Tesina

REDES VPNs DE ACCESO REMOTO
Tesi na pr esent ada como t r abaj o f i nal de l os est udi os en l a car r er a de

Li cenci at ur a de I nf or mt i ca de l a Facul t ad de I ngeni er a de l a Uni ver si dad
Naci onal de l a Pat agoni a San J uan Bosco

Aut or es:
APU Mar i o Rubn Mansi l l a
APU Eduar do Rodol f o Col ombr es

Tut or de Tesi na: I ng. Al ej andr o Rosal es

Trelew Abril 2009
VPNs de Acceso Remot o
1

Propuesta de Tesina
Redes VPN de acceso Remot o

INTRODUCCIN
Las r edes pr i vadas vi r t ual es o VPN ( Virtual Private Network) por sus
si gl as en i ngl s, han sur gi do como al t er nat i va de baj o cost o a ser vi ci os
cont r at ados, dedi cados de r ed de r ea ampl i a par a l as comuni caci ones de
dat os, t ant o par a conect ar r edes di st ant es como usuar i os r emot os con l a r ed
de l a or gani zaci n, ut i l i zando una i nf r aest r uct ur a de comuni caci n de dat os
pbl i ca y compar t i da.
Las t ecnol og as de r edes pr i vadas vi r t ual es han evol uci onado par a
r epr esent ar ya no sol o una opci n econmi ca par a l as comuni caci ones si no
t ambi n como una sol uci n compl ement ar i a par a l ogr ar ef i ci enci a, vel oci dad,
segur i dad, conf i abi l i dad en ot r os ser vi ci os de r ed de r ea ampl i a. Adems se
l a consi der a una her r ami ent a est r at gi ca que per mi t e i nt er conect ar en f or ma
segur a r edes y equi pos ext er nos cuya admi ni st r aci n y cont r ol est n f uer a del
al cance de l a or gani zaci n.
Debi do a que se ut i l i za una i nf r aest r uct ur a compar t i da y pbl i ca
par a l a i nt er conexi n, l a segur i dad de l os dat os que se t r ansmi t en es
f undament al . En el cont ext o de una VPN est o se r esuel ve medi ant e un pr ot ocol o
de t nel , es deci r un mecani smo que es capaz de encapsul ar paquet es de
pr ot ocol os ar bi t r ar i os, medi ant e el agr egado de encabezados, ut i l i zando
adems mecani smos par a pr eser var l a conf i denci al i dad e i nt egr i dad de l os
dat os envi ados.
En l a act ual i dad exi st e una gr an di ver si dad de t ecnol og as que
i mpl ement an VPN, l o cual per mi t e cl asi f i car l as segn di st i nt os cr i t er i os,
por ej empl o en f unci n de qui en pr ovee el ser vi ci o ( el usuar i o o un I SP) ,
segn en que capa del model o de r ef er enci a I SO/ OSI se est abl ece l a VPN ( VPN
de capa 2, capa 3 o de t r anspor t e/ apl i caci n) o de acuer do a l a t opol og a de
i nt er conexi n ut i l i zada ( VPN punt o a punt o o punt o mul t i punt o) .
De acuer do a est e l t i mo cr i t er i o, se pueden apr eci ar en t r mi nos
gener al es, dos escenar i os donde se apl i can l as VPNs, al i nt er conect ar dos
si t i os, es deci r dos r edes y al comuni car dos hosts ent r e s , a est o se
conoce como VPN si t i o a si t i o y VPN de acceso r emot o r espect i vament e.
Las r edes pr i vadas vi r t ual es de acceso r emot o son el mecani smo i deal
par a ext ender o acer car l os ser vi ci os de r ed l ocal , en f or ma compl et a o
par ci al , a l os usuar i os i t i ner ant es y t el e t r abaj ador es. Est a ci r cunst anci a
di st a de ser i deal si no se t i ene en cuent a, nuevament e, el aspect o segur i dad
r espect o a val i dar a qui n se conect a y de acuer do a est o, que per mi sos y
aut or i zaci ones posee. Est as pr ecauci ones deben r ef l ej ar l as pol t i cas de
segur i dad de l a i nf or maci n def i ni das pr evi ament e por l a or gani zaci n.

2
OBJETIVOS GENERALES
I nvest i gar l as car act er st i cas, component es, mecani smos de una VPN de
acceso r emot o y como sol uci onan l a necesi dad de un i ngr eso segur o a l os
r ecur sos i nf or mt i cos de l a or gani zaci n desde cual qui er si t i o.

Apl i car l os concept os de VPN de acceso r emot o a t r avs de una sol uci n
que i mpl ement e un cl i ent e VPN por t t i l que evi t e l a i nst al aci n de
pr ogr amas par a est a t ar ea.

OBJETIVOS PARTICULARES
Det er mi nar l as car act er st i cas necesar i as par a que una sol uci n sea
consi der ada una VPN.
Det er mi nar l as vent aj as y desvent aj as de l a ut i l i zaci n de I PSec y SSL
en l a i mpl ement aci n de VPNs de acceso r emot o.
I nvest i gar di f er ent es enf oques par a l a cr eaci n de una di st r i buci n
LI NUX espec f i ca par a el desar r ol l o de l a pr ct i ca.
Eval uar al t er nat i vas de l enguaj es de pr ogr amaci n par a el desar r ol l o de
apl i caci ones a ut i l i zar en l a pr ct i ca.
Eval uar al t er nat i vas de software de vi r t ual i zaci n que sean por t abl es
par a el desar r ol l o de l a pr ct i ca.

FUNDAMENTACIN
En l a act ual i dad exi st e un i ncr ement o de l as conexi ones de banda
ancha t ant o en punt os de acceso comer ci al es como en l os hogar es. Est e
aument o se obser va t ambi n en l a capaci dad de ancho de banda of r eci do. Est a
si t uaci n benef i ci a l a puest a en pr ct i ca de VPN de acceso r emot o. Una
act i vi dad muy popul ar es el t el e t r abaj o, que per mi t e desde ot r a ubi caci n
f si ca cont ar con l os r ecur sos de l a i nf or maci n que se poseen en l a of i ci na.
Las or gani zaci ones o empr esas necesi t an de est as her r ami ent as par a poder
adapt ar se al di nami smo de l os negoci os de hoy en d a.
Est o gener a una pr obl emt i ca que combi na aspect os de segur i dad y
f aci l i dad de uso. Se puede consi der ar est os dos aspect os ant agni cos.
Mi ent r as ms segur i dad se qui er a apl i car menos di nmi co y t r anspar ent e se
t or na el pr oceso o t ar ea r equer i da ( ut i l i zaci n de cer t i f i cados, cl aves de
acceso, mecani smos de di st r i buci n de cl aves) . Tampoco se puede pr i or i zar l a
f aci l i dad de uso sobr e l a segur i dad, por que se est ar a poni endo en r i esgo el
r ecur so ms val i oso de una or gani zaci n que es l a i nf or maci n, l os si st emas
que l a gener an y l os dat os que est os pr ocesan. En est e campo, al go que no es
negoci abl e es l a segur i dad.
Se t r at a, ent onces, de buscar una sol uci n que bal ancee segur i dad
con f aci l i dad de uso. Es est e i nt ent o de equi l i br i o y l a i mpor t anci a de l a
f l exi bi l i dad del acceso r emot o par a l os usuar i os de una r ed, que mot i van l a
r eal i zaci n de est e t r abaj o.
Par a est o se desar r ol l a un cl i ent e sobr e pl at af or ma LI NUX que se
conect a con un ser vi dor VPN. El cl i ent e se ej ecut a en una mqui na vi r t ual l a
cual r esi de en un di sposi t i vo USB ( pendrive) . La apl i caci n que vi r t ual i za el
si st ema LI NUX se ej ecut a en l a pl at af or ma ms popul ar en l a act ual i dad.
3
ORGANIZACIN DEL TRABAJO
El si gui ent e t r abaj o se compone de cuat r o cap t ul os donde se
desar r ol l ar n l os di ver sos t emas r el aci onados con l as r edes pr i vadas
vi r t ual es ( VPNs) en gener al y aquel l os en par t i cul ar r ef er i dos a l as VPNs de
acceso r emot o.
Las r edes pr i vadas vi r t ual es r esul t a ser un t ema ampl i o que
i nvol ucr a di ver sos concept os. Un desar r ol l o par t i cul ar de l a t eor a si n
r ef er i r el cont ext o gener al r esul t a en un desar r ol l o ai sl ado que i mpi de l a
compr esi n cor r ect a del t ema par t i cul ar . Por est a r azn se dedi c un par de
cap t ul os a l as def i ni ci ones y t eor a gener al par a i nt r oduci r el t ema
pr i nci pal el cual es suj et o de est e t r abaj o.
El cap t ul o 1 r ef i er e a def i ni ci ones y t er mi nol og a ut i l i zada en l a
t eor a de l as VPNs, adems pr esent a l as di ver sas cl asi f i caci ones, l os
cr i t er i os que pr ovocan t al es di st i nci ones y l as apl i caci ones.
En el cap t ul o 2 se desar r ol l an l as ar qui t ect ur as, l os pr ot ocol os y
l as apl i caci ones de l as r edes pr i vadas vi r t ual es. Dent r o de l as ar qui t ect ur as
se menci onan l as t ecnol og as i nvol ucr adas. En cuant o a l os pr ot ocol os VPN se
dest acan I PSec, L2TP y SSL, l os cual es ser n r ef er i dos en el cap t ul o
dedi cado a l as VPNs de acceso r emot o.
El cap t ul o 3 est a dedi cado a l as VPNs de acceso r emot o. Su
desar r ol l o pr esent a l os r equer i mi ent os de segur i dad y t odo l o concer ni ent e a
l a ar qui t ect ur a de segur i dad, l os escenar i os de acceso r emot o exi st ent es, l os
pr ot ocol os ms ut i l i zados y car act er st i cas de l as sol uci ones VPN de acceso
r emot o.
Fi nal ment e el cap t ul o 4 pr esent a el desar r ol l o del t r abaj o pr ct i co
r eal i zado como apl i caci n y l as concl usi ones del mi smo.
4
ndice

