Se detallan los costos invertidos dentro de la implementación del servidor

Tacacs+:

64

Gráfico N. 1

Presupuesto de Implementación



Requerimientos de hardware para instalación de servidor

Tacacs+

Para lograr una mayor aceptación optamos en la implementación de un servidor

AAA de bajo presupuesto el cual realizara las funciones de administración

centralizada

Los equipos que se requirieron para la implementación del servidor son:

Placa Raspberry Pi 3 model B

Esta placa nos sirve para la implantación de nuestro servidor Tacacs+ con un

sistema operativo Ubuntu Server 18.04 el cual va instalada por medio de software

a la micro SD.

65

Figura N. 22

Placa Raspberry Pi3 Model B



Case Raspberry

El case brinda protección del medio externo la cual no viene incluida por la

compra de la placa y se la adquierio de manera adicional.

Figura N. 23

Case Raspberry



66

Tabla N. 10

Características Raspberry

Características del Hardware

Tipo Detalle

Servidor Raspberry Pi 3

Procesador CPU + GPU: Broadcom

BCM2837B0, Cortex-A53 (ARMv8)

64-bit SoC @ 1.4GHz

MEMORIA RAM 1GB LPDDR2 SDRAM

ALMACENAMIENTO Micro SD 32 GB

RED Gigabit Ethernet



La DISTRIBUIDORA COMSUCRE tiene a futuro implementar varios AP dentro de

la red, y dentro de su planificación a futuro también usar AP Cisco-LAP1142N-A-

K9 a continuación de detalla las características de este equipo

Tabla N. 11

Características del AP Cisco-LAP1142N-A-K9


Tipo Detalle

AP Cisco AIR-LAP1142N-A-K9

FRECUENCIA DE BANDA 2.4, 5 GHz

MEMORIA INTERNA 128 MB

MEMORIA FLASH 32 MB

RED 10/100/1000Base-T(X)



67

Tabla N. 12

Características de Router Cisco 2911-k9


Tipo Detalle

ROUTER Cisco 2911-K9

INTERFACES 3 x 10Base-T/100Base-TX/1000Base-

T - RJ-45

Administración: 1 x consola - RJ-45

Administración: 1 x consola - mini

USB tipo B

Serial: 1 x auxiliar - RJ-45

USB: 2 x USB de 4 clavijas Tipo A

MEMORIA INTERNA 512 MB

MEMORIA FLASH 256 MB



Requerimiento de Software

Tabla N. 13

Requerimiento de Software

SOFTWARE DESCRIPCION USO VERSIÓN

Ubuntu Server Software base para

la implemantacion

de Tacacs+

S.O compatible con

Raspberry y

Tacacs+

18.04

win32diskimager Software de lectura

y carga de

imágenes

Carga e instalacion

de S.O en la micreo

SD

1.0.0

Putty Software cliente

para accesos

remotos

Permite los accesos

SSH y Telnet hacia

los equipos

Release 0.73



68

Planificación del Proyecto

De acuerdo con el planteamiento se establece alcances, tiempo y presupuesto a

ejecutarse en el proyecto. A continuación, se detalla el cronograma.

Cronograma

En el siguiente cronograma se detalla la durabilidad de las fases del proyecto

indicando la fecha de inicio y fecha de finalización de los mismos, el grafico

también abarca desde la fase de la problemática constatada en la

DISTRIBUIDORA COMSUCRE, la recopilación de información durante todas las

etapas y su respectivo análisis para de esta manera tener un pleno control en el

desarrollo del mismo.

Gráfico N. 2

Cronograma de Actividades



69

Gráfico N. 4

Cronograma de Actividades – Implementación



Gráfico N. 3

Cronograma de Actividades Análisis



70

Gráfico N. 5

Cronograma de Actividades Pruebas



Gráfico N. 6

Cronograma de Actividades – Documentación



71

Gráfico N. 7

Cronograma de Actividades - Conclusiones y recomendaciones



El alcance de la propuesta consiste en la entrega de un servidor UBUNTU

implementado un servicio Open Source Tacacs+ para la administración acceso,

control y contabilización de los equipos de red remotos.

El plazo de este proyecto será de 52 días desde el inicio hasta el cierre del mismo

los cuales se ejecutan las fases de diseño de solución y la implantación del

prototipo (Hardware y Software).

Entra la fase de cierre tendremos las pruebas finales del prototipo y la entrega

formal del mismo.

Ejecución del Proyecto

Para la ejecución del proyecto se mostrará la funcionabilidad del prototipo de

seguridad basado en el protocolo TACACS+ junto con su operabilidad y

administración para lo cual fue diseñado.

72

Dentro de la fase de la ejecución del proyecto se realizó una simulación previa a

la implementación en la DISTRIBUIDORA COMSUCRE tomando en cuenta el

diseño otorgado por el departamento de sistema esto facilitara el entorno real de

la empresa antes de su implementación en sitio.

Instalación de Sistema Operativo

Para la instalación del sistema operativo se tuvo que investigar cual era el más

compatible tanto con el equipo Raspberry Pi 3 Modelo B como el protocolo

TACACS+ ya que si se implementaba un sistema no compatible presentaba

incompatibilidad con los drivers de video y de red lo cual hacia inaccesible al

equipo.

Descarga del Sistema Operativo Ubuntu Server 18.05.5

Figura N. 24

Red de la DISTRIBUIDORA COMSUCRE



73

Se descarga desde la página oficial raspberrypi.org la versión Ubuntu Server

18.04.5 compatible con el equipo Raspberry Pi 3 y se procede con la carga del

sistema operativo a la micro SD desde la herramienta Win32DiskImager.

