Redes Privadas

Virtuales
RPV o VPN
Que son las VPNs ?
• Autenticación y Autorización: ¿Quién está del otro lado?
Usuario/equipo y qué nivel de acceso debe tener.

• Integridad : La garantía de que los datos enviados no han sido

alterados.

• Confidencialidad : Dado que los datos viajan a través de un medio

hostil como Internet, los mismos son susceptibles de
interceptación: por eso es fundamental el cifrado de los datos. De
este modo, la información no debe poder ser interpretada por
nadie más que los destinatarios de la misma.
Definición de VPN

• Un proceso de comunicación
encapsulado y/o cifrado que transfiere
datos desde un punto hacia otro de
manera segura; la seguridad se logra
gracias a una tecnología robusta de
cifrado, y los datos que se transfieren
pasan a través de una red abierta,
insegura y enrutada.
Definición de VPN

• VPN o "Virtual Private Network" es una

tecnología de red que permite una
extensión de la red local sobre una red
pública o no controlada, como por
ejemplo Internet.
VPN

• Es una red privada que se extiende, mediante

un proceso de encapsulación y en su caso de
encriptación, de los paquetes de datos a
distintos puntos remotos mediante el uso de
infraestructuras públicas de transporte.
Los paquetes de datos de la red privada viajan
por medio de un "túnel" definido en la red
pública
¿Qué es un VPN?
Una Virtual Private Network es la emulación de una red
privada sobre una infraestructura compartida

Business
Partner
Red Publica
Corporate Headquarters

Internet
Oficina
Remota

Acceso Oficina
Movil Telecommuter Regional
& Home Office
¿Cómo funciona?

Casa Matriz
Data

Encapsulada
Internet

Encriptada y
Encapsulada

Acceso
Mobil
What is a Virtual Private Network?
Corporate Headquarters

Customers, Telecommuters
Suppliers &
Internet & Remote Users
Consultants (Remote Access)
(Extranets)

Mobile Users Branch Office

& Field Sales (Extended Intranets)
(Remote Access)
Drivers de IP VPN

Fuerza de trabajo móvil y Outsourcing

dispersa • Costo de personal que se
• Telecomuters (28M para 2004 en requiere para administrar
USA*) remoto, extranet y intranet
• Trabajadores Remotos y • Necesidad de cambiar y
Mobiles (55.4M para 2004 en USA*) adaptar rapidamente debido a
los requerimientos de negocio
* IDC 2000
Demanda de
Servicios IP
B2B e-Commerce VPN Alto costo de servicios
• Mercado de $1.6T para 2003* existentes
• Extranets ofrecen maneras • Crecimiento de Ancho de
más eficientes de trabajar con Banda y expansión de las
socios y suplidores redes.
*IDC 2000 • Empresas pequeñas y
medianas no pueden pagar los
servicios existentes
Red Empresarial de Datos Tradicional

Intranet Empresarial Accesso Remoto PSTN Dial

Modem Banks “1-800-4-Access”

T1/E1

T1/E1 WAN Privado

Lease Line/FR
Directorios Router Sucursal

Firewall Router EDI

Internet
Servidores de
Aplicaciones
Servidores de Web
• Red costosa de RAS Dial-in (1-800, ISDN, LD)
– Tecnología de Acceso Restringida >56K – ¿Qué ocurre con el ancho de banda?

• Lineas Dedicadas Privadas y Frame Relay son costosas

• Muy difícil de administrar – Redes complejas y dispersas
• Falta de flexibilidad de acceso y de accesibilidad de la red
 VPNs Ofrecen una Excelente Alternativa
Intranet Empresarial Fabricante

CES 600 Usuario Dial-in

Internet Socio
Directorios
CES 4500
•IPRouting Telecomuter
•VPN/Seguridad DSL/Cable
•Firewalling

