Facultad de Ingeniería

Ingeniería de Redes y Comunicaciones

Programa Especial de Titulación:

Implementación de una VPN-SSL para mejorar la autenticación y el acceso seguro a

los datos en el Hospital de Vitarte

Roberto Jossimar Flores Ayqui

Para optar por el título Profesional de

Ingeniero de Redes y Comunicaciones

Asesor: Laberiano Andrade Arenas

Lima - Perú

2021

1
Dedicatoria

A mis padres por su incansable, ilimitado apoyo y

amor incondicional a lo largo de todas nuestras
vidas, por enseñarme a valorar los momentos y cosas
de la vida, por sembrar en mi humildad, por sus
consejos, porque los amo mucho, por ser hoy lo que
somos gracias a ellos.

i
Agradecimiento

A nuestros asesores y profesores del PET,

quienes nos guiaron y orientaron en la
elaboración de este ISP, por su paciencia,
entrega y vocación plasmada en todos
nosotros, agradezco a todas mis amistades
que me acompañaron en este reto y siempre
trasmitieron sus mejores deseos para lograr
este objetivo.

ii
 RESUMEN

En la actualidad, de todos los cambios y transformaciones que traerá consigo la pandemia y el

estado de emergencia sanitaria ante el COVID-19, reorganizar y determinar patrones laborales

como el espacio y las limitaciones en las que laboramos, son algunos de los efectos que más

prontamente veremos materializarse. En este contexto, el teletrabajo es un intérprete muy

principal de la transición hacia la nueva normalidad laboral post-coronavirus.

En el actual informe se procura exponer la problemática a la cual se enfrenta el Hospital de baja

complejidad de Vitarte con respecto al teletrabajo y el propósito de implementar una VPN-SSL,

la autenticación Multifactor, el acceso a los sistemas, recursos y aplicaciones, y por último el

monitoreo y auditoría, todo esto de forma eficiente y segura. Frente a esto se brinda una propuesta

de solución basada en la implementación de dispositivos y tecnologías de la marca Fortinet, la cual

cuenta con equipos óptimos y diseñados para lograr el objetivo.

La estrategia de solución aplicada se basó en la metodología PPDIOO de Cisco la cual mediante

sus fases nos permitió lograr cada objetivo específico y así obtener resultados exitosos.

La conclusión más resaltante que se pretende evidenciar con el presente ISP es demostrar que

mediante la implementación de una VPN-SSL con la seguridad apropiada se simplificará y logrará

poner en marcha en su totalidad la modalidad de Teletrabajo, sin ser necesaria la asistencia física

del colaborador en sitio. El trabajo remoto es una práctica laboral la cual favorece a muchas

personas compensando sus tareas profesionales y personales, convoca a la sociedad a adaptarse a

estos cambios explotando al máximo las nuevas tecnologías.

Palabras claves: VPN, autenticación, acceso, Multifactor, monitoreo.

iii
 ABSTRACT

At present, of all the changes and transformations that the pandemic and the state of health

emergency in the face of COVID-19 will bring with it, reorganizing and determining work patterns

such as the space and limitations in which we work, are some of the effects that most we will soon

see it materialize. In this context, teleworking is a very main interpreter of the transition

towards the new post-coronavirus work normality.

The current report seeks to expose the problems faced by the Low Complexity Hospital of Vitarte

with respect to teleworking and the purpose of implementing a VPN-SSL, Multifactor

authentication, access to systems, resources and applications, and finally monitoring and auditing,

all this efficiently and safely. Against this, a solution proposal is provided based on the

implementation of Fortinet brand devices and technologies, which has optimal equipment designed

to achieve the objective.

The solution strategy applied was based on Cisco's PPDIOO methodology, which through its

phases allowed us to achieve each specific objective and thus obtain successful results.

The most outstanding conclusion that is intended to be evidenced with this ISP is to demonstrate

that by implementing a VPN-SSL with the appropriate security, the Teleworking modality will be

simplified and will be able to fully implement, without requiring the physical assistance of the

collaborator In place. Remote work is a work practice that favors many people by compensating

their professional and personal tasks, calls on society to adapt to these changes by exploiting new

technologies to the maximum.

Keywords: VPN, authentication, access, multi-factor, monitoring.

iv
 INDICE DE CONTENIDO

INTRODUCCION .................................................................................................................... 1

CAPITULO 1 ............................................................................................................................ 3

ASPECTOS GENERALES ..................................................................................................... 3

1.1. Definición del Problema ............................................................................................... 3

1.1.1. Descripción del Problema ..................................................................................... 3

1.1.2. Formulación del Problema .................................................................................... 6

1.1.2.1. Problema General: ............................................................................................. 6

1.1.2.2. Problemas Específicos: ...................................................................................... 6

1.2. Definición de objetivos ................................................................................................. 6

1.2.1. Objetivo general .................................................................................................... 6

1.2.2. Objetivos específicos............................................................................................. 7

1.3. Alcances y limitaciones ................................................................................................ 7

1.3.1. Alcances ................................................................................................................ 7

1.3.2. Limitaciones .......................................................................................................... 8

1.4. Justificación .................................................................................................................. 8

CAPITULO 2 .......................................................................................................................... 10

MARCO TEÓRICO .............................................................................................................. 10

2.1. Fundamento Teórico ................................................................................................... 10

v
2.1.1. Estado del Arte ........................................................................................................ 10

2.1.2. Base Teórica............................................................................................................ 13

2.1.2.1. Red Privada Virtual ............................................................................................. 13

2.1.2.2. Ventajas de una VPN .......................................................................................... 14

2.1.2.3. Requerimientos básicos de una VPN .................................................................. 14

2.1.2.4. Componentes de una VPN .................................................................................. 17

2.1.2.5. Categorías de una VPN ....................................................................................... 18

2.1.2.6. VPN Hardware vs VPN Software ....................................................................... 21

2.1.2.7. Tipos de VPN ...................................................................................................... 21

2.1.2.8. Protocolos de conexión VPN .............................................................................. 23

2.1.2.9. Firewall................................................................................................................ 26

2.1.2.10. FortiGate UTM ................................................................................................ 29

2.1.2.11. FortiAnalyzer ................................................................................................... 30

2.1.2.12. Autenticación Multifactor................................................................................ 33

2.1.2.13. FortiToken Mobile ........................................................................................... 34

2.1.2.14. Metodología PPDIOO de Cisco ...................................................................... 36

2.2. Marco conceptual ....................................................................................................... 40

2.3. Marco metodológico ................................................................................................... 42

2.3.1. Etapa de Organización ............................................................................................ 42

2.3.2. Etapa de Análisis y Diseño ..................................................................................... 42

vi
 2.3.3. Etapa de Desarrollo e Implementación: .................................................................. 43

2.3.4. Etapa de Operación y Control ................................................................................. 43

CAPITULO 3 .......................................................................................................................... 45

3. DESARROLLO DE LA SOLUCION ........................................................................ 45

3.1. ETAPA DE ORGANIZACIÓN ................................................................................. 45

3.2. ETAPA DE ANALISIS Y DISEÑO .......................................................................... 51

3.3. ETAPA DE DESARROLLO E IMPLEMENTACIÓN ............................................. 64

3.4. ETAPA DE OPERACIÓN Y CONTROL ................................................................. 90

CAPITULO 4 ........................................................................................................................ 103

4.1. Resultados................................................................................................................. 103

4.1.1. PRIMER RESULTADO: ...................................................................................... 103

4.1.2. SEGUNDO RESULTADO:.................................................................................. 109

4.1.3. TERCER RESULTADO: ..................................................................................... 117

4.2. Presupuesto ............................................................................................................... 120

Tabla 8. Presupuesto General del Proyecto ....................................................................... 120

CONCLUSIONES ................................................................................................................ 121

BIBLIOGRAFÍA .................................................................................................................. 122

ANEXOS ............................................................................................................................... 124

vii
 INDICE DE FIGURAS

Figura 1. Árbol de problemas..................................................................................................... 5

Figura 2. Acceso mediante una VPN. ...................................................................................... 13

Figura 3. Componentes de una VPN ........................................................................................ 18

Figura 4. Equipo de seguridad perimetral FortiGate-100E ...................................................... 19

Figura 5. Las mejores VPN de software libre usadas en 2019 ................................................. 20

Figura 6. Representación de acceso VPN SSL ........................................................................ 22

Figura 7. Representación de una conexión VPN Site to Site ................................................... 23

Figura 8. Imagen de la marca Fortinet ..................................................................................... 27

Figura 9. Imagen de la marca Cisco ......................................................................................... 28

Figura 10. Imagen de la marca SonicWall ............................................................................... 28

Figura 11. Imagen de la marca Check Point ............................................................................ 29

Figura 12. Imagen de la marca Palo Alto ................................................................................. 29

Figura 13. Representación UTM de FortiGate Gestión unificada de amenazas ...................... 30

Figura 14. Equipo físico FortizAnalyzer-200D (FAZ) ............................................................ 31

Figura 15. Representación gráfica del FortiAnalyzer instalado en una red ............................. 32

Figura 16. Portafolio de productos marca Fortinet .................................................................. 32

Figura 17. Representación de una Autenticación Multifactor ................................................. 33

Figura 18. FortiToken Mobile disponible en Play Store .......................................................... 35

Figura 19. Representación de la metodología PPDIOO ........................................................... 36

viii
Figura 20. Servidores Físicos del Hospital de Vitarte .............................................................. 45

Figura 21. Diagrama de la Red Actual HV .............................................................................. 47

Figura 22. Parte frontal del FortiGate-100E ............................................................................ 48

Figura 23. Interfaces del FortiGate-100E ................................................................................. 48

Figura 24. Especificaciones y rendimiento del FortiGate-100E .............................................. 49

Figura 25. Datasheet del producto FortiToken Mobile ............................................................ 50

Figura 26. Especificaciones técnicas del FortiToken ............................................................... 50

Figura 27. Licencia para FortiToken según cantidad de dispositivos ...................................... 51

Figura 28. TDR para la contratación de servicios – Parte 1..................................................... 52

Figura 29. TDR para la contratación de servicios – Parte 2..................................................... 53

Figura 30. TDR para la contratación de servicios – Parte 3..................................................... 54

Figura 31. EETT para la adquisición de bienes – Parte 1 ........................................................ 55

Figura 32. EETT para la adquisición de bienes – Parte 2 ........................................................ 56

Figura 33. Diagrama de Actividades según Etapas del Proyecto ............................................. 60

Figura 34. Diagrama de red propuesto para el Hospital de Vitarte .......................................... 63

Figura 35. Configuración de los puertos WAN en el FGT-100E ............................................ 64

Figura 36. Creación de la interfaz SD-WAN en el FGT-100E ................................................ 65

Figura 37. Ruta por defecto de la SD-WAN en el FGT-100E ................................................. 65

Figura 38. Distribución del Ancho de banda mediante la SD-WAN ....................................... 66

Figura 38-1. Grupos VPN declarados en el Active Directory para el Teletrabajo................... 67

ix
Figura 39. Creación e integración del protocolo LDAP en el FortiGate ................................. 69

Figura 40. Ejemplo de una estructura LDAP ........................................................................... 69

Figura 41. Parámetros del protocolo LDAP en el FortiGate .................................................... 70

Figura 42. Representación del protocolo LDAP como BD en el FortiGate ............................. 70

Figura 43. Base de datos LDAP ya sincronizada en el Firewall .............................................. 71

Figura 44. Test de conectividad contra el AD .......................................................................... 71

Figura 45. Registro correcto del LDAP Server en el FortiGate ............................................... 72

Figura 46. Agregando grupos VPN en relación al AD ............................................................ 72

Figura 47. Creación correcta del grupo de acceso VPN .......................................................... 73

Figura 48. Configuración del portal VPN-SSL ........................................................................ 73

Figura 49. Configuración de interfaces WAN de escucha ....................................................... 74