Figura N. 25

Carga de S.O. con Programa Win32 Disk Imager


Fuente: ubuntu.com

74

En Image File se debe elegir la iso del sistema operativo que descargamos y en

Device se escoge la unidad de almacenamiento que en nuestro caso es la

microSD de 32Gb en la unidad [E:\]

Figura N. 26

Carga de S.O. Programa Win32



Configuración de servidor Tacacs+

Para el funcionamiento de nuestro servidor Tacacs+ dividimos por partes la

configuración:

1. Instalación de Raspberry Pi 3: Se procede conectar el cable de red en el

puerto Ethernet, el teclado y mouse en sus puertos usb 2.0, el cable HDMI

75

para la salida de imagen a un monitor y el cable micro USB para la

alimentación de energía tomar en cuenta que el cargador debe dar máximo

5 voltios caso contrario puede quemar la tarjeta.

2. Actualización del sistema operativo: Se procede a actualizar el sistema

operativo dando los comandos apt-get update y apt-get upgrade para no

tener inconvenientes con los próximos servicios a implementar.

Figura N. 28

Actualización del S.O. Ubuntu Server



Figura N. 27

Puertos Raspberry PI 3 Model B



76

3. Instalación Tacacs+: Desde el terminal se procede dando el comando

sudo apt install tacacs+ el cual servirá para la implementación de nuestro

servicio AAA.

4. Servicio Tacacs+: Luego de la instalación de Tacacs+ si todo está

correcto se podrá visualizar el servicio activo con el comando systemctl

status tacacs_plus.

Figura N. 29

Instalación del Servicio TACACS+



77

5. Creación de archivo de log: Se crea archivo vacío tac_plus.acct en la

ruta predefinida /var/log/.

6. Configuración de servidor: Se procede con la configuración del archivo

tac_plus.conf, en este archivo se define la key que permitirá la relación

de confianza entre los equipos de red y el servidor Tacacs+, en las

Figura N. 31

Archivo de log TACACS+



Figura N. 30

Servicio TACACS+



78

siguientes imágenes se detallan las configuraciones de los clientes, grupos

y clave enable para el acceso remoto a los equipos.

Tabla N. 14

Parámetros del Archivo de Configuración tac_plus

accounting file Archivo de contabilidad.

key Clave utilizada para cifrar paquetes

entre el demonio y los clientes.

user Definir usuario

login Definir clave para user definido

member Definir a que grupo pertenece user

user = $enable$ Definir clave modo Exec privilegiado

group Definir un grupo y los permisos del

grupo


Fuente: manpages.ubuntu.com

Figura N. 32

Archivo de Configuración TACACS+



79

Figura N. 33

Configuración de Password



Figura N. 34

Configuración de Usuarios



80

Figura N. 35

Configuración de Grupos



Figura N. 36

Configuración de Privilegios



81

NOTA: Después de estas configuraciones se debe reiniciar el servicio

tacacs_plus.service para que se efectúen los cambios realizados si no existe

ningún problema o inconsistencia en el archivo de configuración debe levantar

el servicio sin problema, caso contrario revisar el archivo de configuración.

Configuración de equipos

Para la configuración de los equipos de red tanto router, switch y ap de la marca

CISCO o cualquier otro equipo que soporte Tacacs+ se aplica las siguientes líneas

de comando, este proceso se realizará a todos los router y ap de la

DISTRIBUIDORA COMSUCRE.

Figura N. 37

Configuración de Equipos Cisco



82

Figura N. 38

Instalación de Putty



Instalación de Putty

Para poder ingresar remotamente al servidor y a los equipos se procederá con la

instalación del programa Putty en nuestro equipo Ubuntu Desktop, también puede

instalarse en Windows.

Accesos remotos a equipos

Para el acceso remoto a los equipos ya sea el servidor Tacacs+ o los equipos

CISCO utilizaremos el programa PUTTY en el cual se ingresa de la forma como

lo detallan las imágenes desde una maquina independiente ya sea con sistema

operativo Windows 10 o Ubuntu, para las pruebas por cuestiones de

licenciamiento optamos por el sistema operativo Open Source Ubuntu Desktop.

Ingresar la dirección ip para este ejemplo ingresaremos al servidor Tacacs+

[192.168.0.50] del equipo remoto escogiendo el check Telnet y luego un click en

OPEN

Figura N. 39

Acceso Remoto por Putty



83

A continuación, se abrirá una sesión en la cual podremos acceder al equipo solo

con ingresar el usuario y clave definidas por el administrador del servidor.

Figura N. 40

Acceso Remoto a Servidor TACACS+

Para acceder a los equipos de red repetimos los pasos anteriores solo cambiando

la dirección ip del equipo correspondiente para este ejemplo ingresaremos al

router [192.168.0.1 R_MAT] con el usuario jrivera definida en el servidor Tacacs+.

84

Figura N. 41

Acceso Remoto a Equipo Cisco



Instalación y configuración samba

Debido a la limitante del equipo utilizado se vio la necesidad de implementar algún

método que nos permita obtener una mejora en el entorno Figura para la

visualización de los logs por este motivo se procederá con la instalación del

servicio samba el cual nos permitirá compartir archivos desde nuestro servidor

Tacacs+ hacia cualquier equipa ya sea que tenga sistema operativo Windows o

Linux.

