CONFIGURACIÓN DE UNA VPN EN

WINDOWS 2003 SERVER

Autor: Hidalgo Lache, Carlos

SINFOCORP
www.sinfocorp.com
SINFOCORP

FUNDAMENTO TEORICO

- Red Privada Virtual

Se refiere a una red en la cual algunas partes se conectan usando Internet

público, pero los datos enviados por Internet se cifran de manera que toda
la red es "virtualmente" privada. Un ejemplo típico será la red de una
compañía donde hay dos oficinas en ciudades diferentes. Usando Internet,
las dos oficinas fusionan sus redes en una sóla, pero se une el tráfico de
encripción que usa Internet. [URL001]

Las Redes Privadas Virtuales, VPNs, son redes que funcionan sobre una
infraestructura de red pública, con la misma seguridad, administración y
políticas de calidad de servicio que se aplican para las redes privadas. Los
beneficios de utilizar VPNs incluyen ahorros en costos y ampliación de la
conectividad para teletrabajadores, usuarios móviles y oficinas remotas, así
como para nuevos participantes, como clientes, proveedores y socios.
[URL002]

Una VPN es la extensión de una red privada que abarque enlaces a través de
redes compartidas o públicas tales como Internet. Una VPN le permite enviar
datos entre dos computadoras a través de una internetwork compartida o
pública de tal manera que emule las características y propiedades de un
enlace privado punto a punto. En esencia, hace de la computadora remota
“virtualmente” parte de la red privada haciendo un túnel encriptado a través
del Internet público. El acto de configurar y de crear una VPN se conoce
como “virtual private networking”. [URL003]

Para emular un enlace punto a punto, los datos se encapsulan, con una
cabecera que proporcione la información de encaminamiento, permitiendo
que los datos atraviesen el tránsito de la red pública o compartida, para
poder alcanzar su punto final. Para emular un enlace privado, los datos que
son enviados se encriptan por cuestión de confidencialidad. Los paquetes
que se interceptan en la red pública o compartida son indescifrables sin la
llave de encriptación. La porción de la conexión en la cual se encapsulan los
datos confidenciales se conoce como “túnel”. La porción de la conexión en la
cual se encriptan los datos confidenciales se conoce como la conexión VPN.
La Figura siguiente muestra la conexión VPN.

Autor: Carlos Hidalgo Lache 2

SINFOCORP

Las conexiones VPN permiten a usuarios que trabajan en casa o en otro

lugar distinto a la oficina conectarse de manera segura con un servidor
remoto de la organización usando la infraestructura de encaminamiento
proporcionada por una internetwork pública (tal como el Internet). Desde la
perspectiva del usuario, la conexión VPN es una conexión de punto a punto
entre la computadora del usuario y el servidor de una organización. La
naturaleza de la internetwork intermediaria es irrelevante al usuario porque
aparece como si los datos se están enviando a través de un enlace privado
dedicado.

La tecnología VPN también permite que una corporación se conecte con las
sucursales o con otras compañías sobre una internetwork pública (tal como
el Internet) mientras que se mantiene una comunicación segura. La
conexión de VPN a través del Internet funciona lógicamente como un enlace
de red de área amplia (WAN) entre los sitios interconectados.

En ambos de estos casos, la conexión segura a través de la internetwork

aparece al usuario como comunicación privada de la red, a pesar del hecho
de que esta comunicación ocurre sobre una internetwork pública, por lo
tanto el nombre de red privada virtual. La tecnología de VPN se diseña para
direccionar tópicos que rodean la tendencia del negocio actual hacia la tele-
conmutación creciente y las operaciones globales extensamente distribuidas,
donde los trabajadores deben poder conectarse con los recursos centrales y
deben poder comunicarse de uno a otro.

Autor: Carlos Hidalgo Lache 3

SINFOCORP

- Tipos de VPNs
• Acceso Remoto a través de Internet
VPNs proporciona el acceso remoto a los recursos de una organización
sobre el Internet público, mientras que mantiene la privacidad de la
información. La Figura siguiente muestra una conexión de VPN usada
para conectar a un cliente de acceso remoto con la Intranet de una
organización. Esto se conoce como conexión de acceso remoto VPN.

Usando una conexión VPN para conectar a un cliente de acceso remoto con
una intranet de una organización.

En vez de hacer una llamada de larga distancia al servidor de una

organización o a un servidor de acceso de red externo, los usuarios discan
un ISP local. Usando la conexión al ISP local, el cliente de VPN crea una
conexión de VPN entre la computadora del acceso remoto y el servidor de
VPN de la organización a través del Internet.