CAPTULO 1 INTRODUCCIN A LAS VPN ..........................................7
1.1 DEFINICIONES Y TERMINOLOGA ..............................................................................................8
1.1.1 Red Privada...............................................................................................................................8
1.1.2 Red Pblica ...............................................................................................................................9
1.1.3 Red Privada Virtual ..................................................................................................................9
1.1.4 Definicin de VPN..................................................................................................................10
1.1.5 Terminologa............................................................................................................................11
1.2 CLASIFICACIN .........................................................................................................................13
1.2.1 VPNs provistas por el cliente o por el proveedor............................................................13
1.2.2 VPNs Sitio a Sitio y de Acceso Remoto..............................................................................16
1.2.3 VPNs de capa 2 y capa 3....................................................................................................17
1.2.4 Integracin de las clasificaciones......................................................................................18
1.2.5 Confiables y Seguras.............................................................................................................20
1.2.6 Overlay y Peer ........................................................................................................................20
1.2.7 No Orientadas y orientadas a la conexin......................................................................23
1.2.8 VPN de capa de transporte/ aplicacin...........................................................................23
1.2.9 VPN multiservicio ....................................................................................................................24
1.3 APLICACIONES...........................................................................................................................24
1.3.1 Intranet /Intranet extendida ................................................................................................24
1.3.2 Extranets...................................................................................................................................25
1.3.3 Servicio VPN provisto por un proveedor...........................................................................25
CAPTULO 2 ARQUITECTURAS, CLASIFICACIN Y PROTOCOLOS .....................29
2.1 INTRODUCCIN A LAS ARQUITECTURAS DE VPN................................................................30
2.1.1 Componentes de una Red Privada Virtual ......................................................................31
2.1.2 Hardware.................................................................................................................................31
2.1.3 Seguridad de la infraestructura ..........................................................................................32
2.1.4 Infraestructura de soporte para el servicio del proveedor...........................................33
2.1.5 Redes Pblicas........................................................................................................................33
2.1.6 Tneles......................................................................................................................................34
2.2 ARQUITECTURAS.........................................................................................................................34
2.2.1 Basadas en software.............................................................................................................34
2.2.2 Basadas en la Implementacin..........................................................................................34
2.2.3 Basada en Seguridad ...........................................................................................................35
2.2.4 Iniciadas por el cliente..........................................................................................................37
2.2.5 Dirigidas....................................................................................................................................37
2.2.6 Basado en la capa................................................................................................................37
2.2.7 Basada en Clases...................................................................................................................38
2.2.8 Basada en Caja Negra.........................................................................................................39
2.2.9 Basada en Acceso Remoto.................................................................................................39
2.2.10 VPN mltiple servicios..........................................................................................................39
2.3 PROTOCOLOS DE TNEL...........................................................................................................41
2.3.1 Requerimientos de un Tnel.................................................................................................42
2.4 PROTOCOLOS DE TNEL CAPA 2...........................................................................................45
2.4.1 Point to Point Protocol (PPP) ................................................................................................45
5
2.4.2 Point to Point Tunneling Protocol (PPTP) ............................................................................46
2.4.3 Layer 2 Forwarding Protocolo (L2F)....................................................................................48
2.4.4 Layer 2 Tunneling Protocolo (L2TP) .....................................................................................48
2.5.1 IP Security Protocol (IPSec)...................................................................................................51
2.5.2 Generic Routing Encapsulation protocol (GRE)..............................................................59
2.5.3 Multiprotocol Label Switching (MPLS)................................................................................61
2.6.1 Secure Shell (SSH) ...................................................................................................................62
2.6.2 Secure Sockets Layer/ Transport Layer Security (SSL/ TLS) ...............................................64
2.7 TOPOLOGAS..............................................................................................................................64
2.7.1 Escenarios................................................................................................................................65
2.7.2 Topologa Punto a Punto......................................................................................................67
2.7.3 Topologa Punto a Multipunto.............................................................................................68
2.7.4 Topologa Estrella (Hub and Spokes) .................................................................................69
2.7.5 Topologa de Malla Completa o Parcial (Full or Partial Mesh).....................................70
CAPTULO 3 VPN DE ACCESO REMOTO ..........................................72
3.1 INTRODUCCIN.........................................................................................................................73
3.1.1 Requerimientos bsicos de seguridad ..............................................................................74
3.1.2 Configuracin de las polticas de seguridad...................................................................75
3.1.3 Auditora...................................................................................................................................75
3.2 ESCENARIOS................................................................................................................................76
3.2.1 Tele trabajadores/usuarios mviles operando dispositivos propios............................76
3.2.2 Acceso con un dispositivo propio a la red local desde una extranet.......................77
3.2.3 Acceso desde una extranet con un dispositivo propio de esta, a la red local.......77
3.2.4 Acceso de usuarios mviles desde dispositivos pblicos..............................................77
3.3 ARQUITECTURA DE SEGURIDAD..............................................................................................78
3.3.1 Gateway VPN y Firewall, seguridad en la frontera.........................................................79
3.3.2 Disponibilidad .........................................................................................................................84
3.3.3 Autenticacin, Autorizacin y Registro (AAA).................................................................86
3.3.4 Administracin y monitoreo.................................................................................................88
3.4 PROTOCOLOS............................................................................................................................89
3.4.1 SSH.............................................................................................................................................89
3.4.2 IPSec..........................................................................................................................................91
3.4.3 SSL/ TLS.......................................................................................................................................94
3.4.4 Comparativa de las tecnologas de acceso remoto....................................................94
3.5 SOLUCIONES VPNs DE ACCESO REMOTO ............................................................................99
3.5.1 IPSEC .......................................................................................................................................100
3.5.2 SSL/ TLS.....................................................................................................................................101
CAPTULO 4 TRABAJO PRCTICO .............................................102
4.1 INTRODUCCIN.......................................................................................................................103
4.2 ALCANCES................................................................................................................................104
4.3 FUNCIONAMIENTO ..................................................................................................................105
4.3.1 Perfiles de usuarios...............................................................................................................105
4.3.2 Esquema de validacin......................................................................................................105
4.3.3 Servicios..................................................................................................................................105
4.3.4 Gateway VPN.......................................................................................................................106
4.4 TECNOLOGAS DE LA SOLUCIN..........................................................................................106
6
4.4.1 Lenguajes de programacin.............................................................................................106
4.4.2 Entorno de virtualizacin....................................................................................................107
4.4.3 Distribucin LINUX.................................................................................................................107
4.4.4 Tecnologa VPN....................................................................................................................109
4.5 LA SOLUCIN ...........................................................................................................................109
4.5.1 Funcionamiento de la Mquina Virtual ..........................................................................109
4.5.2 Aplicacin de gestin de archivos..................................................................................112
4.6 CONCLUSIONES DEL TRABAJ O PRCTICO.........................................................................113
ANEXOS ....................................................................114
5.1 NDICES DE FIGURAS................................................................................................................115
5.2 REFERENCIAS BIBLIOGRFICAS.............................................................................................116