Para la instalación se ingresa al servidor Tacacs+ 192.168.0.50 y como usuario

root se ingresa el siguiente comando:

85

Después de la instalación si no existe ningún error podremos verificar el servicio

que este corriendo con el comando a continuación:

Figura N. 43

Estado de Servicio Samba



Figura N. 42

Ingreso en modo Root



86

Luego de la verificación del servicio samba activo se procede con la creación de

directorio /samba, esto nos permitirá poder alojar los respaldos de los archivos de

log de nuestro servidor Tacacs+, esto lo conseguimos ejecutando el siguientes

comando: root@ubuntu:/home/ubuntu# mkdir /samba. Por cuestiones de

seguridad se recomienda respaldar el archivo de configuración samba antes de

proceder con alguna modificación que se desee realizar, esto lo realizamos con el

siguiente comando: root@ubuntu:/home/ubuntu# cp /etc /samba /smb.conf /

samba/smb.config.old; luego del respaldo del archivo de configuración se edita el

archivo con algún gestor de texto para este caso estamos utilizando NANO que

viene instalado por default en nuestro servidor editamos el archivo de

configuración smb.conf para la definición de la ruta y los accesos hacia la carpeta

compartida, ingresando al final del archivo las siguientes líneas:

[samba-logs]

comment = LOGS TACACS+

path = /samba

read only = yes

browsable = yes

Figura N. 44

Archivo de Configuración Samba



87

Luego de la configuración se necesita definir una clave para poder tener acceso

al recurso compartido para este ejemplo utilizaremos el usuario ubuntu que viene

por default en la instalación de nuestro servidor Ubuntu Server Tacacs+, tomar en

cuenta que esta clave se debe ingresar al momento que se desee ingresar al

recurso compartido desde otro equipo ubicado en la misma red; la clave la

definimos con el siguiente comando : root@ubuntu:/home/ubuntu# sudo

smbpasswd -a ubuntu

Por último, para que se efectúen los cambios realizados se procederá con un

reinicio del servicio samba desde el terminal de nuestro servidor Tacacs+ dando

la siguiente línea de comando: root@ubuntu:/home/ubuntu# systemctl restart

smb.service

Acceso a carpeta compartida

Para poder acceder a nuestro recurso compartido /samba-logs donde se alojarán

los archivos logs de respaldo de nuestro servidor Tacacs+ se puede realizar de

dos maneras:

Acceso desde terminal

Se ingresa desde el equipo Ubuntu Desktop a una terminal colocando el siguiente

comando: sudo smbclient //192.168.0.50 /samba-logs/ -U Ubuntu y al ejecutar el

comando solicitara la clave del usuario de ubuntu otorgada al administrador de la

DISTRIBUIDORA COMSUCRE:

Acceso por modo Figura

Se ingresa desde el equipo Ubuntu Desktop y en el lanzador ubicar nuestra

carpeta personal, en la parte inferior damos clic en conectar con servidor y en el

textbox agregamos la siguiente línea smb://192.168.0.50/samba-logs/ luego dar

clic en conectar, en este proceso solicitara la clave del usuario de ubuntu otorgada

al administrador de la DISTRIBUIDORA COMSUCRE.

88

Visualización de logs de eventos Tacacs+

Para la visualización de los logs podremos realizarlo de dos maneras ya sea

directamente desde el servidor ingresando a la siguiente ruta: tail -f

/var/log/tac_plus.acct

Tambien podremos visualizar el archivo despues del proceso de repaldo

de log detallado anteriormente el cual se alojaran los archivos en la ruta

compartida en nuestro servidor smb://192.168.0.50/samba-logs/.

Figura N. 45

Acceso a Recursos Compartidos

Elaborado por: Alan Ramírez – Javier Rivera


89

Figura N. 46

Visualización de logs de respaldo TACACS+



Instalación de KSYSTEMLOG

El programa KSYSTEMLOG nos permitirá obtener una vista más agradable de los

archivos de log de nuestro servidor Tacacs+, se procederá con la instalación en

nuestra estación de trabajo Ubuntu Desktop con el comando sudo apt intall

ksystemlog como se detalla a continuación.

Una vez que tengamos acceso al archivo de log compartido desde el equipo

Ubuntu Desktop procederemos a copiarlo en la ruta más conveniente para el

Figura N. 47

Instalación de KSYSTEMLOG



90

administrador, para este caso se lo copio en la ruta /home/jrivera/Documentos/ y

finalmente abriremos el archivo acct con el programa KSYSTEMLOG.

Este programa nos permite realizar busquedas mas sencillas a traves de su filtro.

Figura N. 49

Visualización log de Contabilización TACACS+



Figura N. 48

Visualización KSYSTEMLOG



91

Respaldo de logs Tacacs+

Se recomienda una vez implementado el servidor Tacacs+ realizar

mantenimientos periódicos del log de evento tac_plus.acct con el fin que este no

llene el almacenamiento de nuestro servidor.

Se copia el archivo /var/log/tac_plus.acct en la carpeta compartida /samba para

poder extraerla y a su vez respaldar, en este ejemplo se recomienda colocar un

identificador como ejemplo la fecha en la que se copia el archivo como se visualiza

a continuación.

Luego de este proceso se valida el archivo creado en la ruta /samba y listamos su

contenido con el comando ls como se aprecia a continuación.

Figura N. 51

Comando ls



Figura N. 50

Copia de Archivo TACACS+



92

Eliminación de log proceso de mantenimiento

Luego de la copia y respaldo respectivo el cual debe ser ejecutado por el

administrador se procede deteniendo el servicio tacacs_plus.service para luego

proceder con la eliminación del archivo de log tac_plus.acct, para detener el

servicio ejecutamos el siguiente comando: systemctl stop tacacs_plus.service

Ahora procederemos con la eliminación del log por motivo de mantenimiento,

tomar muy en consideración tener respaldo en archivo antes de proceder con la

eliminación.

Figura N. 52

Eliminación de log por Mantenimiento



Luego de la eliminación se procederá con la creación del archivo log en su ruta

original ejecutando el siguiente comando: touch /var/log/tac_plus.acct

93

Luego procederemos a listar la ruta /var/log para cerciorarnos que el log esta

creado caso contrario repita el paso anterior.

Figura N. 53

Lista de Ruta

s



Por último, procederemos a levantar el servicio Tacacs+ con el comando

root@ubuntu: /var/log# systemctl start Tacacs_plus.service y listo.