Figura 50. Personalizando puerto de escucha 10443 ............................................................... 75

Figura 50. Verificación del puerto 10443 por la CLI ............................................................... 75

Figura 51. Política de acceso para los usuarios VPN ............................................................... 76

Figura 52. Resumen de la política creada para el acceso VPN ................................................ 77

Figura 53. Declaración del usuario remoto LDAP ................................................................... 77

Figura 54. Seleccionando LDAP Server .................................................................................. 78

Figura 55. Búsqueda y selección de usuarios por LDAP Server ............................................. 78

Figura 56. Usuario LDAP declarado en el Firewall ................................................................. 79

Figura 57. Asignando FortiToken y correo al usuario VPN .................................................... 80

x
Figura 58. Envío de código de activación al correo personal .................................................. 80

Figura 59. Correo con el código de activación y código QR ................................................... 81

Figura 60. Descarga e instalación del aplicativo FortiToken Mobile ...................................... 82

Figura 61. FortiToken Mobile instalado en dispositivo móvil ................................................. 83

Figura 62. Opciones de registro del FortiToken Mobile .......................................................... 83

Figura 63. FortiToken asociado como doble factor de autenticación ...................................... 84

Figura 64. FortiToken con código oculto ................................................................................. 84

Figura 65. FortiToken generando código ................................................................................. 85

Figura 66. Abriendo el aplicativo FortiClient .......................................................................... 86

Figura 67. Ingresando credenciales VPN ................................................................................. 87

Figura 68. Estado de carga para conexión VPN ...................................................................... 87

Figura 69. Solicitud de código Token para conexión VPN ..................................................... 88

Figura 70. Conexión exitosa de usuario VPN .......................................................................... 89

Figura 71. Conexión RDP a servidor SIGA del HV ................................................................ 89

Figura 72. Descarga del FortiClient VPN para Windows ........................................................ 90

Figura 73. Descarga del FortiClient VPN para Windows ........................................................ 90

Figura 74. FortiClient Setup – Aceptando términos de licencia .............................................. 91

Figura 75. FortiClient Setup – Ruta de instalación .................................................................. 91

Figura 76. Proceso de instalación del FortiClient .................................................................... 92

Figura 77. FortiClient completamente instalado ...................................................................... 92

xi
Figura 78. Parámetros para la conexión VPN-SSL .................................................................. 93

Figura 79. Agregando DNS primario, secundario y sufijo del dominio .................................. 94

Figura 80. Túnel VPN con el sufijo del dominio agregado ..................................................... 94

Figura 81. Dashboard inicial del FAZ ...................................................................................... 95

Figura 82. Habilitando el envío de Logs al FAZ...................................................................... 96

Figura 83. FortiGate no autorizado en el FAZ ......................................................................... 97

Figura 84. Administración de dispositivos en el FAZ ............................................................. 97

Figura 85. Device Manager (1 Dispositivo no registrado) ....................................................... 98

Figura 86. Autorizando y agregando FortiGate al FortiAnalyzer ............................................ 98

Figura 87. FortiGate autorizado con logs en tiempo real ......................................................... 98

Figura 88. Monitoreo de conexión en tiempo real mediante el FortiGate ............................... 99

Figura 89. Ampliación de la conexión en tiempo real del usuario remoto .............................. 99

Figura 90. Ingreso a la opción de Reportes en el FortiAnalyzer ............................................ 100

Figura 91. Opciones para crear y personalizar reportes ......................................................... 101

Figura 92. Opciones de visualización en tiempo real de las conexiones ............................... 101

Figura 93. Variedad de reportes personalizados para distintas auditorias ............................. 102

Figura 94. Conexión a red inalámbrica externa desde laptop ................................................ 103

Figura 95. Primer factor de autenticación (Algo que sabemos) ............................................. 104

Figura 96. Segundo factor de autenticación (Algo que poseemos) ........................................ 105

xii
 Figura 97. Conexión VPN exitosa cumpliendo el Método de Doble Factor de Autenticación

..................................................................................................................................................... 106

Figura 97-1. Licencias FortiToken registradas y asignadas en el Firewall ............................ 107

Figura 98. Doble factor de Autenticación a través del aplicativo FortiClient para móvil ..... 108

Figura 99. FortiToken registrado en dispositivo móvil .......................................................... 109

Figura 100. Prueba de conectividad hacia hostname del AD mediante la VPN .................... 110

Figura 101. Prueba de conexión ping y RDP ......................................................................... 110

Figura 102. Equipo cliente conectado por la VPN uniéndose al dominio HVITARTE ........ 111

Figura 103. Inicio de sesión del usuario del dominio ............................................................ 112

Figura 104. Sistemas mapeados y asignados para el usuario ................................................. 112

Figura 105. Conexión directa al sistema de Farmacia ........................................................... 113

Figura 107. Operando en el sistema de Farmacia del Hospital I ........................................... 114

Figura 108. Operando en el sistema de Farmacia del Hospital II .......................................... 115

Figura 109. Carga de sistemas y aplicaciones del Hospital según perfil de usuario .............. 115

Figura 110. Acceso remoto al aplicativo SIGA del MINSA.................................................. 116

Figura 111. Acceso remoto al Sistema Médico del Hospital ................................................. 116

Figura 112. Generando reporte VPN personalizado en FAZ ................................................. 117

Figura 113. Reporte de Auditoria VPN generado por el FAZ en formato PDF .................... 118

Figura 114. Reporte de conexión detallada por fechas y horas .............................................. 119

Figura 115. Reporte personalizado de Auditoria VPN .......................................................... 119

xiii
 INDICE DE TABLAS

INDICE DE TABLAS ........................................................................................................... xiv

Tabla 1. Comparación entre VPN de hardware y software ...................................................... 21

Tabla 2. EDT del Proyecto ....................................................................................................... 44

Tabla 3. Aplicaciones y sistemas en Servidores Virtuales ....................................................... 46

Tabla 4. Requerimiento del usuario final ................................................................................. 57

Tabla 5. Requerimiento para las aplicaciones .......................................................................... 58

Tabla 6. Cronograma de Actividades por Etapas ..................................................................... 61

Tabla 7. Direccionamiento IP para la conexión. ...................................................................... 62

Tabla 8. Presupuesto General del Proyecto ............................................................................ 120

xiv
 INDICE DE ANEXOS

Anexo 1 FortiGate 100E Data Sheet …………………………………………………… 125

Anexo 2 FortiToken OTP Data Sheet …………………………………………………... 132

Anexo 3 FortiAnalyzer 200D Data Sheet ………………………………………………. 137

Anexo 4 Decreto Supremo N° 017-2015-TR …………………………………………… 141
Anexo 5 Acta de cierre del proyecto ……………………………………………………. 153

xv
 INTRODUCCION

La implementación de una VPN-SSL en el Hospital de Vitarte es muy primordial y necesaria

ya que facilita la conexión, comunicación y transporte seguro de la información, siempre y cuando

se considere la seguridad y el integro viaje de los datos mediante esta conexión.

No obstante, el Hospital de Vitarte no cuenta con una conexión VPN-SSL como opción de

teletrabajo ante el estado de emergencia sanitaria para los trabajadores de dicha entidad.

Actualmente este tipo de conexiones remotas se realizan por medios no tan seguros y de forma

independiente, lo cual puede abrir brechas de seguridad o ser un canal fácil de fuga de información.

Como resultado no se tiene una conexión directa a los sistemas, recursos o aplicaciones de la red

del Hospital, esto trae como consecuencia el incumplimiento a tiempo de las actividades asignadas

por cada Unidad para los trabajadores de la entidad.

Además, es de suma importancia la autenticación de los usuarios en dicha conexión a través de la

VPN-SSL por ello se añadirá una capa adicional de seguridad como método de doble factor de

autenticación, la cual será registrada y sincronizada mediante correo electrónico personal,

generando así un código con la finalidad de validar y autorizar la autenticidad de estas conexiones

(el primer factor deberá ser el usuario y contraseña del dominio y el segundo factor el código

generado por el Token como aplicativo previamente instalado). Así, se crea una capa extra de

defensa basada en múltiples barreras de paso que dificulta en gran medida el acceso a una persona

no autorizada. La autenticación Multifactor (MFA) es un aliado para los usuarios y para la

empresa desde un punto de vista global la cual procura que únicamente estos se encuentren

pertinentemente autorizados para alcanzar la información de forma segura.

1
 Por último, se podrán registrar eventos y generar trazabilidad sobre las operaciones que realizan

los trabajadores remotos en los sistemas de información como parte de un monitoreo correcto y de

gran ayuda para que el Teletrabajo sea exitoso.

La propuesta de implementar una VPN-SSL será aplicada para facilitar el trabajo remoto para los

distintos grupos de trabajadores del Hospital de Baja Complejidad de Vitarte en la actual coyuntura

que cruzamos.

2
 CAPITULO 1

ASPECTOS GENERALES

1.1. Definición del Problema

1.1.1. Descripción del Problema

Debido al estado de emergencia sanitaria a nivel nacional ante el COVID-19 se han manifestado

recientemente estilos de trabajo a través de medios tecnológicos como lo menciona y es

regulado en la Ley N°30036 para el teletrabajo y el trabajo remoto. En este contexto, el Hospital

de Vitarte, institución pública como materia de estudio optó por seguir atendiendo a los

pacientes aledaños de la población de Vitarte mediante el TELETRABAJO, TELESALUD y

TELEMEDICINA.

Los trabajadores no cuentan con una modalidad de conexión remota segura que les permita

ingresar directamente a los sistemas, recursos y aplicaciones de la red del Hospital, utilizando

así software gratuito de conexión remota como TeamViewer o AnyDesk con el fin de ingresar

a las estaciones de trabajo propias de la institución.

Por tal motivo, el problema principal es la carencia de una conexión VPN-SSL que facilite este

tipo de interacción, generando retraso, postergación y en algunos casos el incumplimiento a

tiempo de las actividades asignadas por cada unidad o servicio del Hospital. Además, los

accesos a través de software remoto gratuito tienen un tiempo límite de conexión, ya que para

poder usarlos sin límites ni restricciones deberán adquirirse licencias comerciales costosas.

Al realizar este tipo de conexión no existe la autenticación Multifactor, lo cual no proporciona

métodos de autenticación robustas y rápidas como factor de disponibilidad. Capa adicional de

protección como elemento constructivo de seguridad que se debe considerar e implementar para
3
obligar a los usuarios a validar su identidad empleando dos o más procedimientos de

comprobación antes de llegar a autenticarse. Permitiendo gestionar de forma efectiva la

identidad de los trabajadores remotos que se conectaran mediante la VPN-SSL a la red del

Hospital de Vitarte.

En consecuencia, no existe un registro o control como rastro de auditoria para estas conexiones,

por lo cual la entidad no puede verificar eventos de acceso o generar reportes que registren las

actividades o tiempo de servicio de los trabajadores en esta modalidad.

En efecto a lo descrito se puede considerar que es fundamental la implementación de una VPN-

SSL con integración de los usuarios del Active Directory (LDAP) a través del Firewall

FortiGate utilizando un método de doble factor de autenticación para el acceso a los sistemas y

así aplicar la modalidad de teletrabajo en el Hospital de Vitarte.

4
Figura 1. Árbol de problemas

5
 1.1.2. Formulación del Problema

1.1.2.1. Problema General:

¿Es posible la implementación de una VPN-SSL para mejorar la autenticación y el

acceso seguro a los datos en el Hospital de Vitarte?

1.1.2.2. Problemas Específicos:

 ¿Es posible implementar el método de Doble Factor de Autenticación para acceder

remotamente a la VPN-SSL?

 ¿Es posible la disponibilidad de los sistemas, recursos y aplicaciones alojadas en

los servidores del Hospital de Vitarte para el desarrollo del Teletrabajo mediante

una VPN-SSL?