7

CAP TULO 1
I NTRODUCCI N A LAS VPN
1

8
1.1 DEFINICIONES Y TERMINOLOGA
La i mpor t anci a de l a t ecnol og a de l as r edes de dat os par a l as
comuni caci ones en l as or gani zaci ones ( empr esas, i nst i t uci ones
guber nament al es, no guber nament al es) ha si do f undament al par a su desar r ol l o y
cr eci mi ent o, t ant o en el aspect o econmi co y f unci onal , si endo una
her r ami ent a est r at gi ca que br i nda sopor t e y per mi t e el desenvol vi mi ent o y
t r ansf or maci n de di chas or gani zaci ones. Hoy en d a no se puede concebi r , a
ni vel or gani zaci onal , al gn cambi o, f usi n u uni n si n consi der ar l as
comuni caci ones y l as t ecnol og as de i nf or maci n que l e dan sopor t e.
1.1.1 Red Privada
Las r edes de dat os i nt er conect aban, en un pr i nci pi o en f or ma l ocal ,
l as comput ador as per sonal es de una or gani zaci n, per mi t i endo compar t i r l a
i nf or maci n, y el t r abaj o en gr upo de una f or ma ms gi l y ef i ci ent e. Si n
embar go est o r equi r i consi der ar el aspect o de l a segur i dad, ya que si bi en
se t r abaj aba en un mi smo mbi t o, es deci r dent r o de l a mi sma empr esa, no
t odos l os usuar i os deb an acceder a l os dat os por i gual . Est e esquema
f unci on par a pequeas or gani zaci ones, per o par a aquel l as cuya est r uct ur a
i ncl u a si t i os geogr f i cament e al ej ados, sur gi l a necesi dad de i nt er conect ar
t ambi n di chos l ugar es.
La sol uci n vi no de l a mano de l os pr oveedor es de ser vi ci o de r ed de
r ea ampl i a de dat os o WAN ( Wide Area Network) , a t r avs de l a cont r at aci n
de enl aces dedi cados, l os cual es conect aban l as r edes di st ant es con l a r ed
cent r al . Est a sol uci n i mpl i caba un cost o, que r esul t pr ohi bi t i vo par a l a
mayor a, except o par a aquel l os que pod an abonar un cost o f i j o de
cont r at aci n ms un val or que var i aba pr opor ci onal ment e a l a di st anci a
exi st ent e ent r e l os si t i os a i nt er conect ar ( mi l e- age f ee) . En l a act ual i dad
exi st en t ecnol og as WAN ( Frame Relay, ATM
1
) donde el cost o est a en f unci n del
caudal de dat os o ancho de banda compr omet i do del enl ace, que una
or gani zaci n est a di spuest a a pagar , si n consi der ar ya l a di st anci a
geogr f i ca.
De est a f or ma se cont aba con una red privada o est r uct ur a de
comuni caci n pr opi a, en el sent i do de que el cont r ol y l a admi ni st r aci n de
l a r ed est aban baj o el domi ni o de l a or gani zaci n. Las pol t i cas de uso, l os
ser vi ci os sumi ni st r ados, l os medi os act i vos y pasi vos de comuni caci n por
donde f l u an l os dat os est aban baj o un cont r ol pr opi o. Si bi en l as
comuni caci ones de r ea ampl i a er an sumi ni st r adas por un pr oveedor , est e se
compr omet a a r espet ar l os r equer i mi ent os de l a or gani zaci n cl i ent e y adems
l os dat os que at r avesaban su r ed, no i ban a est ar al al cance de ot r os
cl i ent es.

1
Asynchr onous Tr ansf er Mode
9
1.1.2 Red Pblica
Uno de l os event os mas i mpor t ant es que acompa al desar r ol l o de l as
r edes en l as or gani zaci ones, f ue l a r pi da evol uci n de l a mayor de l as r edes
I P exi st ent es, Internet. Est a se def i ne como un si st ema cooper at i vo de
i nt er conexi n de r edes que sumi ni st r a un ser vi ci o de comuni caci n uni ver sal .
De est a maner a sat i sf ace l a necesi dad de l os usuar i os de comuni car dos punt os
cual esqui er a, t ambi n denomi nados si st emas o nodos f i nal es, pudi endo acceder
a r ecur sos ms al l de l os di sponi bl es en un ni co si st ema y ubi cados f uer a
de l os l mi t es de l a r ed l ocal .
Los dat os at r avi esan r edes i nt er medi as hast a l l egar a su dest i no,
en una oper aci n no or i ent ada a l a conexi n, medi ant e el uso de equi pos
especi al es denomi nados routers, t ambi n conoci dos como si st emas o nodos
i nt er medi os. La nat ur al eza no or i ent ada a l a conexi n de Internet, si gni f i ca
que no hay una r ut a pr eest abl eci da o ci r cui t o vi r t ual dedi cado ent r e l os
si st emas que se comuni can, t ampoco ni vel es de ser vi ci o, pr i or i zaci n o
separ aci n de t r f i co que puedan apl i car se a l os dat os que se t r ansmi t en.
La f unci n de l os routers es i nt er conect ar al menos dos r edes,
t r ansf i r i endo paquet es desde una r ed a ot r a. Est as per t enecen a di ver sas
or gani zaci ones y pr oveedor es. Est o convi er t e a Internet en una red pblica,
en el sent i do de que son muchos l os que par t i ci pan en su conf or maci n y l os
medi os de t r ansmi si n son compar t i dos. Depender de qui en ut i l i ce l a
i nf r aest r uct ur a de Internet par a comuni car dos si st emas f i nal es, t omar l as
medi das de segur i dad apr opi adas par a asegur ar l a conf i denci al i dad,
aut ent i ci dad, i nt egr i dad y no r epudi o de l os dat os t r ansmi t i dos.
1.1.3 Red Privada Virtual
El f unci onami ent o de al gunas or gani zaci ones, det er mi nar on l a
necesi dad de per mi t i r el acceso a l a r ed pr opi a a usuar i os que se encont r aban
geogr f i cament e f uer a de l os l mi t es de st a. st os r equer an despl azar se con
f r ecuenci a y en al gn moment o acceder a sus ar chi vos en l a r ed l ocal , r evi sar
su cor r eo el ect r ni co o ut i l i zar un si st ema de i nf or maci n.
En un pr i nci pi o se ut i l i zar on ser vi ci os de acceso r emot o medi ant e
l a i mpl ement aci n de ser vi dor es par a t al f i n o RAS ( Remote Access Server) , el
uso de l neas di scadas par a l a conexi n y pools de modems par a at ender l as
l l amadas. Toda est a i nf r aest r uct ur a er a cost eada por l a or gani zaci n l a cual
er a r esponsabl e de su admi ni st r aci n y mant eni mi ent o. Si bi en se sol uci onaba
el pr obl ema de acceso a l a r ed l ocal , se l ogr aba a un cost o econmi cament e
al t o.
Ot r a necesi dad f ue l a de encont r ar una al t er nat i va ms econmi ca de
i nt er conect ar di ver sas r edes ent r e s y ya no sol ament e l as de una mi sma
or gani zaci n, si no r edes de di f er ent es or gani zaci ones. Razones de pol t i ca
est r at gi ca j ust i f i caban est e desaf o, ya sea a ni vel empr esar i al ,
uni ver si t ar i o o guber nament al .
Ambos r equer i mi ent os t uvi er on su sol uci n a par t i r de l a i dea de
ut i l i zar Internet, t eni endo en cuent a su al cance gl obal y su capaci dad de
ent r ega de dat os a casi cual qui er si st ema f i nal a un baj o cost o.
Dado que se ut i l i za Internet par a t r ansmi t i r dat os, no hay gar ant a
de que est os no puedan ser capt ados por t er cer os. Tambi n es cl ar o que l os
si st emas f i nal es que se comuni can est n expuest os.
10
En l a act ual i dad no sol o se consi der a a Internet como medi o donde
una or gani zaci n puede i mpl ement ar una VPN. Los pr oveedor es de ser vi ci os de
comuni caci ones o SP ( Service Provider) of r ecen ser vi ci os de VPN de acuer do a
l as necesi dades del cl i ent e a t r avs de su r ed backbone. Un SP puede
admi ni st r ar ml t i pl es VPNs per t eneci ent es a var i os cl i ent es oper ando a t r avs
de su backbone.
1.1.4 Definicin de VPN
Es habi t ual encont r ar var i as def i ni ci ones sobr e VPN, aunque st as no
di f i er en en esenci a. Al gunas de el l as pueden ser :
Una VPN es una red privada construida dentro de una infraestructura
de red pblica, como la red Internet
2