Figura N. 54

Inicialización de TACACS+



94

Monitoreo y control

En esta fase se realizó las siguientes actividades:

La revisión diaria del funcionamiento del prototipo de seguridad TACACS+

ejecutado en un ambiente de prueba GNS3 junto con los equipos físicos

adquiridos.

La revisión de la documentación y prototipo por parte de las autoridades

académicas tutor y revisor mediante las reuniones semanales.

Cierre del Proyecto

La fase de cierre del proyecto está establecida junto con la fecha de finalización

del proyecto dada por las autoridades respectivas de la facultad de Ciencias

Matemáticas y Físicas de la carrera de Ingeniería en Networking y

Telecomunicaciones.

Entregables del proyecto

Los entregables del proyecto son:

• Server Tacacs+ implementado en equipo Raspberry Pi 3.

• Manual de instalación y configuración del server.

• Manuel de usuario para departamento de Sistema.

• Acta de aceptación del proyecto.

Criterios de Validación de la Propuesta

Para esta propuesta se desarrolla en una investigación de campo y se describe

como un proyecto factible “un proyecto se compone de diversas acciones e ideas

que interrelacionan y se llevan a cabo de forma coordinada con el objetivo de

alcanzar una meta. Factible, por su parte, es aquello que es susceptible de

realización o concreción” (Pérez Porto & Merino, 2015). y se describe de esa

https://definicion.de/proyecto/

95

manera por lo accesible que es la implementación debido a la utilización de

equipos de bajo presupuesto y software Open Source, lo que beneficiará tanto a

la empresa como nuestro personal en la implementación. En este proyecto se

podrá brindar un nivel más de seguridad y administración hacia los equipos de red

optimizando el tiempo y disponibilidad del personal de la DISTRIBUIDORA

COMSUCRE.

Procesamiento y Análisis

Población y Muestra

La población a la cual se aplicará las encuestas es directamente al departamento

de sistema de la DISTRIBUIDORA COMSUCRE junto a personal externo los

cuales brindan soporte a los equipos de cómputo tomando la muestra de 10

empleados sin la necesidad de aplicar formula.

Encuesta

Aplicada la encuesta se realiza el procesamiento analítico de los resultados a

través de Tablas y Figura que detallan un porcentaje y frecuencias obtenidas.

Pregunta # 1

¿Evalué con qué frecuencia se presentan accesos no autorizados a la red

de la DISTRIBUIDORA COMSUCRE?

Tabla N. 15

Resultados de la Encuesta - Pregunta 1

Opciones

Total

Porcentaje %

Frecuentemente 2 20

Ocasionalmente 2 20

Rara vez 2 20

Nunca 4 40

Elaborado por: Alan Ramírez - José Rivera

Fuente: Datos de la encuesta

96

Análisis: Del personal encuestado que son parte de la DISTRIBUIDORA

COMSUCRE la mayoría de los accesos no autorizados se vinieron presentando

desde que se implementaron las redes inalámbricas los cuales ya se los está

controlando, a medida que se fueron mejorando los métodos de autenticación e

implementación de mejoras en la seguridad de la red estos porcentajes fueron

disminuyendo hasta virtualizar las cifras actuales.

Pregunta # 2

¿Con que frecuencia se actualiza los mecanismos de seguridad en la red


Tabla N. 16


Opciones Total Porcentaje %

Frecuentemente 3 30

Ocasionalmente 5 50

Rara vez 1 10

Nunca 1 10



Gráfico N. 8

Resultados de la encuesta - Pregunta 1



97

Análisis: De los 10 encuestados que son parte de la DISTRIBUIDORA

COMSUCRE los porcentajes varían desde la jerarquía del área y la antigüedad,

visualizando las respuestas y la gráfica se sugiere mejorar o estar en constante

mejoramiento de los mecanismos de seguridad y así evitar algún tipo de ataque

dentro de la red.

Pregunta # 3

¿Qué tan frecuente usted accede a los equipos de red de la

DISTRIBUIDORA COMSUCRE?

Tabla N. 17

Resultados de la encuesta - Pregunta 3


Frecuentemente 3 30

Ocasionalmente 2 20

Rara vez 2 20

Nunca 3 30



Gráfico N. 9

Resultado de la Encuesta - Pregunta 2



98

Análisis: De los 10 encuestados que son parte de la DISTRIBUIDORA

COMSUCRE el 30% accede frecuentemente por cuestiones de monitoreo y

control, un 40% ingresa ocasionalmente o rara vez por trabajos programados y un

restante del 30% no ingresa ya que realizan gestiones administrativas.

Pregunta # 4

¿Califique usted los niveles de control de acceso que se realizan en los

equipos de red de la DISTRIBUIDORA COMSUCRE?

Tabla N. 18



Alto 2 20

Medio 6 60

Bajo 2 20



Gráfico N. 10




99

Análisis: De los 10 encuestados que son parte de la nómina de la

DISTRIBUIDORA COMSUCRE el 80% los cuales abarcan los niveles medio y bajo

no llevan un control de sus accesos y acciones en los diferentes equipos de red,

mientras que el 20% lleva un control digital de todos los trabajos coordinados y

son los encargados de entregar informes de actividades y eventos en reuniones

gerenciales.

Pregunta # 5

¿Evalúe usted el control de cambios de clave de administración hacia los

equipos de red local y remoto de la DISTRIBUIDORA COMSUCRE?

Tabla N. 19



Excelente 3 30

Bueno 3 30

Satisfactorio 2 20

No satisfactorio 2 20



Gráfico N. 11




100

Gráfico N. 12




Análisis: De los encuestados que son parte de la DISTRIBUIDORA COMSUCRE

y los estudios realizados podemos indicar que los cambios de claves que se

solicitan puede tomar cierto tiempo hasta ser aprobados por el jefe inmediato y

estos ser realizan ingresando a equipo por equipo manualmente pudiendo esto

ser mejorado con nuestra implementación.