 ¿Es posible monitorear y auditar las conexiones de los trabajadores remotos del

Hospital de Vitarte mediante la VPN-SSL?

1.2. Definición de objetivos

1.2.1. Objetivo general

Implementar una VPN-SSL para mejorar la autenticación y el acceso seguro a los datos en

el Hospital de Vitarte.

6
 1.2.2. Objetivos específicos

 Implementar el método de Doble Factor de Autenticación para acceder remotamente a

la VPN-SSL.

 Aplicar la disponibilidad de los sistemas y recursos alojadas en los servidores del

Hospital de Vitarte para el desarrollo de la modalidad de Teletrabajo mediante una

VPN-SSL.

 Monitorear y auditar las conexiones de los trabajadores remotos del Hospital de Vitarte

mediante una VPN-SSL.

1.3. Alcances y limitaciones

1.3.1. Alcances

El alcance de este informe de suficiencia profesional con base a la definición del problema

y de acuerdo a los objetivos específicos, propone lo siguiente:

 Mejorar la calidad de atención de los trabajadores ante la implementación de la

modalidad de conexión remota segura que les permita ingresar directamente a los

sistemas, recursos y aplicaciones del Hospital de Vitarte.

 Clasificar grupos de dominio por cada unidad o servicio para la conexión remota que se

llevara a cabo en el horario laborable correspondiente.

 Gestionar la lista de trabajadores según jefatura de cada unidad o servicio y declararla

mediante el protocolo LDAP ya configurado y sincronizado en el Firewall FortiGate-

100E.

7
  Asignar token virtual (FortiToken) como método de doble factor de autenticación para

cada usuario VPN registrando un correo personal para su activación del mismo y

sincronización a través del aplicativo gratuito FortiToken Mobile.

 Generar reportes como monitoreo y auditoria de la conexión de los trabajadores remotos

de cada unidad o servicio mediante el Appliance FortiAnalyzer-200D.

 Contar con un plan de contingencia para la conexión VPN-SSL ante algún desperfecto

o caída del enlace de Internet contratado por el Hospital de Vitarte, para ello se contará

con un enlace secundario Backup disponible para este tipo de incidencias.

 Desarrollar manuales y capacitaciones para las unidades y servicios que contaran con

esta modalidad de trabajo remoto, determinando los requisitos necesarios para lograr

esta conexión e interacción con las diferentes aplicaciones alojadas en los servidores del

Hospital de Vitarte.

1.3.2. Limitaciones

 No Contar con una velocidad moderada de Internet.

 No contar con los planos de las Unidades y Servicios propias de la entidad.

 Por parte del personal, desinterés y temor a las nuevas tecnologías existentes.

 No contar con ningún tipo de documentación del diseño original de la estructura de red

existente

1.4. Justificación

El motivo de este informe y su vital importancia, es la implementación de una VPN-SSL en el

Hospital de Vitarte, con el fin de que los trabajadores cuenten con este acceso de forma segura.

8
Además, esta VPN-SSL estará integrada con el Directorio Activo de la organización mediante

el protocolo LDAP, permitiendo así establecer niveles de acceso por usuarios o grupos del

dominio ya existentes.

El motivo de elección de esta arquitectura, se basa en lograr una conexión segura y confiable.

Ya que, para mejorar la autenticación y mantener el acceso seguro a los sistemas a través de

esta conexión VPN, el túnel estará encriptado y como capa adicional de seguridad se

implementará el método de doble factor de autenticación.

Es decir, cada usuario contará con un Token digital el cual será activado mediante su correo

personal, dicho token digital es un aplicativo gratuito que será previamente instalado y

configurado en el dispositivo móvil del trabajador, el mismo que genera códigos aleatorios de

6 dígitos cada 60 segundos mejorando la autenticación sin comprometer o vulnerar la identidad.

Finalmente se logrará la interacción y disponibilidad de datos al ingresar a los sistemas por

parte del trabajador cumpliendo así sus actividades asignadas por cada unidad, ya que las

medidas de desempeño por área serán monitoreadas como parte de una buena auditoría en esta

modalidad del Teletrabajo.

Esta propuesta estará basada en la solución tecnológica de la marca Fortinet que será

implementada en el Hospital de Vitarte para la modalidad de teletrabajo propuesta ante el estado

de emergencia sanitaria producto del COVID-19, priorizando así la continuidad y compromiso

del sector salud para la población de Ate-Vitarte, se contará con capacitaciones y manuales para

mantener a los trabajadores actualizados de cada cambio o necesidad que se requiera para lograr

sus objetivos laborales.

9
 CAPITULO 2

MARCO TEÓRICO

2.1.Fundamento Teórico

2.1.1. Estado del Arte

Tesis de otras universidades y artículos:

En la Universidad Central de Venezuela se sustentó la Tesis “DISEÑO E

IMPLEMENTACIÓN DE UNA RED PRIVADA VIRTUAL (VPN-SSL)

UTILIZANDO EL MÉTODO DE AUTENTICACIÓN LDAP EN UNA EMPRESA

PRIVADA”, por el bachiller Daniela V. Peña en octubre de 2016.

Esta investigación tuvo como finalidad implementar una red privada virtual VPN-SSL

integrando la autenticación con el protocolo LDAP en una empresa privada, con el

propósito de proteger las conexiones de acceso remoto de forma cifrada garantizando la

integridad, confidencialidad y seguridad de los datos. Durante la investigación se abarcaron

teorías y documentación de las conexiones utilizadas en la actualidad. También se realizó

una serie de comparaciones entre el protocolo SSL con respecto al Ipsec, la configuración

de un firewall como intermediario y por último un manual para gestionar la conexión

mediante la VPN-SSL. (Peña, 2016)

En la Universidad Autónoma del Perú se sustentó la Tesis “PROPUESTA DE UNA RED

PRIVADA VIRTUAL PARA MEJORAR EL SERVICIO DE COMUNICACIÓN EN

10
LAS TIENDAS MASS PARA LA EMPRESA SUPERMERCADOS PERUANOS

S.A”, por el bachiller Cesar Espinoza Chipane en febrero de 2018.

En este proyecto se tiene como finalidad la propuesta de una solución de red privada virtual

enfocada en las tiendas MASS pertenecientes a la empresa Supermercados Peruanos,

aplicando la metodología PPDIOO (Preparar, Planificar, Diseñar, Implementar, Operar,

Optimizar) de Cisco Systems que ayudara en cada etapa lograr la propuesta de

implementación, este tipo de solución o conexión está más orientada a enlazar o comunicar

distintas sucursales geográficamente apartadas todo esto bajo el concepto de una VPN Sitio

a Sitio. (Espinoza, 2018)

En la Universidad Nacional de Loja se sustentó la Tesis “DISEÑO DE UNA VPN PARA

EL ACCESO A LAS BASES DE DATOS CIENTIFICAS DE LA UNIVERSIDAD

NACIONAL DE LOJA”, por el bachiller Henry Quezada Lozano en marzo de 2016.

El actual trabajo de titulación se basa en el Diseño de una VPN para la entrada y conexión

a las bases de datos de la Universidad de Loja, con el propósito de conseguir una prestación

la cual permita a los integrantes de la congregación universitaria ingresar remotamente a

los recursos de la red interna de la entidad desde cualquier red externa lejana.. (Quezada,

2016)

11
En el artículo de la web IEEE Xplore publicado con el nombre “La investigación e

implementación de la VPN Gateway basada en SSL”, por Chen Fei.

Nos comenta que la tecnología VPN es el uso del conocimiento de la criptografía en la red

pública y abierta para establecer una red privada virtual. IPSec VPN y SSL VPN son dos

tipos de tecnología y productos VPN que se utilizan actualmente y en la totalidad de casos.

IPSec VPN funciona en la capa de red, SSL VPN funciona en la capa de sockets seguros.

SSL VPN utiliza una serie de técnicas criptográficas, que incluyen cifrado simétrico,

cifrado asimétrico, firmas digitales, certificados digitales y un algoritmo de resumen de

mensajes. Este artículo analiza el principio de la tecnología VPN y el protocolo SSL.

Propuse una solución de puerta de enlace VPN basada en el protocolo SSL. (Fei, 2013)

12
2.1.2. Base Teórica

2.1.2.1.Red Privada Virtual

Una VPN (Virtual Private Network). Es una manera de conectarse de forma íntegra,
directa y segura a la red de su organización permitiendo a los usuarios remotos
conexiones seguras desde cualquier lugar del mundo. El rol principal de la VPN para
trabajo remoto es asegurar la comunicación entre el usuario y la red de LAN de la
empresa o entidad.

Figura 2. Acceso mediante una VPN.

Una VPN es una tecnología de red que permite una conexión segura a través de Internet
conocida como túnel, a través de un método de encapsulación y encriptación de la data
y sus paquetes a diferentes sitios remotos mediante el uso de tecnologías de transporte
públicas en la nube. Incluso, posibilita que la computadora en la red pueda emitir o
recepcionar datos como si se tratara de estar directamente en la red. (De la Cruz, 2019).

13
2.1.2.2.Ventajas de una VPN

Implementar una VPN cuenta con varios puntos provechosos:

 Integridad, punto en el que hace alusión a que un mensaje o dato no logre ser
alterado.
 Confidencialidad, punto en que hace referencia a la autorización de los datos y el
manejo prudente de su información.
 Encriptación, cumple la función de cifrar los datos que viajan a través de la VPN
con el fin de no poder ser procesados por personas a las que no están destinadas.
 Reducción de costos y facilidad de uso.
 Simplifica la comunicación por medio de un aplicativo gratuito desde cualquier
parte del mundo.

2.1.2.3.Requerimientos básicos de una VPN

Al implementar una solución VPN, es necesario facilitar el acceso auditado y

supervisado a los recursos e información de la organización. La solución debe permitir

que los clientes remotos se conecten a los recursos de la red interna. Adicionalmente,

es vital garantizar la privacidad y la integridad de los datos en la forma que son

expuestas a Internet. El mismo escenario es aplicado para el caso de datos

confidenciales que cruzan una red interna de dicha entidad.

En consecuencia, una VPN como solución debe proveer requisitos basados en:

compatibilidad, seguridad, disponibilidad e interoperabilidad. (Peña, 2016)

14
Compatibilidad

El protocolo de Internet (IP) debe ser compatible para que de esta manera una VPN

pueda utilizar internet. Esta consideración se logra con la finalidad de asignar y usar

grupos de direcciones IP. No obstante, gran cantidad de redes emplean direcciones IP

privadas malgastando así la administración de direcciones. En la actualidad existen

múltiples técnicas para hacer compatible la comunicación entre los segmentos privados

e Internet, como la traducción de direcciones locales a internet NAT (Network Address

Traslation) y el uso de túneles para su enmascaramiento y encapsulación.

Mediante esta técnica las direcciones de Internet convivirán con las redes IP privadas

en el interior de una infraestructura de enrutadores de cualquier entidad. De esta forma,

un cliente con una IP local logra ingresar al exterior por medio esta traducción de

direcciones IP públicas sin necesidad de instalar previamente un software o agregar

algún tipo de acción particular.

Seguridad

Se debe considerar y garantizar la protección frente al análisis de tráfico el cual podría

ser interceptado mediante un sniffer capturando información y posteriormente hacer uso

inadecuado de ella. Para esto la información viajará encriptada utilizando su propio

método de cifrado de datos, de esta manera garantizamos que no se podrá extraer

información valiosa por el mecanismo ofrecido en la configuración. El contenido no

15
debe ser alterado y tanto el emisor como el receptor deben transmitir de manera segura

y ser protegido por un posible atacante.