Servidores de
Aplicaciones
CES 2600
•Reducción del TCO Sucursal
•Administración simplificada- Infraestructura Ubicua
•Altamente Seguro
•Estratégico (basado en IP)
 Aplicaciones de IP VPN
Socio VPN de Extranet
Red de • Acceso Privado o Publico para
Proveedores
socios de negocios
Oficina Publica • Acceso dedicado (dentro o fuera
Matriz
de la red)
Internet
• Nivel apropiado de autorización
Oficina de acceso (firewall)
Remota
• Soporta direcciones
privadas(NAT)

Acceso Sucursal
Móbil Telecomuter
y Oficina en Casa
VPN de Sitio a Sitio
• Conectividad de bajo costo con
opción de seguridad IPSec para
VPN de Acceso Remoto sitios
• Servicios de Cliente a Sitio • Conexión ruteada para cualquier
• Acceso seguro y escalable de cliente tipo de conectividad
• Aprovecha nuevas formas de acceso • Ahorros sobre lineas dedicadas y
rápidas y de bajo costo (DSL, Cable) frame relay
• Mayor ahorros que numeros toll-free • Acceso opcional de Internet en una
conexión única
Hay dos tipos de conexiones VPN
• 1. Un usuario remoto que establece un tunel con la
oficina principal. (client-to-site) Este es el caso de un
vendedor o socio de negocios que requiere entrar a
nuestra red.
• 2. Una sede remota (oficina) con varios usuarios que se
une a la red central (site-to-site) Este es el caso de un
almacen o sucursal remota que puede reemplazar un
enalce privado costoso por una solución más
económica.
Seguridad
• La seguridad de un enlace por VPN está garantizada cuando se tienen
en cuenta todos estos elementos:

Autenticación de Usuarios: La solución controla quien y cuando se

accede a los recursos
Manejo de direcciónes: La solución asigna direcciones privadas
(propias de la VPN) a los clientes y las mantiene en secreto

Encripción de Datos: Todos los datos son encriptados con el fin de

poder ser transportados con seguridad sobre el enlace público.
• Manejo de Claves: Se generan y refrescan llaves de encripción entre
la sede principal r y los clientes o sucursales.
 Traditional Remote Access Infrastructure
Modem Bank or
Remote Access Server
Telecommuters Dial in service
or Mobile Users

Branch Office Leased Lines

Santa Clara Home Office
Ottawa

Branch Office
Billerica
 Como trabaja una VPN?
Remote
User Corporate Security Corporate
DataBase
User Office

Router
Dial, ISDN, xDSL,
Cable Modem,
Wireless, etc. VPN Device
RAS
Access Service
Method Provider

Security
DataBase Router

Service
Provider
Internet
Que es acceso remoto?
• Conexiones remotas a las oficinas principales
• Localizaciones fijas o móviles

PSTN
ISDN
DSL Enterprise
CM
Wireless Intranet
Por que usar VPNs para accesos remotos?

Cinco razones:
1. Ahorro en llamadas telefónicas de larga distancia
2. Menos equipos de acceso remoto
3. Bajo mantenimiento de equipos de acceso remoto.
4. El usuario puede elegir muchos tipos de acceso, DSL,
cable modems, ISDN, o regular modems
5. Facilidad de adicionar en minutos nuevos usuarios a
las VPNs
 Que es una red Intranet extendida?
• Extending the enterprise data network beyond
corporate headquarters

London
(Branch Office)
New York
(Corporate Office)
San Francisco
(Branch Office)
Dallas
(Branch Office)
Mexico City
(Branch Office)
Por que usar una VPN para una Intranet
extendida?
• Business Factors
– Incrementa la productividad de las pequeñas oficinas
– Incrementa la eficiencia home office
• Cost Factors
– Escalabilidad
– Sensibilidad
– Flexibilidad
Extensión de Intranet con VPNs
New York
(Corporate Office)

Public Network
San Francisco
(Branch Office) ( Internet )

London
(Branch Office)

Dallas
(Branch Office)
Mexico City
(Branch Office)
Que es una Extranet?
• Extension of the enterprise intranet to allow access to
those outside the organization
• Current applications extend to business partners,
contractors, and consultants

Public Network Intranet

( Internet )
VPN
Device
Por que usar una VPN para una Extranet?