La idea bsica de una VPN es muy simple. Una corporacin podra
tener un nmero de oficinas (o grupos de ellas) en diferentes lugares, y en
cada uno de estos tener su propia red local. Muchas corporaciones han
aumentado la cantidad de empleados que deben trabajar en forma remota, ya sea
desde sus hogares o en forma itinerante. Interconectar estas redes y lugares
mediante una red compartida (no privada) crea una VPN
3

Una red privada virtual basada en Internet utiliza la
infraestructura abierta y distribuida de Internet para transmitir datos entre
sitios corporativos
4

Una red privada virtual es una red privada de datos que utiliza una
infraestructura de telecomunicacin pblica, manteniendo la privacidad
mediante protocolos de tnel y procedimientos seguros.
....El propsito principal de una VPN es dar a la compaa la misma
capacidad que otorgan los enlaces dedicados contratados pero a un costo
menor, utilizando medios de comunicacin pblicos.
5

Se puede def i ni r a una VPN de maner a ms f or mal . Est a def i ni ci n
apar ece publ i cada en el ar t cul o What Is a VPN? Part 1 escr i t o por Ferguson y
Houston par a l a publ i caci n mensual The Internet Protocol Journal de Cisco
System en Mar zo de 2001:
Una VPN es un ambiente de comunicaciones en el cual existe un
control de acceso, para permitir la conexin entre sistemas pares nicamente
dentro de una comunidad de inters definida, y est creado considerando
alguna forma de particin de un medio de comunicacin subyacente, donde este
brinda servicios a la red de una forma no exclusiva.
De acuer do a est as def i ni ci ones se puede deci r que una r ed pr i vada
vi r t ual es una r ed, que comuni ca dos o ms di sposi t i vos f i nal es ( est os a su
vez pueden i nt er conect ar una r ed compl et a) que pueden est ar ubi cados
geogr f i cament e di st ant es y r epr esent an una comuni dad de i nt er s. Par a est o
se ut i l i za como medi o de t r ansmi si n una est r uct ur a compar t i da comn a var i os
usuar i os. st a puede ser Internet o l a r ed pr i nci pal o backbone de un
pr oveedor de ser vi ci os de comuni caci ones.

2
What Is a VPN? Part I by Ferguson -Houston - The Internet Protocol J ournal Marzo 2001 Cisco System
3
VPN Technologies a Comparison by Finlayson-Harrison-Sugarman Data Connection Limited Febrero 2003
4
Virtual PrivateNetworks (VPNs) Web ProForumTutorials - IEC
5
VPN Technologies: Definitions and Requirements by VPN Consortium Marzo 2006
11
Se di ce pr i vada por que l os di sposi t i vos que no par t i ci pan en est a
comuni caci n no t i enen acceso al cont eni do de l a mi sma y de hecho no son
consci ent es de su est abl eci mi ent o. El acceso a est a r ed y su admi ni st r aci n
est r est r i ngi do sol o a un nmer o l i mi t ado de di sposi t i vos. La pr i vaci dad se
apl i ca t ambi n al espaci o de di r ecci onami ent o y esquema de enr ut ami ent o
ut i l i zado en una VPN, en el sent i do de que est n separ ados o di f i er en de
aquel l os i nst r ument ados en al guna ot r a r ed pr i vada exi st ent e o en l a
i nf r aest r uct ur a de r ed subyacent e por donde ocur r e l a comuni caci n.
El concept o de vi r t ual , por def i ni ci n es l a r epr esent aci n de un
obj et o no exi st ent e medi ant e l a ej ecuci n de f unci ones que si mul an su
exi st enci a. En el cont ext o de una VPN, si gni f i ca que est a l t i ma r epr esent a
una r ed de comuni caci ones, que no t i ene una cont r apar t e f si ca r eal . Est e
concept o f undament a l a nat ur al eza di scr et a o de separ aci n, de una r ed
l gi ca pr i vada f unci onando sobr e una i nf r aest r uct ur a de comuni caci ones
compar t i da y r eal . El aspect o de pr i vaci dad, def i ni do en el pr r af o ant er i or ,
est en f unci n de l a vi r t ual i zaci n.
1.1.5 Terminologa
La l i t er at ur a r el aci onada con r edes pr i vadas vi r t ual es est a pl agada
de acr ni mos, si gl as, t r mi nos muy espec f i cos que t or nan di f ci l l a
i nt er pr et aci n de cual qui er l ect ur a r el aci onada con el t ema. Est a secci n
def i ne l os pr i nci pal es el ement os que componen un escenar i o VPN.
Sitio: ubi caci n geogr f i ca con uno o ms usuar i os o uno o ms
ser vi dor es o una combi naci n de ser vi dor es y usuar i os. El usuar i o
r ef i er e al host o est aci n de t r abaj o.
Servidor VPN: software o firmware VPN el cual se ej ecut a en un
di sposi t i vo. Ti ene l a f unci n de est abl ecer un t nel con un cl i ent e
VPN. Pr evi ament e ver i f i ca l a i dent i dad del cl i ent e par a aut or i zar su
acceso y det er mi nar l os per mi sos de est e par a acceder a l os r ecur sos
l ocal es. El di sposi t i vo donde se ej ecut a el ser vi dor VPN puede ser un
host, router o switch. Est e equi po comuni ca l a r ed l ocal con l a r ed
pbl i ca. Ot r as acepci ones pueden ser : gateway VPN, ser vi dor de
t nel es.
Cliente VPN: software o firmware VPN ej ecut ndose en un di sposi t i vo,
cuya f unci n es est abl ecer un t nel con un ser vi dor VPN. Pr evi ament e,
debe pr esent ar l as cr edenci al es cor r ect as al ser vi dor . Ot r a acepci n
puede ser cl i ent e de t nel .
Tnel: Enl ace l gi co ent r e el ser vi dor y cl i ent e VPN, cr eado por un
pr ot ocol o de t nel . Por est e canal se env an l os dat os que han si do
encapsul ados y qui zs encr i pt ados por el pr ot ocol o. Es posi bl e
t r ansmi t i r dat os si n encr i pt ar por un t nel . Un t nel puede
est abl ecer se en di f er ent es capas del model o I SO/ OSI de pr ot ocol os de
comuni caci ones.
Extremos de un tnel: di sposi t i vos que gest i onan l a cr eaci n, el
est abl eci mi ent o y l a f i nal i zaci n de un t nel medi ant e l a ej ecuci n
de software o firmware dedi cado par a t al f i n, por l o t ant o se
encar gan t ambi n del pr ocesami ent o r el aci onado con l a
des/ encapsul aci n, des/ encr i pt aci n y t r ansmi si n de l os paquet es
r eci bi dos.
12
NAS (Network Access Server): ser vi dor de acceso de r ed, un
di sposi t i vo que r epr esent a una i nt er f ase ent r e un medi o de acceso
como l a r ed de t el ef on a y una r ed de conmut aci n de paquet es, como
el backbone de un pr oveedor o Internet. En una VPN est e di sposi t i vo
per mi t e que un usuar i o ut i l i zando un acceso t el ef ni co acceda a su
r ed medi ant e un t nel cr eado por el NAS haci a el ser vi dor de acceso
r emot o de l a r ed dest i no.
Tnel voluntario (Voluntary Tunnel): Tnel cr eado y conf i gur ado a
par t i r de l a sol i ci t ud de un cl i ent e VPN. Est a cl ase de t nel es
comn en l as VPN de acceso r emot o, donde uno de l os ext r emos es una
comput ador a per sonal o notebook de un usuar i o hogar eo o mvi l .
Tnel obligatorio (Compulsory Tunnel): Tnel asoci ado con l as VPN de
acceso r emot o. Su cr eaci n y conf i gur aci n est a car go de un
di sposi t i vo denomi nado ser vi dor de acceso de r ed o NAS. st e se ubi ca
ent r e l a PC del usuar i o y el ser vi dor VPN. En el NAS se ubi ca el
ext r emo del t nel donde f unci ona el cl i ent e VPN. Es posi bl e que
ml t i pl es usuar i os conect ados al ser vi dor de acceso de r ed, compar t an
el t nel en f or ma concur r ent e. En gener al el NAS es pr opi edad y es
admi ni st r ado por un pr oveedor de ser vi ci os. Ver ms det al l es en el
cap t ul o 2Pr ot ocol os de t nel capa 2.
Dispositivo de borde: Es el di sposi t i vo ubi cado en l a f r ont er a ent r e
l a r ed l ocal y l a r ed pbl i ca.
CE: Di sposi t i vo de bor de del cl i ent e ( Customer Edge Device) . Es el
equi po per t eneci ent e a un cl i ent e de un ser vi ci o de comuni caci ones
que se si t a en el bor de de l a r ed pr i vada l ocal y conect a con l a r ed
del pr oveedor del ser vi ci o a t r avs de un PE. Un CE puede ser un
router o switch.
C: Di sposi t i vo que per t enece al cl i ent e y que se ubi ca dent r o de l a
r ed del mi smo. Est os no t i ene conect i vi dad di r ect a con l a r ed del
Pr oveedor ni par t i ci pan de l a VPN. Pueden ser routers o switchs.
PE: Di sposi t i vo de bor de del pr oveedor ( Provider Edge Device) . Est e
es pr opi edad del pr oveedor de ser vi ci o de comuni caci ones. Se conect a
di r ect ament e a l a r ed del cl i ent e a t r avs del CE. Un PE puede ser un
router, switch o un di sposi t i vo que combi ne ambas f unci ones.
P: Di sposi t i vos que componen el ncl eo de l a r ed del Pr oveedor . No
t i enen conect i vi dad di r ect a con l a r ed del cl i ent e ni par t i ci pan de
l as VPN. Est os son equi pos como routers y switches.