Disponibilidad

Existen variables para que la disponibilidad sea impulsada y motivada a ser un

requerimiento necesario, la facultad de mantenerse accesible en el sitio, en el momento

y en el modo en que los usuarios que estén autorizados lo soliciten precisamente. Es

primordial que tanto el software como el hardware se mantengan en funcionamiento de

manera eficaz, en caso contrario, se pueden producir pérdidas descomunalmente

económicas, daños materiales, y finalmente la desacreditación de la solución propuesta

ante cualquier escenario.

Interoperabilidad

En redes y comunicaciones hablar de interoperabilidad hace una referencia directa que

apunta a la capacidad de conectar usuarios y redes de forma que las variaciones en

aplicaciones o servicios sean tolerables y no se perciban estas diferencias. Razón por la

cual, previamente a adquirir una tecnología VPN, se debe tener presente como

responsabilidad una forma de fortalecer una adecuada interoperabilidad la cual esta

alojada como solución completa de acuerdo a los diferentes fabricantes existentes en el

mercado competitivo. Siendo el caso en el que el supuesto fabricante no este apto de

cumplir todas las necesidades, se procede a limitar y comparar con otras ofertas que, si

cumplan estos requisitos y mejor aún si ofrecen un valor agregado, además de contar

16
con disponibilidad de laboratorios en los cuales la propuesta sea sometida a pruebas

antes del despliegue y operación del proyecto para que sea viable.

2.1.2.4.Componentes de una VPN

Para un caso emulado de VPN punto a punto los datos son encapsulados o

empaquetados mediante un encabezado que brinda la información de enrutamiento que

permite a estos datos viajar por la red pública hasta llegar a su destino. Para el caso de

una VPN privada, los datos son cifrados para garantizar la confidencialidad. En una red

compartida o publica los paquetes interceptados no son descifrables mientras no se

disponga de las claves de cifrado. Por consiguiente, el espacio de conexión donde los

datos privados son encapsulados es distinguida como túnel mientras que parte de la

conexión en que los datos privados son cifrados y encapsulados es denominado

conexión VPN. (Gonzáles, 2006)

A continuación, se muestra la relación de componentes básicos que forman parte de

una VPN:

 Servidor VPN

 Túnel

 Conexión VPN

 Red publica

 Cliente VPN

17
 Figura 3. Componentes de una VPN

2.1.2.5.Categorías de una VPN

Las dos categorías principales de productos VPN para elegir son los dispositivos de

hardware VPN dedicados y las VPN basadas en servidor, también denominadas VPN

de hardware y software.

VPN de hardware

Una VPN de hardware ejecuta su red a través de un equipo dedicado que tiene su propio

procesador y firewall. Este tipo de VPN es superior en dos áreas principales: seguridad

y velocidad. El hecho de que la VPN de hardware solo maneja sus propias funciones,

en lugar de ejecutarse sobre un dispositivo de propósito general, lo hace menos

vulnerable a los ataques, mientras que su procesador dedicado evita que se consuman

18
 los ciclos de CPU de sus servidores. En el lado negativo, las VPN de hardware pueden

ser costosas, y cuanto más necesite escalar, más se puede obtener con la propuesta.

Figura 4. Equipo de seguridad perimetral FortiGate-100E

VPN de software

Un software VPN es una aplicación que se ejecuta en un servidor. Las mayores ventajas de

las VPN de software son la asequibilidad y la escalabilidad. Una VPN de software

implicará una inversión inicial más baja que una VPN de hardware, y la ampliación es tan

simple como actualizar los componentes del servidor de vez en cuando. En el lado negativo,

su VPN será tan segura como el hardware en el que se está ejecutando, y la compartición

del procesador / memoria probablemente hará que se atrase con respecto a las velocidades

de VPN de hardware.

19
 Figura 5. Las mejores VPN de software libre usadas en 2019

Fuente: https://medium.com/@ProdLandHQ/the-11-best-vpn-services-of-2019-free-vpn-
software-and-tools-6aad22644d3d

20
2.1.2.6.VPN Hardware vs VPN Software

Tabla 1. Comparación entre VPN de hardware y software

2.1.2.7.Tipos de VPN

Hasta el momento contamos con dos tipos de VPN, estos son los siguientes:

VPN de acceso Remoto

La VPN de acceso remoto concede a los usuarios acceder a los datos y recursos de la

organización en el momento que lo requieran. Basta tener instalado un cliente VPN en

el dispositivo y el usuario será capaz de conectarse a la red interna de la organización

sin distinguir zona geográfica donde se ubique. Estos equipos clientes son denominados

como puntos finales los cuales pueden ser teléfonos inteligentes, tablets, computadoras,

etc. El avance tecnológico para una VPN incluso ha permitido el análisis de seguridad

21
en los dispositivos finales con el fin de garantizar que cumplan los requisitos de

seguridad antes de la conexión. (Gonzáles, 2006)

Figura 6. Representación de acceso VPN SSL

VPN Site to Site

La VPN site-to-site comunica o interlaza una oficina con sus demás sucursales

mediante Internet. Este tipo de VPN es utilizado cuando por temas de distancia no

amerita poseer conexiones directas entre redes u oficinas remotas. La solución o equipo

es designado puntualmente para fijar y mantener activa esta conexión. Tiene que verse

y tener claro que una VPN sitio a sitio es como una comunicación de una red con otra

red.

22
 Figura 7. Representación de una conexión VPN Site to Site

2.1.2.8.Protocolos de conexión VPN

Protocolo IPSec

IPsec como protocolo seguro de Internet ofrecen algoritmos de seguridad más robustos

y métodos de encriptación más complejas y la autenticación más completa. Este

protocolo IPSec tiene dos modos o formas de encriptación: túnel y transporte.

(Perdomo, 2018)

23
Modo de transporte

En el escenario de IPsec la carga útil efectiva del paquete se cifra y autentica, mientras

que la información del encabezado es integra.

Modo de túnel

El paquete es cifrado, luego de ser cifrado este mismo se encapsula para crear un

paquete IP actual que posee información diferente en su encabezado.

Además, todos los componentes de cada punto deben hacer uso de una clave común o

certificarla y deben contar con la configuración muy parecida a las políticas de

seguridad.

IPSec viene a ser un protocolo comúnmente usado para trasladar datos de modo seguro

en la capa de red. Para ser más concretos, este protocolo mejora la seguridad del

protocolo IP garantizando solo así la privacidad, probidad y legitimidad de los datos

que son enviados.

Protocolo PPTP/MPPE:

El PPTP (Point-to-Point Tunneling Protocol) originada por la compañía PPTP la cual

tiene como aliados a 3COM, Microsoft, US Robotics, etc. Este sujeta el multiprotocolo

VPN conformada por 40 bits y un cifrado de 128 bits en colaboración de Microsoft es

denominado Microsoft Point-to-Point Encryption (MPPE). PPTP fue creado para

admitir a los clientes la conexión a un servidor RAS mediante algún punto de Internet

24
obteniendo así la misma encriptación, autenticación y similares accesos de una red

local como discado directo al servidor.

Protocolo L2TP:

Este protocolo por sí mismo no otorga algún servicio de confidencialidad o

encriptación de manera automática, es usado como protocolo de túnel que soporta la

VPN o como ámbito de prestación de concesión por un ISP.

Integrada del resultado de compañías integrantes como PPTP, Cisco y la IEFT, L2TP

es convocado sobre IPsec, brindando seguridad en la tunelización del protocolo IPsec

y que es utilizado en los sistemas operativos Windows Server para el acceso VPN

hacia estos sistemas, cabe mencionar que Windows Server provee IPsec y L2TP

originario a un cliente.

Protocolo SSL

El protocolo SSL que tiene como traducción (Capa de Conexiones Seguras), viene

a ser un protocolo que maneja y aplica certificados digitales para constituir o fijar una

comunicación segura mediante Internet.

Dicho protocolo SSL está diseñado para admitir que las aplicaciones logren transmitir

ida y vuelta información de forma segura. Incluso las mismas aplicaciones que hacen

uso del protocolo SSL utilizan su propio clave de cifrado para emitir y recibir datos

con otras aplicaciones, cifrando y descifrando los datos de manera bidireccional.

25
Protocolo TLS

El protocolo TLS tiene multitud de aplicaciones en uso en la actualidad. La mayoría de

ellas está plasmada en programas con versiones seguras. TLS es ejecutado en

protocolos basados en aplicación como lo es la capa HTTP, mediante SSL/TLS se

convertiría en HTTPS ofreciendo así seguridad para enlaces que utilizan WWW o para

tráfico electrónico como aplicación, comprobando la autenticidad de extremos

mediante certificados de clave pública. SSH utiliza también SSL como TLS, SMTP

también puede operar de manera segura sobre SSL y TLS, POP3 e IMAP4 sobre

SSL/TLS.

2.1.2.9.Firewall

Un firewall (cortafuegos), es un sistema de seguridad diseñado específicamente para

bloquear el acceso no autorizado a comunicaciones peligrosas. Pueden ser de software

o hardware, estos permiten que todos los mensajes que entran o salen de la intranet

pasan a través del cortafuegos, el cual examina cada mensaje y bloquea los que no

cumplen los criterios o políticas ya establecidas en el mismo.

Su ubicación usualmente es en un punto de conexión de la red LAN de la organización

con la red WAN externa que habitualmente es Internet; de esta forma la red interna es

protegida de intentos no autorizados, ataques, vulnerabilidades que puedan existir en

los sistemas de la red interna. (Conza, 2009)

26
Principales fabricantes de Firewall

Fortinet: Empresa privada norteamericana, dedicada esencialmente a esquematizar y

fabricar elementos y mecanismos de seguridad para la variedad exigente de redes

(Firewall, UTM, etc.)

En la actualidad es la marca de posición y la más innovadora en sistemas de seguridad

UTM, superando auténticamente a marcas como Cisco o CheckPoint en la contienda

competencial del mercado.

Las aplicaciones y plataformas de Fortinet integran sofisticadas particularidades de red,

capacidad de alta disponibilidad, capacidades virtuales de dominio, protección rentable,

comprensiva contra las amenazas de la red e internet.

Figura 8. Imagen de la marca Fortinet

Cisco: Cisco Systems liderando en el mundo de redes e Internet transformando muchos

sectores y empresas como parte integral de sus soluciones afianzando y fidelizando a

sus clientes en relaciones duraderas, colaborando conjuntamente con ellas para el

impulso de nuevas necesidades identificadas con visión de éxito. Su diversidad también

mantiene su lucha en el mercado de las tecnologías.

27
 Figura 9. Imagen de la marca Cisco

SonicWall: Prestigioso fabricante constituida desde 1991 el cual brinda sistemas de

seguridad como SSL, Aceleradores, Cortafuegos, VPN, entre otros) tiene un portafolio

de productos de excepcional calidad y de gran ventaja económica facilitando dese las

Pymes hasta grandes empresas que brindan servicios, a nivel mundial sus productos son

incorporados por múltiples empresas.

Figura 10. Imagen de la marca SonicWall

Check Point: Checkpoint Software Technologies LTD, fundada en 1993, sus

soluciones están basadas exclusivamente en seguridad lógica únicamente, con cobertura

desde usuarios pequeños hasta grandes proveedores de Internet.

28
 Figura 11. Imagen de la marca Check Point

Palo Alto: Se trata de una compañía de ciberseguridad residente en Santa Clara,

California. Su gama de productos bandera se comprende de

firewalls avanzados y ofertas basadas en la nube que extienden esos firewalls para

cubrir otros aspectos de la seguridad.