• Improved business processes and relationships

– More efficient supplier relationships: Just In Time inventory
management
• Enhanced success in cooperative ventures
– Giving business partners access to specified corporate
information
• Better use of contractor or consultant time
 Terminología Básica de VPN
• L2TP (Protocolos de Tunneling de L2 ) … normalmente usado en VPNs “basados en
red”
– Ofrece conexión básica en L2
– Ideal para dialup … no siempre ofrece seguridad
– Transparente para usuarios finales – integrado a Windows desktop

• IPSec (Seguridad en IP) … normalmente usado en VPNs “basados en CPE”

– Ofrece tunneling/encripción/autenticación para IP
– Ofrece la mejor seguridad para redes que no sean confiables (Sitio y RAS)
– Aprovecha el alcance del Internet

• MPLS (Multi-Protocol Label Switching)

– Permite que IP sea más determinista como ATM
– Permite ingeniería de tráfico y QOS
– Puede ser usado en conjunto con IPSec para acceso
Encripción
• Encripción es una técnica que codifica la
información de un modo que hace difícil
o imposible su lectura, y la decodifica de
modo que pueda ser leída nuevamente. A
la información codificada se la llama
cipher-text y a la información sin
codificar, clear-text
Encripción
• Actualmente, los mejores métodos de
encripción son públicos de modo tal que
todo el mundo sepa cómo funcionan. De
hecho, se sabe exactamente cómo es
encriptada la información. Estos métodos
están disponibles para cualquiera y están
muy probados.
Claves
• Ahora, dado que el método no es secreto, se
evita que alguien acceda a la información
mediante el uso de keys (claves). Una clave es
un código secreto utilizado por el algoritmo de
encripción para crear una versión única de
cipher-text. Esta clave podría compararse con
la combinación utilizada en una caja fuerte
• El nivel de seguridad generalmente depende en
buena parte del largo de la clave (key lenght).
Key Lenght
DES, Triple-Pass DES y 3DES

• DES (Data Encryption Standard) es un algoritmo

comúnmente usado y ampliamente probado. El
sistema DES usa claves de 56 bits para encriptar
datos en bloques de 64 bits. La clave de 56 bits
brinda 256 combinaciones posibles. Esto implica
que una persona valiéndose de una PC para
adivinar la clave, tendría que recorrer durante
alrededor de 20 años las distintas
combinaciones
Autenticación

• La tecnología de encripción garantiza la

privacidad de la información al atravesar
Internet.
• La tecnología de autenticación garantiza:
– La identidad de los participantes de la VPN (los
gateways y clientes son quienes dicen ser)
• La integridad
– que la información recibida (no ha sido alterada
en el camino)
Encapsulamiento

• Encripción, claves, certificados y firmas

digitales son las tecnologías de seguridad que
garantizan la privacidad en una VPN. Ahora,
generalmente, el envío de información en una
VPN se realiza entre direcciones privadas. Es
decir, entre direcciones no routeables vía
Internet.
IPSec
• IPSec es el estándar de facto para garantizar la
seguridad y autenticidad de las
comunicaciones privadas a través de redes
públicas basadas en IP, y se basa en
estándares desarrollados por la IETF
• IPSec provee encripción y autenticación al nivel
de IP en la pila de protocolos de red, por lo que
protege todo tipo de tráfico transportado sobre
IP y puede ser utilizado en routers, firewalls,
servidores de aplicaciones e incluso desktops
y laptops
IPSec