13

Figura 1-1 Componentes de una VPN
1.2 CLASIFICACIN
Se pueden encont r ar var i as cl asi f i caci ones de l as VPN, l o cual
puede gener ar ci er t a conf usi n. Est o se debe a que exi st en di ver sos t i pos de
t ecnol og as y cl ases de r edes pr i vadas vi r t ual es, l o que per mi t e ms de un
cr i t er i o de or gani zaci n.
Las cl asi f i caci ones gener al es y ms habi t ual es son:
De acuer do a qui en i mpl ement a y admi ni st r a el ser vi ci o: l a pr opi a
or gani zaci n o un pr oveedor de ser vi ci os.
Segn que comuni can: r edes ent r e s o usuar i os a l a r ed.
Segn l a capa del model o de r ef er enci a de pi l a I SO/ OSI par a
comuni caci ones donde se est abl ece l a VPN: capa 2, 3 y l as VPNs de
capa de apl i caci n/ t r anspor t e que ut i l i zan el pr ot ocol o SSL/ TLS.
Est as r epr esent an una cl ase par t i cul ar de VPN que se descr i ben
apar t e.
Ot r os cr i t er i os pueden ser :
Segn si l os di sposi t i vos de bor de de un pr oveedor par t i ci pan o no en
el enr ut ami ent o del t r f i co de dat os del cl i ent e: VPN peer to peer o
VPN overlay.
Segn si son or i ent adas o no a l a conexi n.
Si son conf i abl es o segur as.
1.2.1 VPNs provistas por el cliente o por el proveedor
Uno de l os pr i nci pal es cr i t er i os par a cl asi f i car l as VPN, def i ne
qui en est a a car go de l a i mpl ement aci n y admi ni st r aci n de l a r ed pr i vada
vi r t ual , ya sea el cl i ent e ( l a or gani zaci n) o el pr oveedor de ser vi ci os de
comuni caci ones. Est o se r ef i er e a l a def i ni ci n de l as pol t i cas a cumpl i r
con est a sol uci n, l os r equer i mi ent os par a l a i mpl ement aci n, l a adqui si ci n
y conf i gur aci n de equi pami ent o, mant eni mi ent o, r esol uci n de pr obl emas y
moni t or eo, especi f i caci n del espaci o de di r ecci onami ent o a ut i l i zar , esquema
de enr ut ami ent o et c.
14
VPNS provistas por el cliente (CE o CPE VPN)
Tambi n denomi nadas VPNs del mbi t o del cl i ent e ( Customer Promises
VPN) . Est as VPNs son def i ni das e i mpl ement adas por el cl i ent e de un ser vi ci o
de comuni caci ones. Gener al ment e est e t i ene acceso al backbone de un pr oveedor
o bi en posee un ser vi ci o de acceso a Internet. En est e cont ext o el cl i ent e
puede t ener ms de un si t i o pr opi o, geogr f i cament e di st ant e que desea
conect ar o bi en r equi er e hacer l o con ot r a r ed f uer a de su domi ni o, t ambi n
r emot a.
En est e t i po de VPN, el t nel se est abl ece, ni cament e, ent r e l os
equi pos del cl i ent e. Est os r epr esent an l os ext r emos del o l os t nel es. Los
equi pos del pr oveedor o PE, no par t i ci pan de l a VPN. Tampoco del esquema de
di r ecci onami ent o que est a ut i l i za o del enr ut ami ent o necesar i o. Tr at an a l os
paquet es o t r amas como pr oveni ent e de un cl i ent e del ser vi ci o, es deci r sol o
l o r eenv an. En el caso de l a ut i l i zaci n de Internet, l os routers
i nt er medi os t ambi n l o hacen con l os paquet es I P, si n t ener en cuent a el
cont eni do encapsul ado por el t nel de l a VPN.
La vent aj a de est a cl ase de VPN r adi ca en que el cl i ent e t i ene el
cont r ol de l a segur i dad apl i cada a l os dat os que t r ansmi t e. Par a el pr oveedor
sus di sposi t i vos de bor de no r equi er en ni nguna conf i gur aci n especi al par a el
t r at ami ent o de l os paquet es de l as VPN, adems no sur gen pr obl emas de
escal abi l i dad al moment o de aument ar l a cant i dad de VPNs o l os si t i os a
i nt er conect ar medi ant e est as ya que, como se menci on ant er i or ment e, est os
equi pos no par t i ci pan en est e escenar i o vi r t ual .
Como desvent aj a, el cl i ent e debe hacer se car go bsi cament e de t odo.
Est o puede i mpl i car un gr an cost o, t ant o en l a compr a de equi pami ent o, como
en l a pr epar aci n de per sonal par a l a conf i gur aci n y el mant eni mi ent o de l a
VPN. Est a sol uci n pr esent a pr obl emas de escal abi l i dad par a el cl i ent e cuando
exi st en var i os si t i os par a i nt er conect ar .
Los t i pos de VPN pr ovi st as por el cl i ent e son:
VPN I PSec ( IP Security)
VPN GRE ( Generic Routing Encapsulation)
VPN SSL/ TLS ( Secure Sockets Layer/Transport Layer Security)