Figura 12. Imagen de la marca Palo Alto

2.1.2.10. FortiGate UTM

La misión de Fortinet es ofrecer la red más innovadora y de mayor rendimiento

estructura de seguridad para asegurar y simplificar su infraestructura de TI. Es un líder

mundial de proveedor de dispositivos de seguridad de red para operadores, centros de

datos, empresas y oficinas distribuidas. (Acacio, 2020)

29
FortiGate es un equipo desarrollado por Fortinet como cortafuegos de hardware, con

múltiples funcionalidades de detección de virus, amenazas y otros ataques como

contenido, actuando sin afectar el mecanismo de tiempo real de una red, su rendimiento

y capacidad de filtro de contenido, antivirus, protección contra intrusos, control de

tráfico y balanceo permite formar un fornido esquema de red protegida. (Orosco, 2018)

Figura 13. Representación UTM de FortiGate Gestión unificada de amenazas

2.1.2.11. FortiAnalyzer

FortiAnalyzer es la herramienta de análisis de seguridad NOC-SOC construida con

perspectiva de operaciones. Con vistas orientadas a la acción y capacidades de desglose

30
profundo, FortiAnalyzer no solo brinda a las organizaciones información crítica sobre

las amenazas, sino que también analiza con precisión el riesgo en toda la superficie de

ataque, señalando dónde se requiere una respuesta inmediata.

Una arquitectura de seguridad integrada con capacidades de administración de registros

y seguridad basada en el análisis puede solucionar esta falta de visibilidad. Como parte

del Security Fabric de Fortinet, FortiAnalyzer apoya casos de uso basados en análisis

para proporcionar una mejor detección contra violaciones. (Fortinet L. , 2021)

Figura 14. Equipo físico FortizAnalyzer-200D (FAZ)

31
El Appliance FortiAnalyzer se representa de la siguiente manera en una red:

Figura 15. Representación gráfica del FortiAnalyzer instalado en una red

Figura 16. Portafolio de productos marca Fortinet

32
2.1.2.12. Autenticación Multifactor

La comunicación y las tecnologías de la información poseen un gran valor en la vida

cotidiana, ya que las ellas se han vuelto un instrumento de uso habitual. Debido al

número de patrones de usos, existe una progresiva exigencia de garantizar su adecuado

funcionamiento y de la misma manera su adecuada operación.

La autenticación es un componente fundamental de un prototipo de seguridad. Es de

vital importancia la diferencia entre autenticar y autorizar, que es otra pieza

fundamental como propósito de seguridad. Para comprobar la identidad el usuario

aplica autenticación. Por otra parte, el usuario comprueba y confirma un permiso

correcto con derechos de ingreso a determinado lugar o cierto recurso, esto es

denominado autorización.

Figura 17. Representación de una Autenticación Multifactor

Actualmente se conservan tres escalas como nivel de autenticación: Claves de

información, claves físicas y claves biométricas, las cuales se basan en tres formas que

el usuario puede comprobar respectivamente a partir de:

33
Algo que la persona sabe

En este apartado el usuario provee información que solo el conoce, puede ser una clave,

PIN, enunciado de contraseña o preguntas y juego de respuestas.

Algo que la persona posee

Aquí el usuario otorga un ítem que posee, como un token o una contraseña de un solo

uso.

Algo que la persona es

El usuario confía en un rastro o característica única de su persona incluyendo huellas

dactilares, inspección de voz, inspección facial, examinación de retina, escaneos y

reconocimientos que permita responder a un servidor ese acceso único detrás de la

escena.

Sin embargo, para lograr una autenticación de múltiple factor sea posible esta deberá

incluir dos o más métodos mínimos como autenticación con la finalidad de reforzar una

consistente autenticación. (García, 2016)

2.1.2.13. FortiToken Mobile

FortiToken Mobile (FTM) es una aplicación generadora de contraseña única (OTP)

basada en eventos y en el tiempo compatible con OATH para el teléfono móvil

inteligente. Es el componente cliente de la solución elevadamente segura, fácil de usar

y administrar, y extremadamente productiva y beneficiosa de Fortinet para complacer

las fuertes exigencias y requisitos de autenticación. Puede implementar tokens FTM

34
utilizando FortiOS, FortiAuthenticator o FortiToken Cloud (2FA-as-a-Service) como

servidor de validación back-end para tokens FTM. Hay disponibles notificaciones

automáticas para aprobar o denegar intentos de inicio de sesión. FTM también admite

tokens de terceros para los sitios web más populares. (Fortinet I. , 2021)

Figura 18. FortiToken Mobile disponible en Play Store

Las claves y contraseñas no descartan la posibilidad de visitantes no deseados en la red.

Es por eso que la autenticación con solo una contraseña abre paso a brechas de

seguridad, expansión y contaminación de variantes de malware y el incumplimiento de

políticas quizá ya establecidas. Con un doble factor de autenticación podrás combinar

una contraseña adyacente a un token de seguridad y para proporcionar mayor seguridad

un servidor auntenticador. Los usuarios autorizados pueden ingresar a los recursos de

la empresa de modo seguro combinando diversos dispositivos, que involucran

computadoras hasta teléfonos inteligentes. FortiToken Mobile actúa como un token

físico pero que está representado como una aplicación para Android o iOS utilizando

un dispositivo móvil para la interacción conjunta con el usuario.

35
2.1.2.14. Metodología PPDIOO de Cisco

La metodología PPDIOO tiene como origen lineamientos planteados en el ciclo de vida

PPDIOO que utiliza Cisco en administración de red. El recorrido de este ciclo de vida

permite cumplir objetivos trazados, entre ellos la disminución del costo total de la

administración y aumento de disponibilidad de la red, agilizando la estructura de red.

Este ciclo de vida es un bucle sin fin ya que en la fase de optimización siempre se van

a identificar actividades y cambios hasta en la misma infraestructura existente, la cual

sería nuevamente analizada partiendo del primer paso que es preparación. (Erazo,

2016)

Figura 19. Representación de la metodología PPDIOO

36
Fases del ciclo de vida PPDIOO

PPDIOO abarca en cada primera letra en ingles un significado compuesto por:

 P (Prepare) Fase de Preparación compromete factor presupuestal, táctica de red.

 P (Plane) Fase de Planeación compromete determinación de la red, análisis de

desperfectos.

 D (Design) Fase de Diseño compromete un diseño como solución (servicios,

paquetes).

 I (Implement) Fase de Implementación implica la puesta en marcha del

producto.

 O (Operate) Fase Operativa implica un mantenimiento para dicha solución.

 O (Optimize) Fase de Optimización compromete la administración constante de

la red.

Fase de Preparación

Fase en la cual se anticipa una visión general, requisitos y tecnologías indispensables

para edificar y mantener una ventaja competitiva. En general esta etapa depende de un

argumento financiero como caso de negocio para fijar una estrategia de red que

resuelva problemas o deficiencias determinadas como requerimientos del cliente o

usuario final.

37
Fase de Planeación

La fase en general se identifica por aplicar una revisión de la red actual basado en el

estudio de desperfectos versus las buenas prácticas, que durante el desenlace del

proyecto se aplicaran medios y objetivos. Esta etapa considera la validación de

recursos, sus poderosos riesgos involucrados que incluyen software y hardware, de la

misma forma si existe recursos humanos libres. Una buena determinación en la red

requiere estratégicamente herramientas de análisis del comportamiento actual de la red

y manifiesta alternativas a aplicar, la recolección de información en esta etapa es

fundamental para la elección de materiales requeridos.

Fase de Diseño

La fase en general empieza con un diseño de red según la recolección de datos resultado

de la fase anterior. La información más detallada y especifica será parte del plan de

proyecto como actualización, esta será de gran ayuda para la implementación. El diseño

correcto se comprende de objetivos alineados con solicitudes técnicas y facultando los

cambios, lo que se va descartar o agregar a la red con visibilidad adquirida y existente

brindando un mejor servicio.

Fase de Implementación

A partir de esta fase se lleva a cabo la instalación y configuración de los equipos. En

términos de proyecto el plan de trabajo deber ser cumplido, previamente conversado y

38
aceptado por el equipo de trabajo. El tiempo evaluado y documentado debe proveer un

plan de contingencia, así como un rollback aplicado en caso de fallo general. Su

principal objetivo es implementar la solución sin implicar la red y su disponibilidad

definiendo ventanas de tiempo para lograrlo. Es esencial ejecutar una prueba piloto en

un ambiente de preproducción para el efecto de permitir simular un entorno real.

Fase de Operación

Esta etapa conserva un día a día en la red incluyendo su administración y monitoreo de

sus elementos, gestión del desempeño y la subsanación identificada de errores, temas

que serán identificados, documentados y corregidos. Esta fase tiene como objetivo

principal mantener un estado de salud optimo y de brindar un mejor servicio,

reduciendo interrupciones y brindando mayor disponibilidad, fiabilidad y seguridad.

Para realizar un reporte y monitoreo correcto podemos utilizar herramientas que nos

ayuden a proveer acciones preventivas y correctivas inmediatas sin la percepción del

usuario final.

Fase de Optimización

Esta fase se tiene en cuenta la acción proactiva, identificando y mejorando la red

continuamente. Esta fase como objetivo principal tiene reforzar la carga de la red sin

generar interrupciones a la ejecución y adecuándose a los cambios y requisitos de

actualización tecnológica y del mundo.

39
2.2. Marco conceptual

Active Directory: Condición usada por Microsoft para mencionar a su implementación de servicio

de directorio en una red conformada de grupos y usuarios.

Acceso Remoto: La capacidad de controlar un equipo desde otra ubicación, tipo de conexión que

normalmente es usada en cualquier red.

Ancho de banda: Secuencia de frecuencias medibles otorgadas por un proveedor de servicios de

internet, se miden en Hertz.

Autenticación: Método que determina la autorización y permiso del usuario para el acceso a un

recurso o para ejecutar una operación.

Firewall: Es un dispositivo de funciones múltiples de acuerdo al fabricante o marca el cual

funciona como cortafuegos entre segmentos de red, permitiendo o denegando conexiones de una

red a otra.

Gateway: Es una "puerta de enlace" entre dos redes distintas, entre una red local y una extensa

WAN (equipo para interconectar redes).

ISP: Es una entidad, la cual brinda acceso a Internet a personas físicas y/o jurídicas, les ofrece un

portafolio amplio de servicios como páginas web, consultoría de webs e Intranets.

Internet: Red global de equipos cuyas comunicaciones se realizan mediante un protocolo común,

TCP/IP.

LDAP: Base de datos que guarda y administra directorios con información de usuarios de la red a

través de protocolos TCP/IP ya estandarizados.

40
Protocolo TCP/IP: Sus siglas significan "Protocolo de control de transmisión/Protocolo de

Internet. Un sistema de protocolos que hacen posibles servicios Telnet, FTP, E-mail, etc.

SSL: Protocolo que suministra privacidad y autenticación de los datos como medio

criptográfico ante extremos como habitualmente lo es Internet.

UDP: Es un protocolo de datagramas de usuario, el cual emite a través de la red sin haber

dispuesto anticipadamente una conexión.

VPN: Red privada virtual que permite crear un túnel de conexión segura para el acceso de

usuarios autorizados que harán uso de los recursos de la organización como si estuviesen

directamente en la red.

41
2.3.Marco metodológico

Para este informe de suficiencia profesional se adaptará la metodología PPDIOO (Preparar,

Planificar, Diseñar, Implementar, Operar y Optimizar) en un singular Marco Metodológico, esto

facultará el progreso completo de diseño e implementación en la red informática de la entidad, ya

que el enfoque principal de esta metodología es plasmar las actividades y necesidades en base a la

propuesta de implementar una VPN-SSL para mejorar la autenticación y el acceso seguro a los

datos en el Hospital de Vitarte, permitiendo brindar seguridad a nuestros usuarios y a la

información comprometida que será parte de esta conexión.