• El protocolo estandar para el soporte de

túneles, encriptación y autenticación en las
VPN es IPSec (IP Security), que se diseñó para
proteger el tráfico de red y que permite
gestionar el control de acceso, la integridad de
las conexiones, la autenticación del origen de
los datos y la confidencialidad del flujo de
datos
IPSec
• Es un conjunto de estándares para integrar en
IP funciones de seguridad basadas en
criptografía. Proporciona confidencialidad,
integridad y autenticidad de datagramas IP,
combinando tecnología de clave publica (RSA),
algoritmos de cifrado (DES, 3DES, IDEA,
Blowfish), algoritmos de hash (MD5, SHA-1) y
certificados digitales X509v3
Dentro de IPSec se distinguen los
siguientes componentes:
• Dos protocolos de seguridad: IP Authentication
Header (AH) e IP Encapsulating Security Payload
(ESP) que proporcionan mecanismos de seguridad
para proteger tráfico IP.
• Un protocolo de gestión de claves: Internet
Exchange (IKE) que permite a dos nodos negociar
las claves y todos los parámetros necesarios
establecer una conexión AH o ESP.
Tecnologías aplicadas en IPsec
El Protocolo AH (Authentication Header)

6 TCP
17 UDP
Funcionamiento del protocolo AH
Estructura de un datagrama ESP
(Encapsulating Security Payload)
Funcionamiento del protocolo ESP
Los modos transporte y túnel
• 1. El modo transporte. En este modo el contenido transportado dentro
del datagrama AH o ESP son datos de la capa de transporte (por
ejemplo, datos TCP o UDP). Por tanto, la cabecera IPSec se inserta
inmediatamente a continuación de la cabecera IP y antes de los datos
de los niveles superiores que se desean proteger. El modo transporte
tiene la ventaja de que asegura la comunicación extremo a extremo,
pero requiere que ambos extremos entiendan el protocolo IPSec.
• 2. El modo túnel. En éste el contenido del datagrama AH o ESP es un
datagrama IP completo, incluida la cabecera IP original. Así, se toma un
datagrama IP al cual se añade inicialmente una cabecera AH o ESP,
posteriormente se añade una nueva cabecera IP que es la que se
utiliza para encaminar los paquetes a través de la red. El modo túnel se
usanormalmente cuando el destino final de los datos no coincide con el
dispositivo que realiza las funciones IPSec.
Modos de funcionamiento IPsec
Funcionamiento del protocolo IKE (Internet
Key Exchange)
Paso 1
Determinación de tráfico a proteger

Host A Host B
Router A  Router B 

Encrypt
10.0.1.3 10.0.2.3

access-list 101 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

• Definido por una lista de control de acceso

• Permit: el trafico debe ser encriptado
• Deny: trafico enviado convecionalmente
 Paso 2
IKE Phase 1

Host A Host B
Router A  Router B 

10.0.1.3 IKE Phase 1: 10.0.2.3

Intercambio en modo principal
“main mode”
Negociación de politica Negociación de politica

Intercambio de Intercambio de
 Diffie­Hellman  Diffie­Hellman

Verificación de  Verificación de 
identidad identidad
Integración de un PKI en IPSec
Conclusiones

• IPSec es un estándar de seguridad extraordinariamente

potente y flexible.
• Su importancia reside en que aborda una carencia
tradicional en el protocolo IP: la seguridad.
• Gracias a IPSec ya es posible el uso de redes IP para
aplicaciones críticas, como las transacciones comerciales
entre empresas.
• Al mismo tiempo, es la solución ideal para aquellos
escenarios en que se requiera seguridad,
independientemente de la aplicación, de modo que es una
pieza esencial en la seguridad de las redes IP.
Protocolo de túnel de nivel dos (L2TP)
• L2TP es un protocolo estándar de túnel para Internet que tiene
casi la misma funcionalidad que el
Protocolo de túnel punto a punto (PPTP)
• Basándose en las especificaciones de Reenvío de capa dos (L2F) y
del Protocolo de túnel punto a punto (PPTP), puede utilizar L2TP
para configurar túneles a través de redes intermedias. Al igual que
PPTP, L2TP encapsula las tramas del
Protocolo punto a punto (PPP), que a su vez encapsulan los
protocolos IP, IPX o NetBEUI, con lo que permiten que los
usuarios ejecuten de forma remota aplicaciones que dependen de
protocolos de red específicos