Figura 1-2 VPN Provista por el Cliente
15
VPNs provistas por el Proveedor (PPVPN)
En est a cl ase de VPN el pr oveedor de ser vi ci o se encar ga de su
i mpl ement aci n. Los equi pos de bor de o PE par t i ci pan act i vament e de l a r ed
vi r t ual como as t ambi n, per o en menor gr ado, l os di sposi t i vos de bor de del
cl i ent e. Est o si gni f i ca que l os PE r eal i zan l a mayor par t e del pr ocesami ent o
espec f i co de l a VPN, per mi t i endo que l os equi pos CE puedan ser routers o
switches est ndar si n necesi dad de compr ar equi pami ent o especi al .
El pr oveedor es r esponsabl e de l a admi ni st r aci n de l a VPN,
l i ber ando al cl i ent e de est as t ar eas. Est o r esul t a, par a est e l t i mo, en un
menor cost o de i mpl ement aci n r espect o de un empr endi mi ent o pr opi o.
Act ual ment e l os pr oveedor es of r ecen un ser vi ci o de VPN mej or ado,
donde suman adems de l a conect i vi dad, acuer dos de ni vel de ser vi ci o,
cal i dad y di f er enci aci n de ser vi ci o, segur i dad, i ngeni er a de t r f i co et c.
Est o r edunda en un pr oduct o con val or agr egado que benef i ci a a ambas par t es.
Las sol uci ones VPN de est a cl ase, pueden oper ar en l a r ed de un
ni co pr oveedor , ent r e un conj unt o de pr oveedor es de ser vi ci o y sobr e
Internet. En est e l t i mo caso se asume que l os routers de ncl eo de
Internet, no mant endr n i nf or maci n r ef er i da a l a VPN, si n consi der ar si se
ut i l i zan pr ot ocol os de enr ut ami ent o par a di st r i bui r o no di cha i nf or maci n.
Exi st en cuat r o escenar i os donde pueden despl egar se est as VPN
6
:
nico Proveedor, nico Sistema Autnomo o AS (Autonomous System):
escenar i o ms si mpl e, el ser vi ci o se br i nda a t r avs del AS de un ni co
pr oveedor .
nico Proveedor, mltiples AS: un pr oveedor admi ni st r a var i os AS
( adqui si ci n de var i as r edes) . Est e escenar i o i mpl i ca l a di st r i buci n
con r est r i cci ones de l a i nf or maci n de enr ut ami ent o ent r e l os di ver sos
Si st emas Aut nomos.
Multi Proveedor: es el caso ms compl ej o, debi do a que es necesar i o
negoci ar r el aci ones de conf i anza ent r e l os backbones de l os di ver sos
pr oveedor es par a cumpl i r con l as medi das de segur i dad y ni vel es de
ser vi ci o acor dados par a l a VPN de un cl i ent e. En est e caso el ser vi ci o
se denomi na VPN i nt er - AS o nt er pr oveedor .
Proveedor de Proveedores (Carrier's Carrier): est e es un caso especi al
del pr i mer escenar i o, except o que l os cl i ent es son pr oveedor es de
ser vi ci os de comuni caci ones que cont r at an el ser vi ci o de VPN a un
pr oveedor pr i nci pal , par a of r ecer l o a su vez a sus pr opi os cl i ent es.
Los t i pos de VPN pr ovi st as por el Pr oveedor son:
VPN VPWS ( Virtual Private Wire Service)
VPN VPLS ( Virtual Private Lan Service)
VPN I PLS ( IP only Private Lan Service)
VPN basada en routers vi r t ual es
VPN I PSec
VPN MPLS ( Multiprotocol Label Switching)

6
RFC 3809 Generic Requirements for Provider Provisioned VPN
16
1.2.2 VPNs Sitio a Sitio y de Acceso Remoto
Ot r a f or ma gener al de di st i ngui r l as VPN es en f unci n de si
conect an r edes ent r e s o usuar i os a una r ed. Una VPN si t i o a si t i o ( site-to-
site VPN) conect a dos o ms r edes ent r e s que est n geogr f i cament e
di sper sas, est as pueden per t enecer a una o var i as or gani zaci ones.
Si l as r edes per t enecen a una mi sma or gani zaci n, est a cl ase de VPN
se denomi na intranet. Si l as r edes per t enecen a var i as or gani zaci ones se
conoce como extranet. La i nt enci n en est e l t i mo caso es comuni car
or gani zaci ones di f er ent es que per si guen un obj et i vo comn y r equi er en
compar t i r i nf or maci n t i l par a el conj unt o. El ser vi ci o de VPN ent r e si t i os
deber a ser i ndependi ent e del al cance geogr f i co de l a i mpl ement aci n.

Figura 1-3 VPN Sitio a Sitio
Las VPN de Acceso Remot o o RAVPN ( Remote Access VPN) , t ambi n
denomi nadas VPN de acceso, per mi t en a l os usuar i os mvi l es o i t i ner ant es y a
l os usuar i os hogar eos de una or gani zaci n o t el e t r abaj ador es, acceder en
f or ma r emot a a l a r ed. Est a cl ase de VPN puede est abl ecer un t nel en modo
vol unt ar i o u obl i gat or i o.

Figura 1-4 VPN de Acceso Remoto
17
Las t ecnol og as y pr ot ocol os asoci ados a est a cl asi f i caci n son:
VPNs si t i o a si t i o:
I PSec
GRE
At oM ( Any Transport over MPLS)
L2TPv3 ( Layer 2 Tunneling Protocol version 3)
I EEE 802. 1Q
MPLS LSP ( MPLS Label Switched Path)

VPNs de acceso r emot o:
L2F ( Layer 2 Forwarding)
PPTP ( Point to Point Tunneling Protocol)
L2TPv2/ v3
I PSec
SSL/ TLS
Al gunos de est os ser n descr i pt os ms adel ant e en el cap t ul o 2
dedi cado a pr ot ocol os VPN.
1.2.3 VPNs de capa 2 y capa 3
El cr i t er i o de est a cl asi f i caci n se basa en l as capas, del model o
de r ef er enci a I SO/ OSI de pr ot ocol o de comuni caci ones, por donde se est abl ece
el t nel de l a VPN. Est a cl asi f i caci n sur ge a par t i r de l a var i edad de
t ecnol og as exi st ent es que se ut i l i zan par a i mpl ement ar l a VPN.
Est a di st i nci n t i ene sent i do cuando se l a apr eci a en el cont ext o de
l as cl asi f i caci ones ant er i or es.
Las VPN de capa 2 per mi t en l a conect i vi dad a ni vel de l a capa de
enl ace de dat os y puede ser est abl eci da ent r e switches, routers o hosts. La
comuni caci n est a basada en el di r ecci onami ent o de capa 2 y el r eenv o del
t r f i co est a basado r espect o del enl ace ent r ant e y l a i nf or maci n de
encabezados de di cha capa, t al es como di r ecci ones MAC ( Media Access Control)
o DLCI ( Frame Relay Data Link Connection Identifier) .
Las VPN de capa 3 i nt er conect an hosts o routers, l a comuni caci n se
basa en el di r ecci onami ent o a ni vel de capa de r ed. El r eenv o del t r f i co se
l l eva a cabo t eni endo en cuent a el enl ace ent r ant e y l as di r ecci ones del
encabezado I P.
18
1.2.4 Integracin de las clasificaciones
Las cl asi f i caci ones ant er i or es se pueden i nt egr ar par a t ener una
per spect i va ms pr ct i ca y oper at i va de l as VPN. Est a i nt egr aci n muest r a l as
VPN pr ovi st a por el cl i ent e o pr oveedor como el cr i t er i o de cl asi f i caci n ms
gener al , dent r o de l a cual se pueden di f er enci ar l as VPN si t i o a si t i o y
r emot a. Fi nal ment e se consi der an segn l as t ecnol og as VPN de capa 2 y 3. El
si gui ent e esquema muest r a est a r el aci n:

Figura 1-5 Clasificacin de las VPN

VPN Sitio a Sitio Provistas por el Proveedor de Capa 2 (L2VPN)
Est as VPN pueden ser est abl eci das ent r e switches, routers y hosts,
per mi t i endo l a conect i vi dad a ni vel de capa de enl ace ent r e si t i os separ ados.
Tant o el di r ecci onami ent o como el r eenv o del t r f i co de l a VPN se l l evan a
cabo en f unci n del enl ace ent r ant e y de l a i nf or maci n del encabezado de
capa 2.
Dent r o de l as L2VPN se pueden di st i ngui r dos cat egor as:
VPNs basadas en circuitos Punto a Punto (P2P): conoci das t ambi n
como VPWS ( Virtual Private Wire Service) . Se i mpl ement an usando
MPLS o ci r cui t os emul ados ( pseudowires) L2TPv3.
VPNs Multipunto a Multipunto (M2M): en est a cat egor a ent r an l as
VPN VPLS ( Virtual Private LAN Service) e I PLS ( IP-Only LAN
Service) .
VPN VPWS
La r ed del pr oveedor puede consi der ar se como una emul aci n de un
conj unt o de enl aces punt o a punt o o pseudowires ent r e l os si t i os del cl i ent e.
Es t i l en escenar i os donde el cl i ent e ya posee ci r cui t os vi r t ual es ATM o
Frame Relay que i nt er conect an sus r edes. En l ugar de que el t r f i co del
cl i ent e at r avi ese el backbone hast a su dest i no en su f or mat o nat i vo de capa
2, st e es encapsul ado y enr ut ado sobr e l a i nf r aest r uct ur a I P del Pr oveedor .
El cl i ent e mant i ene l as conexi ones de capa 2 al backbone. Los
routers CE deben sel ecci onar el ci r cui t o vi r t ual a usar par a envi ar el
t r f i co al si t i o dest i no.
19
Est e esquema per mi t e el r eempl azo de r edes con t opol og as est r el l a
que r equi er en l a i nt er conexi n de r edes sat l i t es haci a una r ed cent r al ,
per mi t i endo al t er nat i vas de r ut as haci a un dest i no.
Unas de l as t ecnol og as habi t ual es, en el ncl eo de l a r ed del
pr oveedor , par a est a cl ase de VPN es MPLS j unt o a ext ensi ones conoci das como
PWE3 ( Pseudowire Emulation Edge to Edge) . Un enf oque ms escal abl e, r espect o
de l a admi ni st r aci n del ser vi ci o, ut i l i za BGP ( Border Gateway Protocol) como
pr ot ocol o de seal i zaci n y aut o det ecci n. En est e caso, l os di sposi t i vos PE
usan BGP mul t i pr ot ocol o par a anunci ar l os di sposi t i vos CE y VPN que
cont r ol an, j unt o con l as et i quet as MPLS ut i l i zadas par a encami nar el t r f i co.
De est a f or ma, cuando l os ot r os CE r eci ben est a i nf or maci n, saben como
est abl ecer l os pseudowires.
VPN VPLS
En est e caso l a r ed LAN ethernet de cada si t i o del cl i ent e se
ext i ende hast a el bor de de l a r ed backbone del pr oveedor . Luego, una vez
aqu , se emul a l a f unci n de un bridge o switch par a conect ar t odas l as LANs
del cl i ent e. De est a f or ma se emul a, en l a r ed del pr oveedor , una ni ca LAN
ethernet. Est a sol uci n pr ovee un ser vi ci o punt o a mul t i punt o donde l os
routers CE env an t odo el t r f i co, dest i nados a l os ot r os si t i os,
di r ect ament e al router PE.
Est e ser vi ci o se basa en l a ut i l i zaci n de pseudowires, combi nados
en una t opol og a de mal l a compl et a ( full mesh) de i nt er conexi ones ent r e l os
di sposi t i vos PE que par t i ci pan en una VPN det er mi nada. st os l l evan a cabo el
apr endi zaj e de l as di r ecci ones MAC, de l a mi sma f or ma que un switch ethernet
par a r eenvi ar l as t r amas desde un CE a ot r o. As , un CE puede r eenvi ar
t r f i co en una f or ma punt o a mul t i punt o a ot r os CE.
Exi st e un pr obl ema de escal abi l i dad con est e ser vi ci o, y t i ene que
ver con el i ncr ement o de si t i os del cl i ent e. Es necesar i o mant ener en l os PE
un gr an nmer o de di r ecci ones MAC par a el r eenv o de t r amas por si t i o de
cl i ent e.
VPN IPLS
Si se r equi er e i nt er cambi ar t r f i co I P excl usi vament e y l os
di sposi t i vos CE son routers I P, ent onces es posi bl e el ser vi ci o I P sobr e LAN.
Si bi en se t r ansmi t en dat agr amas I P, el mecani smo de r eenv o se basa en
i nf or maci n de encabezado de capa 2.
Dado que el si gui ent e sal t o o hop par a cada dat agr ama I P es ot r o CE,
l as ni cas di r ecci ones MAC que un PE debe apr ender , cuando r eenv a l as t r amas
de capa 2, son aquel l as de l os routers CE. Est o es una vent aj a r espect o del
ser vi ci o VPLS por el r educi do nmer o de di r ecci ones MAC a pr eser var por si t i o
de cl i ent e.
VPN Sitio a Sitio Provistas por el Proveedor de Capa 3 (L3VPN)
Est a cl ase de VPN se basa en t ecnol og as ms est abl es que l as
empl eadas en l as L2VPN, debi do al est udi o y desar r ol l o de l as mi smas. Est o l e
per mi t e al pr oveedor de ser vi ci o t ener mayor segur i dad al moment o de
i mpl ement ar una u ot r a sol uci n.
20
Se pueden di vi di r a su vez en:
VPN basadas en PE: Los di sposi t i vos PE par t i ci pan en el
enr ut ami ent o y r eenv o del t r f i co del cl i ent e basado en el
espaci o de di r ecci ones de l a r ed del cl i ent e. En est e caso l os
CE no par t i ci pan de l a VPN. El t r f i co del cl i ent e se r eenv a
ent r e l os PE a t r avs de t nel es MPLS LSP, I PSec, L2TPv3 o GRE.
VPN basadas en CE: En est e caso l os t nel es son cr eados ent r e
l os equi pos CE, mi ent r as l os PE no par t i ci pan en l a VPN, sol o
r eenv an el t r f i co del cl i ent e. Se ut i l i za I PSec o GRE par a
est abl ecer l os t nel es.
1.2.5 Confiables y Seguras
Est a es una cl asi f i caci n donde se t i ene en cuent a si es o no
necesar i a l a encr i pt aci n y aut ent i caci n de l os dat os a t r ansf er i r ent r e l os
nodos de l a VPN.
Los pr oveedor es que no ut i l i zan encr i pt aci n par a l os dat os de sus
cl i ent es debi do a que ut i l i zan ci r cui t os vi r t ual es de capa 2 se pueden
def i ni r como VPN Confiables. Podemos menci onar l as r edes FRAME RELAY, ATM y
MPLS.
En cambi o en l as VPN Seguras el t r f i co de dat os es aut ent i cado y
encr i pt ado sobr e el backbone del pr oveedor del ser vi ci o. Ut i l i zan l os
pr ot ocol os I PSEC, SSL, L2TP asegur ado medi ant e I PSEC, PPTP asegur ado con
MPPE ( Microsoft Point-to-Point Encryption) .
1.2.6 Overlay y Peer
Las VPN overlay se dan ent r e di sposi t i vos CE, l os di sposi t i vos PE no
par t i ci pan en el enr ut ami ent o de l os cl i ent es de l a r ed, si no que r eenv an
t r f i co de cl i ent es basados en di r ecci onami ent o gl obal ment e ni co, por l o
t ant o no t i ene conoci mi ent o del di r ecci onami ent o ut i l i zado por el cl i ent e.
Los t nel es son conf i gur ados ent r e di sposi t i vos CE usando pr ot ocol os
como I PSec y GRE. Cabe obser var que el model o overlay t i ene ser i os pr obl emas
de escal abi l i dad debi do a que si se cuent a con muchos nodos de egr eso el
nmer o de adyacenci as se i ncr ement a en di r ect a pr opor ci n con el nmer o de
nodos.

21

Figura 1-6 Adyacencias del Ruteo
Pueden ser i mpl ement adas a ni vel de capa f si ca usando l neas
t el ef ni cas ( dialup) , a ni vel de capa 2 ut i l i zando Frame Relay, X- 25 y ATM, o
a ni vel de capa 3 ut i l i zando t nel es I P o GRE.
Con el f i n de cl ar i f i car veamos un ej empl o, l a Fi gur a 1- 6, muest r a
un esquema en el que f i gur an t r es si t i os. Un si t i o se conect a a t r avs de l os
ci r cui t os vi r t ual es VC #1 Y VC #2 con ot r os dos si t i os. Si suponemos que el
si t i o pr i nci pal es Londr es y l os ot r os son Par i s y Zur i ch podr amos ver que
l a per cepci n que poseen l os routers CE es l a que gr af i ca l a Fi gur a 1- 7

22

Figura 1-7 Infraestructura del proveedor

Si son r eempl azados l os di sposi t i vo PE por routers y est os par t i ci pan en
el enr ut ami ent o ent onces es una VPN t i po Peer. Los routers t i enen que poseer
conoci mi ent o del di r ecci onami ent o que ut i l i za el cl i ent e. Est o es necesar i o
debi do a que l as r ut as se i nt er cambi an ent r e di sposi t i vos CE y l os
di sposi t i vos PE. Est as VPN son pr ovi st as por un pr oveedor de ser vi ci os.

Figura 1-8 VPNs tipo Peer

23
En l a Fi gur a 1- 8 podemos obser var que al r eempl azar l os switches por
routers se convi er t e en una VPN t i po Peer.
1.2.7 No Orientadas y orientadas a la conexin
Son or i ent adas o no or i ent adas a l a conexi n dependi endo si el
pr oveedor pr ovee o no ci r cui t os vi r t ual es dedi cados.
Or i ent ada a l a conexi n: Son en l as que pr ovee el pr oveedor un
ci r cui t o vi r t ual dedi cado. Por ej empl o FRAME RELAY y ATM.
No or i ent adas a l a conexi n: Son l as que no poseen un ci r cui t o
vi r t ual . Por ej empl o l as VPN basadas en I P.
1.2.8 VPNs de capa de transporte/aplicacin
El pr ot ocol o SSH ( Secure Shell) desar r ol l ado por Communications
Security Ltd., per mi t e acceder a ot r o di sposi t i vo a t r avs de una r ed
i nsegur a, ej ecut ar comandos a una mqui na r emot a y mover ar chi vos de una
comput ador a a ot r a. Ut i l i zando encr i pt aci n sobr e canal es i nsegur os pr ovee
una f uer t e aut ent i caci n y encr i pt aci n.
Exi st en dos ver si ones i ncompat i bl es ent r e s . Son dos pr ot ocol os
t ot al ment e di f er ent es que usan di st i nt o ci f r ado.