El Marco Metodológico propuesto constará de cuatro etapas las cuales serán:

2.3.1. Etapa de Organización

Como primera etapa del Marco Metodológico, en esta se llevará a cabo las siguientes
actividades:

- Componentes de la Red HV - Servidores Físicos

- Aplicaciones de la Red HV - Servidores Virtuales

- Diagrama de Red Actual HV

- Selección de la tecnología para la implementación – Datasheet del Producto

2.3.2. Etapa de Análisis y Diseño

Como segunda etapa se analizará los recursos humanos y físicos que participaran para integrar
la solución futura y seguidamente el diseño de la propuesta a implementar, se llevara adelante
las siguientes actividades:

- Análisis de Requerimientos (TDR y ETT)

- Requerimiento del usuario final

- Requerimiento para las aplicaciones y sistemas del HV

42
- Requerimiento de infraestructura (Análisis Técnico)

- Asignación de personal como recurso de implementación

- Plan de trabajo (Diagrama de Gantt)

- Modelo de Negocio

- Direccionamiento IP propuesto

- Diagrama de Red Propuesto (VPN-SLL + Doble Factor de Autenticación + FAZ)

2.3.3. Etapa de Desarrollo e Implementación:

- Configuración del FortiGate-100E

- Configuración e integración del protocolo LDAP en el Firewall

- Agregando los grupos del dominio en el Firewall

- Configuración de la VPN-SSL para el acceso remoto

- Creación de políticas de acceso para los usuarios VPN

- Asignación de FortiToken virtual a usuarios VPN como Doble Factor de Autenticación

- Prueba piloto de conexión VPN-SSL con método de Doble Factor de Autenticación

2.3.4. Etapa de Operación y Control

En esta etapa se llevará a cabo un conjunto de actividades de gestión que permitirá verificar

que el despliegue de la implementación sea controlable y auditable lo mejor posible.

- Instalación y configuración del aplicativo FortiClient

- Integración del FortiAnalyzer con el FortiGate

- Monitoreo en tiempo real a través del FortiGate (FGT)

- Auditoria de reportes personalizados de conexión en el FortiAnalyzer (FAZ)

43
Estructura de desglose de trabajo (EDT)

Tabla 2. EDT del Proyecto

44
 CAPITULO 3

3. DESARROLLO DE LA SOLUCION

3.1.ETAPA DE ORGANIZACIÓN

Componentes de la Red HV – Servidores Físicos

Como parte de esta etapa recolectaremos información con respecto a los servidores físicos con los

que cuenta el Data Center del Hospital de Vitarte.

Figura 20. Servidores Físicos del Hospital de Vitarte

45
Aplicaciones de la Red HV – Servidores Virtuales

Tabla 3. Aplicaciones y sistemas en Servidores Virtuales

46
Diagrama de Red Actual HV

Figura 21. Diagrama de la Red Actual HV

47
Selección de la tecnología para la implementación

La tecnología para la implementación estará basada en la solución de marca Fortinet, y para

poder lograr implementar una VPN-SSL vamos a adquirir el Firewall FortiGate-100E para el

Hospital de Vitarte como dimensión. En el cual se integrará el protocolo LDAP para definir y

declarar los grupos del dominio alojados en el servidor Active Directory de la institución.

Firewall FortiGate-100E – Datasheet (ANEXO 01)

Figura 22. Parte frontal del FortiGate-100E

Hardware

Figura 23. Interfaces del FortiGate-100E

48
Especificaciones Técnicas del producto

Figura 24. Especificaciones y rendimiento del FortiGate-100E

FortiToken Mobile – Datasheet (ANEXO 02)

49
 Figura 25. Datasheet del producto FortiToken Mobile

Especificaciones Técnicas

Figura 26. Especificaciones técnicas del FortiToken

50
 Licencia de Software – FortiToken Mobile

Figura 27. Licencia para FortiToken según cantidad de dispositivos

3.2.ETAPA DE ANALISIS Y DISEÑO

Análisis de Requerimientos

Esta segunda etapa identificaremos los recursos existentes de la red del Hospital de vitarte, las
actividades que se llevaran a cabo como diseño de la propuesta a implementar.

Términos de Referencia (TDR) para la contratación de servicios – Telefonía fija e Internet

(ANEXO 03)

51
Figura 28. TDR para la contratación de servicios – Parte 1

52
Figura 29. TDR para la contratación de servicios – Parte 2

53
 Figura 30. TDR para la contratación de servicios – Parte 3

Especificaciones Técnicas (EETT) para la adquisición de bienes - Firewall FortiGate-

100E (ANEXO 04)

54
Figura 31. EETT para la adquisición de bienes – Parte 1

55
Figura 32. EETT para la adquisición de bienes – Parte 2

56
Requerimiento del usuario final:

Visualizando la tabla 3, se detalla requerimientos a nivel de usuarios, esto incluye métodos de

recolección de información, en cuentas e interrogaciones de principales grupos con la finalidad

de arrojar datos percibidos del usuario en relación a los servicios de red, considerando

esencialmente tiempos en la escalabilidad, estabilidad y disponibilidad.

Tabla 4. Requerimiento del usuario final

Requerimiento para las aplicaciones y sistemas del HV:

En la Tabla 4, mostramos los requerimientos a nivel de aplicación de rendimiento intensivo que

en su mayoría implican las tareas de traspaso o entrega, consultas y acceso a los datos de los

distintos sistemas con los que cuenta el Hospital de Vitarte. Esta comunicación con los sistemas

es primordial ya que los datos o acuses mantendrán una réplica bidireccional. No obstante, una

aceptable cantidad de datos extraviados, trafico clasificado, fluidez de la conexión, son

requisitos importantes para estos sistemas y sus consultas.

57
 Tabla 5. Requerimiento para las aplicaciones

Requerimientos de Infraestructura:

Un requerimiento importante para la infraestructura de la red del Hospital de Vitarte es que el

Servicio de Comunicación sea escalable y con tolerancia a soportar las conexiones remotas de

más de 100 trabajadores simultáneos, para este escenario se requiere equipos que permitan esta

redundancia ante posibles fallas lógicas.

Análisis técnico

 Escalabilidad

El despliegue de la solución a implementar cuenta con capacidad aproximada de 100 usuarios

VPN activos simultáneamente, pero con un crecimiento futuro y escalable de 500 usuarios

simultáneos que soporta el equipo según las especificaciones técnicas ya descritas en el

Datasheet del producto en sí.

58
 Disponibilidad

Dado que el servicio es imprescindible, se encuentra activo las 24 horas del día, pero se

aplicarán políticas con horarios de acceso para mantener el cumplimiento de los roles de cada

trabajador por unidad o servicio dentro del Hospital de Vitarte.

 Rendimiento

La solución a implementar cuenta con la adaptabilidad necesaria para soportar un futuro

crecimiento de usuarios y se garantice la conexión simultanea sin interrupciones.

 Seguridad

La confidencialidad e integridad de los datos viajaran seguros, ya que el túnel VPN será

encriptado y contará con un previo método de acceso añadiendo el método de doble factor de

autenticación.

Recurso humano designado para la implementación:

N° NOMBRE DESCRIPCIÓN
1 Roberto Flores Ayqui Especialista en Redes y Comunicaciones NSE1, NSE2, NSE3, NSE4

Plan de trabajo

Este plan de trabajo se ejecutará mediante un diagrama de Gantt, visualizando así las actividades

del proyecto y su duración por cada etapa, fechas según lo planificado considerando que es un

diagrama planeado y mientras existan modificaciones en el tiempo de las actividades pasará a

ser un diagrama ejecutado.

59
Cronograma de Actividades – Etapas para la implementación VPN-SSL en el Hospital de Vitarte

Figura 33. Diagrama de Actividades según Etapas del Proyecto

60
Se desarrolló un diseño detallado que comprenda requerimientos técnicos y de negocio,

obtenidos como plan de proyecto que fue actualizado mediante un cronograma de actividades

más granular para la implementación de la propuesta.

Tabla 6. Cronograma de Actividades por Etapas

61
 Modelo de negocio

El modelo de negocio inicia con una evaluación de la cantidad de usuarios o trabajadores que

contaran con esta modalidad según la unidad o servicio del mismo hospital de Vitarte.

Áreas Involucradas y cantidad de trabajadores remotos:

 CONSULTORIOS EXTERNOS (10)

 EMERGENCIAS (5)

 FARMACIA (10)

 JEFATURAS (10)

 LOGISTICA (5)

 PLANEAMIENTO (3)

 ECONOMIA (7)

 VENTANILLAS (10)

 ESTADISTICA E INFORMATICA (10)

 OTRAS UNIDADES – AREAS – SERVICIOS (10)

Direccionamiento IP propuesto

Para la conexión propuesta el esquema del direccionamiento IP se basa en tres grupos:

Tabla 7. Direccionamiento IP para la conexión.

NOMBRE RED MASCARA PUERTA DE ENLACE
RED INTERNA 192.168.20.0 255.255.255.0 192.168.20.1
SERVIDORES 172.16.0.0 255.255.0.0 172.16.1.2
SSLVPN_TUNNEL_ADDR1 10.212.134.50-10.212.134.250 255.255.255.255 ssl.root
WAN 1 179.43.87.112 255.255.255.248 179.43.87.113
WAN 2 179.43.87.128 255.255.255.240 179.43.87.129

62
Diagrama de Red propuesto – VPN-SLL + Doble Factor de Autenticación FTA + FAZ

Figura 34. Diagrama de red propuesto para el Hospital de Vitarte

63
3.3.ETAPA DE DESARROLLO E IMPLEMENTACIÓN

A partir de esta etapa se lleva a cabo la instalación y configuración del equipo FortiGate-100E y

la solución. En términos de proyecto el plan de trabajo deber ser cumplido, previamente acordado

y aprobado por los miembros del equipo. El tiempo evaluado y documentado debe proveer un plan

de contingencia, así como su respectivo rollback en caso de fallo general.

Configuración del FortiGate-100E

El proveedor de internet Media Commerce que brinda el servicio de internet al Hospital de Vitarte,

cuenta con dos enlaces redundantes los cuales aprovecharemos para configurar la redundancia de

internet en el FortiGate-100E propuesto para esta solución, por medio de la tecnología SD-WAN

podremos unificar así dos enlaces físicos (WAN 1 y WAN 2) para crear la interfaz virtual SD-

WAN como solución redundante de Internet para la navegación de los usuarios finales.

PASO 01: Para ello al ingresar al Firewall FortiGate-100E declararemos los puertos WAN

(Enlaces de internet Principal y Redundante) así como su ruta estática de salida a Internet.

Figura 35. Configuración de los puertos WAN en el FGT-100E

64
PASO 02: Seguidamente configuramos la SD-WAN como se observa en la siguiente imagen,

agregando a los puertos que serán los miembros de esta nueva interfaz.

Figura 36. Creación de la interfaz SD-WAN en el FGT-100E

Figura 37. Ruta por defecto de la SD-WAN en el FGT-100E

65
PASO 03: El volumen de ancho de banda SD-WAN será proporcionalmente dividido para la

subida y bajada de velocidad contratada por los enlaces de Internet como se aprecia en la figura

de abajo.

Figura 38. Distribución del Ancho de banda mediante la SD-WAN

PASO 04: Para ello en el servidor de dominio Active Directory ya debemos tener estructurada

una relación de grupos del dominio que participarán y serán autorizados en esta conexión VPN

para el teletrabajo en el Hospital de Vitarte tal como se puede observar en la siguiente figura

del árbol de la entidad.

66
Figura 38-1. Grupos VPN declarados en el Active Directory para el Teletrabajo

67
Configuración e integración del protocolo LDAP en el Firewall

PASO 01: Para configurar la unidad FortiGate para la autenticación LDAP tenemos los

siguientes pasos:

1. Vaya a Usuario y dispositivo -> Autenticación -> Servidores LDAP y seleccione Crear

nuevo.

2. Ingrese un nombre para el servidor LDAP.

3. En Nombre / IP del servidor, ingrese el FQDN o la dirección IP del servidor.

4. Si es necesario, cambie el número de puerto del servidor. El puerto predeterminado es 389.

5. Introduzca el Identificador de nombre común (20 caracteres como máximo), cn es el

predeterminado y la mayoría de los clientes utilizarán SAMAccountName. Cn es un nombre

común que es un nombre para mostrar y SAMAccountName es el nombre de inicio de

sesión (en referencia al servidor LDAP de Windows).