• Punto a Punto.
Los dos métodos tradicionales de conectar oficinas remotas con la red
corporativa de la organización eran tener conexiones dial-up que
trabajen sobre la red de teléfono pública conmutada(PSTN) o al uso
dedicado de enlaces WAN alquilados usando Frame Relay o Circuitos
Síncronos bajo el protocolo de Punto a Punto (PPP). Estos métodos
toman una gran cantidad de tiempo en la administración y además son
costosos mantener. Un típico circuito T1 que pueda manejar Frame
Relay, PPP, o líneas múltiples de PSTN pueden llegar a costar millares de
dólares por mes, y recurrir en un costo significativo para la compañía.

Autor: Carlos Hidalgo Lache 4

SINFOCORP

Hay dos métodos (ilustrados en la Figura 6-3) para usar VPNs para
conectar redes de área local en los sitios remotos:

Always-On VPN Networking. Usar líneas dedicadas para conectar

una sucursal con la red de área local (LAN) de una organización. En
vez de usar un costoso circuito dedicado de larga distancia entre una
sucursal y la corporación, ambos la sucursal y los routers
corporativos pueden utilizar un circuito dedicado local y una ISP local
para conectarse a Internet. El software de VPN utiliza las conexiones
locales de la ISP y el Internet para crear un VPN entre la el router de
la sucursal y el router corporativo.

Demand-Dial VPN Networking. Usar una línea dial-up para

conectar una sucursal a Internet. En vez de tener un router en una
sucursal que haga una llamada de larga distancia a un NAS
corporativo o externo, el router en la sucursal puede llamar a un ISP
local. El router de la sucursal utiliza la conexión al ISP local para
crear una conexión de VPN entre el router de la sucursal y el router
corporativo a través del Internet.

Usando una conexión VPN para conectar dos sitios remotos.

Autor: Carlos Hidalgo Lache 5

SINFOCORP

• Connecting Computers over an Intranet—Internal Site-to-Site

VPN
Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto"
pero, en vez de utilizar Internet como medio de conexión, emplea la
misma red de área local (LAN) de la empresa. Sirve para aislar zonas y
servicios de la red interna. Esta capacidad lo hace muy conveniente para
mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo muy clásico es un servidor con información sensible, como
las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee
autenticación adicional más el agregado del cifrado, haciendo posible que
sólo el personal de RRHH habilitado pueda acceder a la información.

Usando una conexión VPN para conectarse a una red segura u oculta.

- Requerimientos de VPN
Una solución de VPN debe proporcionar todo lo siguiente:

• Autenticación Del Usuario. La solución debe verificar la identidad del

cliente VPN y conceder el acceso a la VPN sólo a los usuarios autorizados.
Debe también proporcionar registros de auditoria y de cuentas de usuario
que muestren quién se conectó y por cuánto tiempo.

• Administración de Direcciones. La solución debe asignar a un cliente de

VPN una dirección en la Intranet y asegurarse de que las direcciones usadas
en el Intranet se mantengan privadas. También, cierta información para
permitir que el cliente tenga acceso a recursos en la red protegida necesita
ser proporcionada. Por ejemplo, la información de encaminamiento, la
resolución del nombre del recurso, y la seguridad de la cuarentena pueden
ser proporcionados tan bien como los filtros de seguridad para asegurar la
protección de datos internos contra el uso desautorizado.

Autor: Carlos Hidalgo Lache 6

SINFOCORP

• Encriptación de los Datos. Los datos que son trasladados sobre la red
pública deben ser absolutamente ilegibles a cualquier persona excepto al
cliente y al servidor de VPN. Para hacer que esto suceda, la tecnología de
encriptación debe ser utilizada entre el cliente y el servidor de VPN.

• Administración de las Llaves. Para utilizar la encriptación, la solución

VPN necesita proporcionar una cierta clase de mecanismo de “llave de
encriptación” para crear el túnel de la sesión. La solución debe generar y
restaurar las llaves de encriptación para los datos encriptados en una base
periódica mutuamente convenida de manera tal que la seguridad y la
privacidad se mantengan.

Una solución de Internet VPN basada en PPTP o L2TP/IPSec resuelve todos

estos requisitos básicos y se aprovecha de la amplia disponibilidad del
Internet. Otras soluciones, incluyendo el modo de túnel de IPSec (IPSec TM),
resuelven solamente algunos de estos requisitos, sin embargo siguen siendo
útiles para algunas situaciones específicas.

- Tunneling
Tunneling es un método que usa una infraestructura de red intermedia para
transferir los datos de una red hacia otra red mientras que se mantiene la
privacidad y el control sobre los datos originales. Los datos que se
transferirán (payload o carga útil) pueden ser las tramas (o paquetes) de
otro protocolo. En vez de enviar una trama tal y como fue originada, el
protocolo de tunneling encapsula la trama en una cabecera adicional. La
cabecera adicional proporciona la información de encaminamiento de modo
que la carga útil encapsulada pueda atravesar la red intermedia.