Pregunta # 6

¿Tomando en cuenta que un servidor Tacacs+ de bajo presupuesto puede

facilitar la administración de los equipos de red y a su vez facilitar la

obtención de un log de accesos y tareas aprobaría su implementación dentro


Tabla N. 20



Si aprobaría 6 60

No aprobaría 2 20

Neutral 2 20



101

Análisis: De los 10 encuestados de la DISTRIBUIDORA COMSUCRE el 60% le

interesa la implementación de un servidor Tacacs+ debido a su independencia del

resto de servidores y su bajo consumo de recursos y la ágil administración y

control, mientras que el porcentaje restante debido a las funciones que

desempeñan o siendo personal externo no afectaría ni beneficiaría en sus

funciones diarias.

Pregunta # 7

¿Evalué usted la importancia en la obtención de un log con los accesos y

acciones que se realizan en los equipos de red?

Tabla N. 21



Muy importante 5 50

Importante 2 20

Poco importante 2 20

No es importante 1 10



Gráfico N. 13




102

Análisis: De los 10 encuestados de la DISTRIBUIDORA COMSUCRE se

detallan los porcentajes de importancia de un control mediante un log, estas

importancias se reflejan desde el punto de vista y roles que ejecutan cada

empleado siendo más importante desde el punto de vista administrativo.

Pregunta # 8

¿Cómo evalúa usted la posibilidad de que se pueda implementar un servidor

Tacacs+, para la administración centralizada de los equipos de red de la

Distribuidora Comsucre?

Tabla N. 22



Excelente 4 40

Buena 4 40

Mala 1 10

Pésima 1 10



Gráfico N. 14




103

Análisis: De los encuestados de la DISTRIBUIDORA COMSUCRE el 80% da una

aceptación a la implementación de un servidor Tacacs+ para una administración

centralizada por la disminución en los tiempos de administración y control.

Validación Hipótesis

De acuerdo con la encuesta realizada a los empleados del departamento de

sistema de la DISTRIBUIDORA COMSUCRE se vio la factibilidad de poder

integrar un servidor AAA Tacacs+ dentro de sus instalaciones, debido a que la

empresa no cuenta con un sistema que le facilite la administración y control de

sus equipos de red.

Gráfico N. 15




104

CAPÍTULO IV

Criterios de aceptación del producto o Servicio

Se logro ratificar la validez de la Implementación de un Prototipo de Seguridad

Basado en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE, propuesta

de solución ante una red desorganizada sin sistemas de seguridad para iniciar

sesión en los equipos de red con el fin, que cuando entre ene operatividad su

desempeño cumpla la funcionabilidad establecida y aporte con respuestas de

solución a los distintos posibles eventos a presentarse en la red de la


En consecuencia, se detalla a continuación el cumplimiento de los requerimientos

establecidos aprobados luego de su evaluación respectiva

Tabla N. 23

Criterios de Aceptación

Requerimiento Criterios de Aceptación Estado

Resolver la

desorganización que

la red de la

DISTRIBUIDORA

COMSUCRE

presentan

Por medio del servidor TACACS+ se

centralizaron todos los equipos de red

hacia el mismo, en el cual se pudo

reorganizar independientemente de su

ubicación física la gestión administrativa

utilizando configuraciones especificas

según los grupos creados.

Aprobado

Permitir que la

administración realice

las configuraciones

pertinentes en nuevos

nodos

Se realizo simulaciones de en donde se

demostró que ante nuevos nodos creados

la configuración de los mismo sin la

movilidad física es más rápida de manera

remota

Aprobado

105

Blindar los datos

transmitidos a través

de la red

Al ser TACAS+ un protocolo robusto a

causa de la encriptación total del paquete

a la hora de iniciar la sesión entre cliente

y servidor

Aprobado

Garantiza que no se

almacenen

credenciales en los

dispositivos de red

durante las sesiones

Al tener una centralización con la nueva

versión de TACACS, TACACS+

(TAC_PLUS), los usuarios creados se

guardarán solo y únicamente en el

servidor

Aprobado

Flexibilidad para la

gestión administración

Se realizo una demostración

virtualizando un nodo adicional donde se

pudo constatar que por medio del

servidor TACACS+ cierto usuario puede

pasar el filtro de autenticación, pero no

está autorizado para realizar ciertas

tareas.

Aprobado

Eliminación de

usuarios inactivos que

tienen privilegios

importantes para

acceder a la red

Se simulo la necesidad de eliminar un

usuario que pertenece a un personal que

ya no trabaja en la empresa así mismo se

creó el escenario en donde son varias las

credenciales que necesitan ser

eliminadas

Aprobado

la Delegación y

negación de ciertas

tareas para

determinados

usuarios.

Se seleccionaron 2 usuarios, el primero

podrá ejecutar ciertos comandos que el

segundo usuario no.

Aprobado

106

Conclusiones

Luego del respectivo proceso de estudio de la Implementación de un Prototipo de

Seguridad Basado en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE

finalmente se realizaron las pruebas pertinentes con la utilización herramientas

para la evaluación de la misma se alcanzó los objetivos específicos planteados

teniendo como conclusión las siguientes respuestas:

• Que el diseño de topología para la Implementación de un Prototipo de

Seguridad Basado en Raspberry Y Tacacs+ Para DISTRIBUIDORA

COMSUCRE fue totalmente compatible con la implementación e

indistintamente de la topología física la topología lógica centralizada de

TACACS+ o topología estrella no se verá afectada ante la puesta en

funcionamiento en cualquier tipo de red.