6. Para el nombre distinguido, haga clic en examinar y seleccione el dominio principal

(seleccione el dominio una vez que ingrese el nombre de usuario y la contraseña según los

pasos 8 y 9)

7. En Tipo de enlace, seleccione Regular.

8. En Nombre de usuario, ingrese el nombre del administrador LDAP junto con el dominio.

9. En Contraseña, ingrese la contraseña del administrador LDAP.

10. Seleccione Aceptar.

68
Figura 39. Creación e integración del protocolo LDAP en el FortiGate

Figura 40. Ejemplo de una estructura LDAP

69
 Figura 41. Parámetros del protocolo LDAP en el FortiGate

Figura 42. Representación del protocolo LDAP como BD en el FortiGate

70
PASO 02: Al seleccionar en “Browse” podremos ya ver reflejada la información del árbol del

dominio del Hospital de Vitarte, junto a todos sus grupos y unidades organizativas existentes.

Figura 43. Base de datos LDAP ya sincronizada en el Firewall

Figura 44. Test de conectividad contra el AD

71
 Figura 45. Registro correcto del LDAP Server en el FortiGate

Agregando a los grupos del dominio en el Firewall

Para lograr este punto seleccionaremos los grupos que ya fueron creados y estructurados en el

Directorio Activo para que formen parte de la conexión VPN de acceso propuesta desde un

principio, incluso se puede observar en la imagen que el grupo

“FW_Usuarios_CONSULTORIOS” ya está seleccionado.

Figura 46. Agregando grupos VPN en relación al AD

72
 Figura 47. Creación correcta del grupo de acceso VPN

Configuración de la VPN-SSL para el acceso remoto

PASO 1: En el apartado “SSL-VPN Portals” crearemos un perfil para el túnel VPN asignado

para nuestra solución, en el cual agregaremos nuestra red LAN con su segmento respectivo y el

pool de direcciones privadas que recibirán nuestros clientes VPN desde el exterior.

Figura 48. Configuración del portal VPN-SSL

73
PASO 2: Luego nos dirigimos al apartado “SSL-VPN Settings” en el cual asignaremos los

puertos WAN que actualmente son miembros de la SD-WAN creada inicialmente, esto con el

fin de que el acceso VPN sea mediante cualquiera de las 2 ip publicas configuradas con sus

políticas respectivas.

Figura 49. Configuración de interfaces WAN de escucha

PASO 3: Continuando con el apartado, vamos a personalizar el puerto de escucha VPN para

que no haga conflictos con el acceso HTTPS que ya tiene por defecto la página web de

administración del mismo FortiGate, para ello cambiaremos el puerto 443 al 10443, el cual más

adelante será considerado en la configuración del aplicativo cliente en los equipos de acceso

remoto como resultado.

PASO 4: Otro punto a considerar es seleccionar la opción “Permitir el acceso desde cualquier

host” y en la autenticación agregaremos a nuestro grupo LDAP ya generado anteriormente

como se puede observar en la imagen a detalle.

74
Figura 50. Personalizando puerto de escucha 10443

Figura 50. Verificación del puerto 10443 por la CLI

75
Creación de políticas de acceso para los usuarios VPN

Para terminar de configurar la VPN-SSL de acceso remoto, debemos de crear las reglas o

políticas para que los equipos que se conecten a través de la VPN siguiendo los pasos detallados

a continuación:

PASO 1: Iremos al apartado “IPv4 Policy” y crearemos una política agregando los campos de

origen, red interna del Hospital de Vitarte, campo de destino, objetos previamente declarados,

horario, servicio y el NAT habilitado, ya que para las demás que quisiéramos personalizar sería

exactamente igual como se observa en la figura.

Figura 51. Política de acceso para los usuarios VPN

76
 Figura 52. Resumen de la política creada para el acceso VPN

Asignación de FortiToken virtual a usuarios VPN como Doble Factor de Autenticación

PASO 1: Inicialmente desde la pestaña “User definition” del FortiGate importaremos un

usuario del AD que fue configurado ya anteriormente mediante el protocolo LDAP en el mismo

Firewall, seleccionamos la opción “Remote LDAP User”.

Figura 53. Declaración del usuario remoto LDAP

77
PASO 2: Seguidamente seleccionaremos nuestro único Directorio Activo que ya habíamos

agregado por LDAP, es más al sombrear veremos los detalles de nuestro servidor y su

configuración, le damos en siguiente.

Figura 54. Seleccionando LDAP Server

PASO 3: Buscamos por la pestaña “Users” la cual filtrará cualquier usuario del dominio que

exista en el AD, seleccionamos el usuario, damos click derecho y por último la opción asignar.

Figura 55. Búsqueda y selección de usuarios por LDAP Server

78
PASO 4: Damos en aplicar y veremos que nuestro usuario del AD ya está reflejado en el

apartado “User Definition” con el estado “LDAP”

Figura 56. Usuario LDAP declarado en el Firewall

PASO 5: A continuación, editaremos el usuario que declaramos para así asignarle un

FortiToken virtual como método de “Doble Factor de Autenticación” y un correo para que

llegue a la bandeja del usuario un código de activación, tal cual se observa en la imagen como

evidencia.

79
 Figura 57. Asignando FortiToken y correo al usuario VPN

PASO 6: Una vez seleccionado el FortiToken podremos observar un mensaje el cual indica que

el código de activación ha sido enviado a la bandeja de ese correo.

Figura 58. Envío de código de activación al correo personal

80
PASO 7: Al ingresar al correo personal, podremos verificar que nos llegó un código de

activación y a la vez un código QR adjunto, los cuales podremos utilizarlos para registrar en

nuestro aplicativo móvil descargado e instalado.

Figura 59. Correo con el código de activación y código QR

81
PASO 8: Descargamos la aplicación desde el Play Store de nuestro dispositivo móvil que esta

disponible y gratuito con el nombre de “FortiToken Mobile”

Figura 60. Descarga e instalación del aplicativo FortiToken Mobile

82
 Figura 61. FortiToken Mobile instalado en dispositivo móvil

PASO 9: Al ingresar a la aplicación, seleccionaremos la opción “SCAN BARCODE” de la

parte inferior, la cual nos ayudará a leer el código QR y automáticamente el FortiToken se

sincronice y registre al dispositivo móvil.

Figura 62. Opciones de registro del FortiToken Mobile

83
PASO 10: Ahora, veremos que el FortiToken virtual asignado en el Firewall para el usuario

“rflores” es el que se registra en el aplicativo “FortiToken Mobile”

Figura 63. FortiToken asociado como doble factor de autenticación

PASO 11: Finalmente, podremos observar que el aplicativo FortiToken Mobile nos asigna un

código de 6 dígitos de forma aleatoria a cada minuto, podemos mostrar u ocultar ese código.

Figura 64. FortiToken con código oculto

84
Figura 65. FortiToken generando código

85
Prueba piloto de la conexión VPN-SSL con método de Doble Factor de Autenticación

PASO 1: Para esta prueba de conexión abrimos el aplicativo FortiClient

Figura 66. Abriendo el aplicativo FortiClient

PASO 2: Ingresaremos nuestras credenciales VPN y esperamos el estado de carga de conexión

del aplicativo.

86
 Figura 67. Ingresando credenciales VPN

Figura 68. Estado de carga para conexión VPN

87
PASO 3: Ingresaremos el código que nos genera nuestro aplicativo FortiToken Mobile

previamente instalado y configurado en nuestro dispositivo móvil.

Figura 69. Solicitud de código Token para conexión VPN

88
 Figura 70. Conexión exitosa de usuario VPN

PASO 4: Ahora podemos ya conectarnos a los sistemas de la red del Hospital de Vitarte.

Figura 71. Conexión RDP a servidor SIGA del HV

89
3.4.ETAPA DE OPERACIÓN Y CONTROL

Instalación y configuración del aplicativo FortiClient

PASO 1: Primero, descargaremos el FORTICLIENT, aplicativo cliente para la conexión

VPN el cual es gratuito y se encuentra en la página web oficial:

https://www.forticlient.com/downloads

Figura 72. Descarga del FortiClient VPN para Windows

PASO 2: Realizamos doble click en el ejecutable, para empezar a instalar el FortiClient

Figura 73. Descarga del FortiClient VPN para Windows

90
PASO 3: Activamos la casilla para aceptar el acuerdo de licenciamiento y hacer click en

“Next”

Figura 74. FortiClient Setup – Aceptando términos de licencia

PASO 4: Realizar click en el botón “Next” confirmando la ruta de instalación por defecto

Figura 75. FortiClient Setup – Ruta de instalación

91
PASO 5: El aplicativo FortiClient comenzará el proceso de instalación

Figura 76. Proceso de instalación del FortiClient

PASO 6: Al culminar la instalación se presentará la siguiente ventana.

Figura 77. FortiClient completamente instalado

92
PASO 7: Nos dirigimos a la opción “Acceso Remoto” y agregamos los siguientes

parámetros:

1. Seleccionar la opción “VPN SSL”.

2. Colocar el nombre de conexión: “HOSPITAL VITARTE”.
3. En “Descripción” es opcional
4. Colocar en la opción de “Gateway Remoto” la dirección IP: “179.43.87.114”.
5. Habilitar la casilla de verificación de: “Personalizar puerto” y a su vez escribir el puerto:
“10443”.
6. En la opción de “Autenticación” elegir “Preguntar el login”.
7. Habilitar la casilla de verificación de: “No advertir de Certificado de Servidor Inválido”.
8. Para guardar la configuración realizada dar clic en el botón “Guardar”.

Figura 78. Parámetros para la conexión VPN-SSL

93
Integración del FortiAnalyzer con el FortiGate

PASO 1: Para esto, ya los DNS y sufijos del dominio deben estar configurados en el

FortiGate y en el túnel VPN como se observa en las siguientes imágenes:

Figura 79. Agregando DNS primario, secundario y sufijo del dominio

Figura 80. Túnel VPN con el sufijo del dominio agregado

94
PASO 2: Asignaremos una IP de la red para el FortiAnalyzer y lo registraremos mediante el

FortiGate. A continuación, se muestra la ventana principal del FAZ.

Figura 81. Dashboard inicial del FAZ

95
PASO 3: Ingresamos al FortiGate y nos dirigimos al apartado “Log & Report” en el cual

veremos la opción “Send logs to FortiAnalyzer”.

Figura 82. Habilitando el envío de Logs al FAZ

96
PASO 4: Ingresamos la IP del FortiAnalyzer y seguidamente damos click en “Test

Connectivity” con esto lograremos que se muestre un mensaje el cual indica que el

FortiGate debe ser autorizado por el FortiAnalyzer.

Figura 83. FortiGate no autorizado en el FAZ

PASO 5: Ahora veremos que en el apartado “Device Manager” del FortiAnalyzer aparece

un equipo aun no registrado.

Figura 84. Administración de dispositivos en el FAZ

97
 Figura 85. Device Manager (1 Dispositivo no registrado)

PASO 6: Seleccionamos el FortiGate y lo agregamos para forme parte del FortiAnalyzer.

Figura 86. Autorizando y agregando FortiGate al FortiAnalyzer

Figura 87. FortiGate autorizado con logs en tiempo real

98
Monitoreo en tiempo real a través del FortiGate

El monitoreo en tiempo real te lo puede ofrecer el mismo equipo FortiGate en el apartado

“SSL VPN Monitor” donde nos muestra campos como el usuario conectado, la fecha y hora

actual, la IP publica de donde está realizando dicha conexión y la IP asignada por el túnel

para el cliente.

Figura 88. Monitoreo de conexión en tiempo real mediante el FortiGate

Aquí una ampliación de la conexión en tiempo real capturada por el Firewall.