Los paquetes encapsulados son luego encaminados entre los puntos finales
del túnel a través de la internetwork. La trayectoria lógica a través de la cual
los paquetes encapsulados viajan por la internetwork se conoce como túnel.
Una vez que las tramas encapsuladas alcancen su destino en la
internetwork, la trama es desencapsulada y enviada a su destino final.
Tunneling incluye todo este proceso (encapsulación, transmisión, y
desencapsulación de paquetes). La siguiente imagen nos muestra el proceso
de tunneling.

Autor: Carlos Hidalgo Lache 7

SINFOCORP

Tunneling
Tipos Del Túnel
Los túneles pueden ser creados de varias maneras. Los dos tipos de túneles
son:

o Túneles Voluntarios: Una computadora del usuario o del cliente

puede publicar una petición VPN de configurar y de crear un túnel
voluntario. En este caso, la computadora del usuario es un punto
final del túnel y actúa como el túnel del cliente. Éste es el método
estándar para el acceso remoto VPN.
o Túneles obligatorios: Un servidor de acceso dial--up VPN, configura
y crea un túnel obligatorio. Con un túnel obligatorio, la computadora
del usuario no es un punto final del túnel. Otro dispositivo, el servidor
de acceso dial-up, entre la computadora del usuario y el servidor del
túnel es el punto final del túnel y actúa como el cliente del túnel.

- Ventajas de una VPN (Red Privada Virtual)

- Una de sus ventajas más importantes es su integridad, confidencialidad y
datos.
- Las VPN´s reducen costos y son sencillas de usar.
- Su instalación es sencilla en cualquier PC.
- Su control de acceso esta basado en políticas de la organización.
- Los algoritmos de compresión que utiliza una VPN optimizan el tráfico del
usuario.
- Las VPN´s evitan el alto costo de las actualizaciones y mantenimiento de
PC's remotas.
- Las VPN´s ahorran en costos de comunicaciones y en costes
operacionales.
- Los trabajadores, mediante el uso de las VPN´s, pueden acceder a los
servicios de la compañía sin necesidad de llamadas.

Autor: Carlos Hidalgo Lache 8

SINFOCORP

- Una organización puede ofrecer servicios a sus socios mediante VPN´s, ya

que éstas permiten acceso controlado y brindan un canal seguro para
compartir la información de las organizaciones.

Autor: Carlos Hidalgo Lache 9

SINFOCORP

Configuración e Instalación

Configuración en el Servidor
Las pantallas que a continuación se presentaran son los pasos que se tiene que
seguir para realizar la implementación y configuración de una VPN tipo Host to Net.
Inicio / Herramientas Administrativas / Administre su servidor
Eliges el rol Acceso Remoto / VPN Server según el grafico.

Autor: Carlos Hidalgo Lache 10

SINFOCORP

Para nuestro caso elegir la tercera opción y das clic en siguiente:

Aquí aligeremos que tarjeta estará conectada hacia afuera de tu red para que
reciba las peticiones de VPN.

Autor: Carlos Hidalgo Lache 11

SINFOCORP

Luego sale para que identifiques la tarjeta interna.

Click en siguiente y te preguntara si usas DHCP, esta opción te dará tus Ips de
forma automática y lo mas importante esta opción es aceptable elegirla cuando
queremos conectar numerosas Ips , para varios usuarios .

Autor: Carlos Hidalgo Lache 12

SINFOCORP

En nuestro caso escogemos la segunda opción, que indica que nosotros

definiremos el rango de Ips las cuales asignaremos a nuestros clientes Vpn
cuando se conecten. Es importante resaltar que este rango que se definirá no debe
estar siendo usado en la red y tampoco en el futuro pues solo se asignaran a las
conexiones de Vpn.

Especificar el rango según tus ips y luego continúas:

Autor: Carlos Hidalgo Lache 13

SINFOCORP

Luego especificaras la interfaz que compartirá Internet

Autor: Carlos Hidalgo Lache 14

SINFOCORP

Ahora elijes el método de autenticación, para hacerlo más sencillo elijes el que dice
que NO, use Routing, que vendría a ser la primera opción

Luego darás click en Finalizar

Autor: Carlos Hidalgo Lache 15

SINFOCORP

Ahora finalizas esas pantallas y vas a Inicio / Programas / Herramientas

Administrativas y elijes usuarios y equipos de Active Directory para agregar los
usuarios remotos:
Das botón derecho sobre el dominio y elijes nuevo / unidad organizativa y de
nombre le colocas usuarios Vpn

Ahora das click botón derecho sobre usuarios Vpn y elijes nuevo y elijes usuario.
Le das nombre apellido, inicio de sesión que son los datos más importantes le
asignas clave, luego entras a las propiedades del usuario y verificas su
configuración
Verifica que permita conexiones remotas.

Autor: Carlos Hidalgo Lache 16

SINFOCORP

Finalmente probaremos si realmente existe acceso al cliente desde el vpn servidor

haciendo un ping a su direccion IP.

Autor: Carlos Hidalgo Lache 17