• Que el protocolo que utiliza la DISTRIBUIDORA COMSUCRE es OSPF,

así mismo las App que emplea en su funcionamiento diario como Windows

server 2016, app de facturación, PBX Grandstream UCM 5001, consola de

antivirus ESET, no se afectan negativamente y su funcionamiento es

normal ante la implementación del prototipo, también el equipo Raspberry

no afecta en lo absoluto al manejo diario de las actividades de la

DISTRIBUIDORA debido a que el cambio es a nivel de gestión de equipos

de red y no de tareas de equipos finales.

• Se pudo decidir la funcionalidad de TACACS+ con relación a las

herramientas que este provee a la administración, también se identificó y

se logró la conectividad de los equipos de la red con el servidor TACAS+

de manera exitosa.

• Al Situar el prototipo de seguridad sobre el contexto de los problemas

detectados se pudo observar su totalmente factibilidad en las redes que no

tienen una planificación frente al crecimiento de la misma, adaptándose

completamente a sus necesidades de resolver problemas existentes.

107

• Establecer un sistema AAA dio como resultado un dinamismo favorable

para la administración con los equipos de red, siendo TACACS+ el

intermediario entre ellos y se solucionaron distintos inconvenientes de

manera centralizada en una simulación realizada que arrojo resultados

favorables.

• Una vez presentada Implementación de un Prototipo de Seguridad Basado

en Raspberry Y Tacacs+ Para DISTRIBUIDORA COMSUCRE de parte de

los investigadores ambas partes quedaron conforme con los resultados

dando un veredicto mutuo muy aceptable, posterior a ello se procedió a

dar recomendaciones a tomar en cuenta.

Recomendaciones

Se recomienda designar 1 o 2 personas que tengan acceso a la configuración del

servidor TACACS+, no pueden ser más porque estarían aumentando la

vulnerabilidad del sistema de red, así mismo se sugiere que se creen grupos de

usuarios para el manejo y control de la Autenticación, Autorización y Auditoría para

dividir funciones y que la determinación de responsabilidades sea más detectable.

Se recomienda también consolidar la implementación del sistema de seguridad

basado en Tacacs+ y Raspberry integrando las mejores prácticas como norma en

la operatividad del sistema y por último se recomienda crear un cronograma en el

cual se establezca cada que tiempo se debe realizar las Auditorías pertinentes y

con ella dar forma a un historial que permita crear estadísticas que ayuden a la

tome de decisiones frente a incidentes que se presenten.

Se recomienda crear un entorno FIGURA para la gestión de las herramientas que

TACACS+ para una mejor interacción con el sistema.

108

Bibliografía

Allauca Gusqui, L. (2016). Diseño e implementación de un sistema de

seguridad para el acceso de la red inalámbrica del colegio Otto

Arosemena Gómez (tesis de pregrado). tesis, Guayaquil - Ecuador.

Obtenido de

http://www.dspace.espol.edu.ec/xmlui/handle/123456789/37242

Andrade Tubun, G. A. (2019). ANÁLISIS DE PRESTACIONES DE LOS

PROTOCOLOS DE AUTENTICACIÓN REMOTA RADIUS Y

TACACS+ EN INFRAESTRUCTURA DE COMUNICACIONES

CORPORATIVAS. Riobamba – Ecuador. Obtenido de

http://dspace.espoch.edu.ec/bitstream/123456789/10997/1/98T002

37.pdf

Belcic, I. (11 de 03 de 2020). www.avast.com. Obtenido de

www.avast.com: https://www.avast.com/es-es/c-what-is-a-proxy-

server

Bolaños Botina, J. (2018). Diseño de la arquitectura de seguridad

perimetral de la red informática en la industria de licores del valle.

Santiago de Cali, Colombia . Obtenido de

https://www.google.com/search?q=santiago+de+cali&oq=santiago+

de+cali&aqs=chrome..69i57j46j0l6.3945j1j7&sourceid=chrome&ie=

UTF-8

Bonilla Constante, M. (01 de 03 de 2016). Obtenido de "Análisis y Diseño

de un Sistema de Seguridad de Red Perimetral en la Empresa

Aseguradora del Sur - Matriz"

British Broadcasting Corporation, [BBC]. (28 de 07 de 2020). Andrey

Turchin, el hacker llamado "el dios invisible" al que acusan de robar

información de 300 empresas en 44 países. Obtenido de

www.bbc.com: https://www.bbc.com/mundo/noticias-53559843

109

CISCO. (08 de 01 de 2008). www.cisco.com. Obtenido de www.cisco.com:

https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-

authentication-dial-user-service-radius/13838-10.html

Cisco System, Inc. (31 de 05 de 2019). www.cisco.com. Obtenido de

www.cisco.com:

https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-

series-small-business-

routers/Configuring_DMZ_on_the_RV34x_Series_Router.html?dtid

=osscdc000283

Cunha Barbosa, D. (02 de 06 de 2020). www.welivesecurity.com.

Obtenido de www.welivesecurity.com:

https://www.welivesecurity.com/la-es/2020/01/02/que-es-proxy-

para-que-sirve/

Dávila, E. (19 de 09 de 2019). Los cuatro delitos informáticos más

recurrentes en Ecuador. Delitos informáticos. Obtenido de

https://www.primicias.ec/noticias/tecnologia/estos-delitos-

informaticos-mas-recurrentes-ecuador/

EL Comercio, [ EC ]. (18 de 09 de 2019). VpnMentor revela que hay más

datos de ecuatorianos expuestos: 'No nos sentíamos cómodos de

publicar'. TECNOLOGÍA. Obtenido de

https://www.elcomercio.com/tendencias/ecuador-informe-brecha-

datos-seguridad.html

Espinel Pilicita, J. (2019). “DISEÑO E IMPLEMENTACIÓN DE

SEGURIDAD A.A.A (AUTHENTICATION AUTHORIZATION AND

ACCOUNTING) EN LAS REDES WI-FI DEL GAD MUNICIPAL DEL

CANTÓN MEJÍA”. Latacunga, Ecuador. Obtenido de

http://repositorio.utc.edu.ec/bitstream/27000/5337/1/PI-001357.pdf

Fiscalía General del Estado. (2015). LOS DELITOS INFORMÁTICOS

VAN DESDE EL FRAUDE HASTA EL ESPIONAJE. Recuperado el

13 de 06 de 2015, de https://www.fiscalia.gob.ec/los-delitos-

informaticos-van-desde-el-fraude-hasta-el-espionaje/

110

flu-project.com. (02 de 01 de 2014). www.flu-project.com. (P. González,

Editor) Obtenido de https://www.flu-project.com: https://www.flu-

project.com/2014/01/las-tecnologias-triple-parte-iii-de-iii.html

Folleco Gonzalón, D. M. (2017). Evaluación de posibles

vulneabilidades/Auditoría de seguridad y propuesta de medidas de

mitigación dentro de la red interna Junta Nacional de Defensa de

Artesano. Quito , Ecuador. Obtenido de

http://dspace.udla.edu.ec/bitstream/33000/8303/1/UDLA-EC-TTRT-

2017-05.pdf

González Paz, A. (2017). MECANISMOS DE SEGURIDAD PARA LA RED

INALÁMBRICA LOCAL DE LA UNIVERSIDAD DE CIENFUEGOS

(Tesis de pregrado). Tesis, Santa Clara - Cuba. Obtenido de

http://dspace.uclv.edu.cu:8089/handle/123456789/8211

Instituto Nacional de Ciberseguridad de España. (15 de 02 de 2015).

www.incibe.es. (A. López , Ed.) Obtenido de www.incibe.es:

https://www.incibe.es/aviso-legal

Instituto Nacional de Ciberseguridad, [INCIBE]. (20 de 03 de 2017).

Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian? Informe

Investigativo, Madrid - España. Obtenido de

https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-

vulnerabilidad-sabes-se-diferencian

Internet Engineering Task Force [IETF]. (01 de 01 de 1993). tools.ietf.org.

Obtenido de tools.ietf.org: https://tools.ietf.org/html/draft-grant-

tacacs-02

Internet Engineering Task Force, [IETF]. (04 de 02 de 2016). tools.ietf.org.

(F. Gont, & F. Baker, Edits.) Obtenido de tools.ietf.org:

https://tools.ietf.org/html/draft-gont-opsawg-firewalls-analysis-02

Internet Engineering Task Force, IETF. (01 de 09 de 2020). www.ietf.org.

(D. Thorsten , & O. Andrej , Edits.) Obtenido de www.ietf.org:

https://www.ietf.org/id/draft-ietf-opsawg-tacacs-18.txt

111

lnstitute of Electrical and Electronics Engineers, [IEEE]. (02 de 02 de

2010). standards.ieee.org. Obtenido de ieeexplore.ieee.org:

https://standards.ieee.org/standard/802_1X-2010.html

Mamani Herrera, L. J. (2019). Diseño e implementación de un sistema de

administración, autenticación y control en el estándar 802.11 en el

Centro de Comunicaciones de la Universidad Nacional del Altiplano

(tesis de pregrado). tesis, Puno - Peu. Obtenido de

http://repositorio.unap.edu.pe/handle/UNAP/11860

Microsoft. (07 de 09 de 2018). www.microsoft.com. Obtenido de

https://docs.microsoft.com/: https://docs.microsoft.com/es-

es/sharepoint/administration/yammer-networks-groups-and-users-

overview

Microsoft Corporation. (2016). Seguridad inteligente: el uso del

aprendizaje automático para ayudar a detectar ciberataques

avanzados.

Oracle. (01 de 01 de 2011). ww.oracle.com. Obtenido de ww.oracle.com:

https://docs.oracle.com/cd/E24842_01/html/E23286/concept-4.html

Organización Internacional del Trabajo, O.I.T. (10 de 11 de 2016).

www.ilo.org. Obtenido de www.ilo.org:

https://www.ilo.org/global/lang--es/index.htm

Pérez Porto, J., & Merino, M. (2015). https://definicion.de. Obtenido de

https://definicion.de: https://definicion.de/proyecto-

factible/#:~:text=Un%20proyecto%20se%20compone%20de,susce

ptible%20de%20realizaci%C3%B3n%20o%20concreci%C3%B3n.

Porto, J. P. (2015). definicion.de. Obtenido de

https://definicion.de/proyecto-factible/

Ramírez Pírez, M., & Gómez Lorentty, J. (01 de 01 de 2017).

www.paloaltonetworks.com. Obtenido de

www.paloaltonetworks.com:

paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-

system-ips

112

Request For Coments [RFC]. (01 de 07 de 1993). www.rfc-editor.org. (F.

Craig A, Ed.) Obtenido de www.rfc-editor.org: https://www.rfc-

editor.org/rfc/rfc1492.txt

rootear.com. (15 de 06 de 2015). https://rootear.com. Obtenido de

https://rootear.com: https://rootear.com/seguridad/md5-como-

funciona-usos

The Internet Society. (Julio de 2000). www.rfc-editor.org. (M. D., & M.

Beadles, Edits.) Obtenido de https://www.rfc-

editor.org/rfc/rfc2881.txt

Urbina, G. B. (2016). Introducción a la Seguridad Informática. Mexico,

Mexico: Grupo Editorial Patria.

Valdez Juárez, L. E., Perez de Lema, D. G., & Maldonado Guzmán, G.

(2017). TIC y la gestión del conocimiento como elementos

determinantes (Tesis de pregrado). Universidad Autónoma de

Aguascalientes, Aguascalientes, México.