Figura 89. Ampliación de la conexión en tiempo real del usuario remoto

99
Auditoría de reportes personalizados de conexión en el FortiAnalyzer

Con nuestro FortiAnalyzer sincronizado y configurado anteriormente podremos ingresar al

apartado “Reports” y veremos múltiples opciones de personalización como

predeterminadas.

Entre ellas tenemos las siguientes:

 All Reports (Búsqueda de todos los reportes predeterminados existentes)

 Templates (Plantillas predeterminadas)

 Chart Library (Liberia de códigos y gráficos)

 Datasets (Sentencias SQL y conjunto de datos tabulados)

Figura 90. Ingreso a la opción de Reportes en el FortiAnalyzer

100
 Figura 91. Opciones para crear y personalizar reportes

Figura 92. Opciones de visualización en tiempo real de las conexiones

101
Figura 93. Variedad de reportes personalizados para distintas auditorias

102
 CAPITULO 4

RESULTADOS

4.1.Resultados

4.1.1. PRIMER RESULTADO:

Se logra cumplir el “Método de doble factor de autenticación” como acceso legitimo del

trabajador remoto mediante la VPN-SSL a través del Firewall FortiGate-100E.

Demostración – Parte 1: Para evidenciar este resultado nos conectamos a una red

inalámbrica externa con una laptop para ingresar a la VPN como corresponde.

Figura 94. Conexión a red inalámbrica externa desde laptop

103
Demostración – Parte 2: Como primer método de factor de autenticación (ALGO QUE

SABEMOS) ingresaremos nuestro usuario del dominio y su respectiva contraseña.

Figura 95. Primer factor de autenticación (Algo que sabemos)

Demostración – Parte 3: Como segundo método de factor de autenticación (ALGO QUE

POSEEMOS) ingresaremos nuestro código que nos genera nuestro FortiToken Mobile ya

registrado en nuestro dispositivo móvil.

104
Figura 96. Segundo factor de autenticación (Algo que poseemos)

105
 Demostración – Parte 4: De esta manera logramos la conexión a la VPN cumpliendo el

“Método de Doble Factor de Autenticación”

Figura 97. Conexión VPN exitosa cumpliendo el Método de Doble Factor de Autenticación

106
Incluso aquí evidenciamos todas las licencias FortiToken agregadas y la asignación de cada

una de ellas para cada usuario VPN, ahora todos los usuarios tienen el Doble Factor de

Autenticación.

Figura 97-1. Licencias FortiToken registradas y asignadas en el Firewall

107
Demostración – Parte 5: De la misma manera podemos intentar la conexión mediante

nuestro dispositivo móvil mediante el FortiClient el cual está disponible para Android y

IOS.

Figura 98. Doble factor de Autenticación a través del aplicativo FortiClient para móvil

108
 Figura 99. FortiToken registrado en dispositivo móvil

4.1.2. SEGUNDO RESULTADO:

Se consigue ingresar a los sistemas, recursos y aplicaciones alojadas en los servidores del

Hospital de Vitarte, cumpliendo así las actividades o roles asignados por cada unidad o

servicio en la modalidad de Teletrabajo mediante una VPN-SSL a través del Firewall

FortiGate-100E.

Demostración – Parte 1: Ya conectados a la VPN incluso podremos hacer un ping ya sea

por IP o por HOSTNAME de los servidores del Hospital de Vitarte como evidencia de que

podemos hacer resolución de nombres mediante la VPN.

109
Figura 100. Prueba de conectividad hacia hostname del AD mediante la VPN

Figura 101. Prueba de conexión ping y RDP

110
Demostración – Parte 2: De esta manera cualquier equipo cliente conectado a la VPN

puede incluso unirse al dominio HVITARTE o ejecutar las aplicaciones directamente,

comenzar a trabajar y cumplir sus actividades asignadas por su jefatura.

Figura 102. Equipo cliente conectado por la VPN uniéndose al dominio HVITARTE

111
 Figura 103. Inicio de sesión del usuario del dominio

Figura 104. Sistemas mapeados y asignados para el usuario

112
Demostración – Parte 3: Se evidencia el ingreso a los distintos sistemas y aplicaciones

propias del Hospital de Vitarte y la carga de sistemas que son previamente amarrados para

cada usuario del dominio según unidad o área a la cual pertenezca.

Figura 105. Conexión directa al sistema de Farmacia

113
 Figura 106. Login para el sistema de Farmacia

Figura 107. Operando en el sistema de Farmacia del Hospital I

114
 Figura 108. Operando en el sistema de Farmacia del Hospital II

Figura 109. Carga de sistemas y aplicaciones del Hospital según perfil de usuario

115
Figura 110. Acceso remoto al aplicativo SIGA del MINSA

Figura 111. Acceso remoto al Sistema Médico del Hospital

116
4.1.3. TERCER RESULTADO:

Se logra monitorear y auditar las conexiones de los trabajadores remotos del Hospital de

Vitarte mediante una VPN-SSL a través del Firewall FortiGate-100E.

Para los resultados de este tercer objetivo ya tenemos integrado el FortiAnalyzer con el

FortiGate podremos personalizar y exportar reportes de acuerdo a las necesidades de cada

área de la entidad.

Demostración – Parte 1: Con ayuda del equipo FortiAnalyzer podremos hacer que todos

los logs registrados en el Firewall FortiGate pasen a esta caja de reportes la cual

granularmente se encargará de generar reportes personalizados como parte del control y

auditoria de las conexiones realizadas por los trabajadores remotos del Hospital de Vitarte.

Figura 112. Generando reporte VPN personalizado en FAZ

117
Demostración – Parte 2: Incluso podremos personalizar los campos de cada reporte

agregando ítems como:

 Usuario VPN

 IP publica de donde se realiza la conexión

 IP asignado por el túnel VPN-SSL

 Grupo VPN al cual pertenece el usuario

 Rango de fechas de conexión

 Duración de la conexión (Horas, minutos y segundos)

 Entre otros campos, etc.

Figura 113. Reporte de Auditoria VPN generado por el FAZ en formato PDF

118
Demostración – Parte 3: Con esta auditoría logramos que las jefaturas de cada unidad

midan de acuerdo a estadísticas el trabajo remoto del personal de la entidad, y que las

conexiones que establecen los usuarios cumplan los requisitos de cada política de acceso

establecida en el Firewall, ya sea por horarios o días según el área administrativa.

Figura 114. Reporte de conexión detallada por fechas y horas

Figura 115. Reporte personalizado de Auditoria VPN

119
4.2.Presupuesto

“Implementación de una VPN-SSL para mejorar la autenticación y el acceso seguro a los datos en el Hospital de Vitarte”

Tabla 8. Presupuesto General del Proyecto

120
 CONCLUSIONES

Se concluye que las VPN simbolizan una gran solución para las empresas cumpliendo principios

como la seguridad, confidencialidad e integridad de los datos y es tema importante en las

organizaciones ante el estado de emergencia sanitaria que cruzamos producto del Covid-19.

Se cumplió con el objetivo general, el cual era implementar una VPN-SSL para mejorar la

autenticación y el acceso seguro a los datos en el Hospital de Vitarte todo esto en base a la

tecnología Fortinet.

Y por último cumplir precisamente cada objetivo específico del proyecto:

1. Se logra mejorar la autenticación aplicando exitosamente el método de doble factor de

autenticación mediante una VPN-SSL para el acceso de los trabajadores remotos del Hospital

de Vitarte. Los trabajadores han sido capacitados para la instalación y configuración del

aplicativo cliente en sus computadoras (FortiClient) y el aplicativo móvil en sus celulares

(FortiToken Mobile).

2. Se consigue disponer de los sistemas, recursos y aplicaciones alojadas en los servidores del

Hospital de Vitarte mediante la VPN-SSL LDAP teniendo conexión directa con el dominio

como si en sitio se tratase, los usuarios del dominio ya tienen definidos los sistemas de carga

en su perfil de acuerdo a su unidad perteneciente. Finalmente, el teletrabajo es puesto en

marcha para cada unidad o área del Hospital de Vitarte.

3. Se obtiene monitorear y auditar las conexiones de los trabajadores remotos del Hospital de

Vitarte, la integración del FortiAnalyzer con el FortiGate nos permite personalizar y generar

reportes de acuerdo a los resultados que el Hospital desea obtener granularmente.

121
 BIBLIOGRAFÍA

Acacio, M. (23 de Octubre de 2020). Fortinet es líder global en soluciones de ciberseguridad

integradas y automatizadas. Obtenido de https://aslan.es/conociendo-a-fortinet/

Conza, A. (2009). Diseño e implementación de un prototipo de DMZ y la interconexión segura

mediante VPN utilizando el FortiGate 60 (Tesis de Pregrado). Escuela Politécnica

Nacional, Facultad de Sistemas. Ecuador.

De la Cruz, S. (2019). Implementacion de una VPN con open source para la gestión de

aplicaciones de intranet en la Universidad Nacional Pedro Ruiz Gallo (Tesis de Pregrado).

Universidad Nacional Pedro Ruiz Gallo. Facultad de Ciencias. Perú.

Erazo, P. (2016). Propuesta de metodología para la implementación de proyectos de redes (Teis

de Pregrado). Universidad Católica del Ecuador, Facultad de Ingeniería. Ecuador.

Espinoza, C. (2018). Propuesta de una red privada virtual para mejorar el servicio de

comunicacion en las tiendas MASS para la empresa Supermercados Peruanos S.A (Tesis

de Pregrado). Universidad Autonoma del Perú, Facultad de Ingeniería. Perú.

Fei, C. (21 de Junio de 2013). The Research and Implementation of the VPN Gateway Based on

SSL. Obtenido de https://ieeexplore.ieee.org/document/6643282/authors#authors

Fortinet, I. (21 de Marzo de 2021). Fortinet Latinoamerica - Administración de identidad y acceso.

Obtenido de https://www.fortinet.com/lat/products/identity-access-management

122
Fortinet, L. (21 de Marzo de 2021). Fortinet Latinoamerica. Obtenido de

https://www.fortinet.com/

García, L. (19 de Junio de 2016). Autenticación Multifactor con el uso de un sensor KINECT.

Obtenido de Dialnet: https://dialnet.unirioja.es/servlet/articulo?codigo=5415380

Gonzáles, A. (2006). Redes Privadas Virtuales (Tesis de Pregrado). Universidad Autonoma del

Estado de Hidalgo, Facultad de Ingeniería. México.

Orosco, B. (2018). Implementacion y evaluacion de la performance de la comunicacion de voz,

video y datos entre las sedes de la UNAJMA mediante una red privada virtual (Tesis de

Pregrado). Universidad Nacional José Maria Arguedas, Facultad de Ingeniería. Perú.

Peña, D. (2016). Diseño e implementación de una red privada virtual (VPN-SSL) utilizando el

metodo de autenticación LDAP en una empresa privada (Tesis de Pregrado). Universidad

Central de Venezuela, Facultad de Ingeniería. Venezuela.

Perdomo, L. (Marzo de 2018). Diseño de una red privada virtual segura para facilitar la

comunicación, trabajo y flujo de información en la empresa QOS LTDA (Tesis de

Pregrado). Universidad Cooperativa de Colombia, Facultad de Ingeniería. Colombia.

Quezada, H. (2016). Diseño de una VPN para el acceso a las bases de datos científicas de la

Universidad Nacional de Loja. Loja.

123
ANEXOS

124
 ANEXO 1

FortiGate 100E Data Sheet

125
126
127
128
129
130
131
 ANEXO 2

FortiToken OTP Data Sheet

132
133
134
135
136
 ANEXO 3

FortiAnalyzer 200D Data Sheet

137
138
139
140
 ANEXO 4

DECRETO SUPREMO N° 017-2015-TR

Ley que regula el teletrabajo

141
142
143
144
145
146
147
148
149
150
151
152
 ANEXO 5

ACTA DE CIERRE DEL PROYECTO

153
154