Valdivieso Villamarín, A. (01 de 05 de 2015). Diseño e Implementación y

Políticas de seguridad mediante un servidor AAA, Haciendo uso del

Estándar IEEE 802.1X y los protocolos Radius y Tacacs+ para la

Red Corporativa de la Empresa Proyectos Integrales del Ecuador.

Quito, Ecuador. Obtenido de

https://dspace.ups.edu.ec/bitstream/123456789/10192/1/UPS%20-

%20ST001851.pdf

Venturini, G. (16 de 07 de 2020). www.tecnologia-informatica.com.

Obtenido de www.tecnologia-informatica.com:

https://www.tecnologia-informatica.com/que-es-un-antivirus-como-

funciona/

www.networkworld.es. (04 de 07 de 2018). www.networkworld.es. (J.

Fruhlinger, Editor) Obtenido de www.networkworld.es:

https://www.networkworld.es/seguridad/que-es-la-seguridad-de-la-

red

113

ANEXOS

Anexo N. 1

Formato de Encuesta Realizada a los Colaboradores de la


Pregunta N°1

¿Evalué con qué frecuencia se presentan accesos no autorizados a la red


Frecuentemente

Ocasionalmente

Rara vez

Nunca

Pregunta N°2

¿Con que frecuencia se actualiza los mecanismos de seguridad en la red


Frecuentemente

Ocasionalmente

Rara vez

Nunca

114

Pregunta N°3

¿Qué tan frecuente usted accede a los equipos de red de la

DISTRIBUIDORA COMSUCRE?

Frecuentemente

Ocasionalmente

Rara vez

Nunca

Pregunta N°4

¿Califique usted los niveles de control de acceso que se realizan en los

equipos de red de la DISTRIBUIDORA COMSUCRE?

Alto

Medio

Bajo

Pregunta N°5

¿Evalúe usted el control de cambios de clave de administración hacia los

equipos de red local y remoto de la DISTRIBUIDORA COMSUCRE?

Excelente

Bueno

Satisfactorio

No satisfactorio

Pregunta N°6

¿Tomando en cuenta que un servidor Tacacs+ de bajo presupuesto puede

facilitar la administración de los equipos de red y a su vez facilitar la

obtención de un log de accesos y tareas aprobaría su implementación

dentro de la DISTRIBUIDORA COMSUCRE?

115

Si aprobaría

No aprobaría

Neutral

Pregunta N°7

¿Evalué usted la importancia en la obtención de un log con los accesos y

acciones que se realizan en los equipos de red?

Muy importante

Importante

Poco Importante

No es importante

Pregunta N°8

¿Facilitaría una administración centralizada de los usuarios y permisos a

los equipos de red de la DISTRIBUIDORA COMSUCRE?

Excelente

Buena

Mala

Pesima

116

Anexo N. 2

Diseño de la Red de la Distribuidora Comsucre.

117

Anexo N. 3

Carta de Autorización para la Implementación del Proyecto

118

Anexo N. 4

Acta de Aceptación del Proyecto

119

Anexo N. 5

Manual de Usuario

Acceso por modo Figura: Se ingresa desde el equipo Ubuntu Desktop y en el

lanzador ubucar nuestra carpeta personal, en la parte inferior damos clic en

conectar con servidor y en el textbox agregamos la siguiente línea

smb://192.168.0.50/samba-logs/ luego dar clic en conectar, en este proceso

solicitara la clave del usuario de ubuntu otorgada al administrador de la


Acceso a recursos compartidos

Elaborado por: Alan Ramirez – Javier Rivera

Fuente: Datos de la Investigacion

Visualización de logs de eventos Tacacs+: Para la visualización de los logs

podremos realizarlo de dos maneras ya sea directamente desde el servidor

ingresando a la siguiente ruta.

120

Tambien podremos visualizar el archivo despues del proceso de repaldo

de log detallado anteriormente el cual se alojaran los archivos en la ruta

compartida en nuestro servidor smb://192.168.0.50/samba-logs/.

Visualización logs de respaldo Tacacs+



Respaldo de logs Tacacs+: Se recomienda una vez implementado el servidor

Tacacs+ realizar mantenimientos periódicos del log de evento tac_plus.acct con

el fin que este no llene el almacenamiento de nuestro servidor.

Se copia el archivo /var/log/tac_plus.acct en la carpeta compartida /samba para

poder extraerla y a su vez respaldar, en este ejemplo se recomienda colocar un

identificador como ejemplo la fecha en la que se copia el archivo como se visualiza

a continuación.

121



Luego de este proceso se valida el archivo creado en la ruta /samba y listamos su

contenido con el comando ls como se aprecia a continuación.



Eliminación de log proceso de mantenimiento: Luego de la copia y respaldo

respectivo el cual debe ser ejecutado por el administrador se procede deteniendo

el servicio tacacs_plus.service para luego proceder con la eliminación del archivo

de log tac_plus.acct.



Ahora procederemos con la eliminación del log por motivo de mantenimiento,

tomar muy en consideración tener respaldo en archivo antes de proceder con la

eliminación.

122



Luego de la eliminación se procederá con la creación del archivo log en su ruta

original dando el comando a continuación.



Luego procederemos a listar la ruta /var/log para cerciorarnos que el log esta

creado caso contrario repita el paso anterior.



Por último procederemos a levantar el servicio Tacacs+ y listo.

123





124

Anexo N. 6

DATASHEET Raspberry Pi

125

126

127

128

Anexo N. 7

DATASHEET AP Cisco AIR-LAP1142N-A-K9

129

130

131

132

133

Anexo N. 8

DATASHEET ROUTER Cisco 2911-K9

134

135

Date post:	08-Mar-2021
Category:	Documents
Upload:	others
View:	1 times
Download:	0 times

UNIVERSIDAD DE GUAYAQUILrepositorio.ug.edu.ec/bitstream/redug/49458/1/B-CINT-PTG... · 2020. 11....

Documents