SSH v1 SSH v2
Autenticacin de
sistemas
Ll aves de ser vi dor y cl i ent e
Ll aves de host
Autenticacin Ll aves Cer t i f i cados

SSH2 es una compl et a r eescr i t ur a del pr ot ocol o que l o hace mas
segur o y ut i l i za una i mpl ement aci n de r ed t ot al ment e di st i nt a que SSH1.
Debi do a l a di f er ent e i mpl ement aci n ambos pr ot ocol os son i ncompat i bl es. Por
ej empl o se l o ut i l i za par a asegur ar un t nel PPP. El pr i nci pi o de
f unci onami ent o es el mi smo que el de SSL di f er enci ndose en l a capa en l a que
act an y el mt odo de aut ent i caci n.

SSH SSL
Capa en la que trabaja Apl i caci n Tr anspor t e
Autenticacin Ll aves Cer t i f i cados

Tambi n es posi bl e est abl ecer t nel es en l a capa de apl i caci n. Par a
est o se ut i l i za un browser del l ado del cl i ent e, por l o que no es necesar i o
i nst al ar ni ngn pr ogr ama. La conexi n se r eal i za a un si t i o web segur o
medi ant e el pr ot ocol o HTTPS ( Hypertext Transfer Protocol Secure) .
Adems, exi st en ot r os pr oduct os l os cual es of r ecen una combi naci n
de gr an f l exi bi l i dad, segur i dad y que i nt ent an l ogr ar una conf i gur aci n que
no r equi er a mucho conoci mi ent o. La segur i dad es l ogr ada medi ant e ci f r ado del
t r f i co usando el pr ot ocol o SSL/ TLS.

24
1.2.9 VPN multiservicio
Tr abaj an sobr e MPLS, cuyo sel l o di st i nt i vo es l a cal i dad de ser vi ci o
o QoS ( Quality of Service) . El obj et i vo de est as VPN es i nt egr ar di f er ent es
apl i caci ones en una sol a conexi n: voz, dat os, mul t i medi a, et c.
1.3 APLICACIONES
Las VPN se ut i l i zan en si t uaci ones donde es necesar i o est abl ecer una
comuni caci n en f or ma segur a ut i l i zando un medi o o i nf r aest r uct ur a compar t i da
de t r ansmi si n. Adems de comuni car r edes pr opi as de l a or gani zaci n,
usuar i os mvi l es, t el e t r abaj ador es et c. t ambi n es posi bl e comuni car
di st i nt as or gani zaci ones ent r e s . Est a al t er nat i va sur ge a par t i r de l a
necesi dad de est abl ecer l azos de negoci os, o l a concr eci n de i nt er eses
comunes.
La ext r anet r ef l ej a di chos i nt er eses medi ant e l a i nt er conexi n de
l as r edes de dat os de l as di st i nt as or gani zaci ones. En r eal i dad sol o
compar t en l os r ecur sos necesar i os par a cumpl i r con l os obj et i vos comunes, por
l o que el acceso es par ci al y cont r ol ado.
Fi nal ment e l as VPN se pueden consi der ar como un negoci o con val or
agr egado en l a f or ma de un ser vi ci o. El hecho de que hoy en d a l as
or gani zaci ones dependan f uer t ement e de l as t ecnol og as de i nf or maci n par a
su desenvol vi mi ent o y que sus necesi dades sean di f er ent es, pl ant ea un
mer cado donde l as sol uci ones de comuni caci ones de dat os son casi a l a medi da
del cl i ent e. No exi st e una ni ca sol uci n par a t odos l os t i pos de
or gani zaci ones. Es por est o que l os pr oveedor es de ser vi ci os han sumado a su
of er t a de sol uci ones empr esar i al es, el ser vi ci o de VPN, donde una buena
r el aci n cost o- benef i ci o par a el cl i ent e es posi bl e.
1.3.1 Intranet /Intranet extendida
Una i nt r anet en pr i nci pi o no se r ef i er e a esquemas o t opol og as de
r edes, si no a un conj unt o de cont eni dos y r ecur sos de i nf or maci n que son
accedi dos y compar t i dos en f or ma pr i vada y segur a ent r e mi embr os de una mi sma
or gani zaci n, con el obj et i vo de pr oveer l a l gi ca de negoci o par a l as
apl i caci ones de l a or gani zaci n. Es un medi o, adems, par a l a di f usi n de
i nf or maci n i nt er na, per mi t i endo que l os empl eados est n al t ant o de l o que
sucede en su mbi t o l abor al de una maner a ef i ci ent e.
Una car act er st i ca f undament al de l as i nt r anet s, es el hecho que su
f unci onami ent o se basa en t ecnol og as que i mpl ement an est ndar es abi er t os,
t ant o en l os pr ot ocol os de comuni caci n como en aquel l os pr ot ocol os a ni vel
de apl i caci n. Es deci r , ut i l i zan l a t ecnol og a de Internet. En par t i cul ar el
uso de l a sui t e TCP/ I P par a l a comuni caci n y a ni vel de apl i caci n l os
pr ot ocol os: HTTP, FTP, SMTP, POP3, LDAP, et c.
La cl ase de apl i caci ones que se pueden encont r ar en una i nt r anet van
desde el ser vi ci o de cor r eo el ect r ni co, hast a si st emas de i nf or maci n
basados en web, si st emas de mensaj er a i nst ant nea y col abor at i vos, si st emas
de vi deoconf er enci a y comuni caci ones de voz medi ant e I P ( VoI P) . El acceso y
mani pul aci n de l a i nf or maci n, medi ant e est os si st emas se encuent r a
r est r i ngi do, por l o t ant o t ambi n exi st en si st emas que per mi t en aut ent i car y
aut or i zar a l os di f er ent es usuar i os de l a or gani zaci n.
25
Una VPN si r ve par a expandi r el al cance de una i nt r anet . La
pr i vaci dad que apor t a una r ed pr i vada vi r t ual br i nda l a segur i dad par a
acer car l a i nt r anet a l os di f er ent es si t i os o r edes de dat os que i nt egr an l a
or gani zaci n l ogr ando su i nt er conexi n a t r avs de Internet y/ o l as r edes
backbone de l os pr oveedor es de ser vi ci o.
La i nt r anet deber a est ar di sponi bl e par a aquel l os usuar i os de l a
or gani zaci n cuyo r ol r equi er e movi l i dad y est ar f uer a de l os l mi t es de l a
mi sma, por l o t ant o f uer a de l a r ed de dat os. Es necesar i o que est os usuar i os
mvi l es est n conect ados par a acceder a aquel l os r ecur sos o dat os que l a
i nt r anet pone a di sposi ci n. Las r edes di st ant es pr opi as que pueden
i nt er conect ar se y l os usuar i os mvi l es que pueden t ener acceso se denomi nan,
en su t ot al i dad, una i nt r anet ext endi da.
1.3.2 Extranets
Una ext r anet es un conj unt o de i nt r anet s de or gani zaci ones
di f er ent es que se i nt er conect an ent r e s par a cumpl i r con obj et i vos comunes.
Est a r el aci n est a bi en def i ni da y es est abl eci da baj o un est r i ct o cont r ol
del acceso. Se puede def i ni r t ambi n como l a i nt er secci n de un gr upo de
i nt r anet s de var i as empr esas, l o cual i ndi ca que sol o se compar t e una por ci n
de l a i nt r anet haci a el r est o de l a ext r anet .
Por ot r o l ado Internet es el medi o comn que r esuel ve pr obl emas de
i ncompat i bi l i dad ent r e si st emas de empr esas muy di f er ent es. Es deci r , of r ece
una i nt er f az comn que per mi t e una i nt er acci n di f ci l de l ogr ar con ot r as
t ecnol og as. Por l o t ant o, como en el caso de l as i nt r anet s, adopt an l as
t ecnol og as basadas en est ndar es abi er t os pr opi as de Internet par a l ogr ar
comuni caci n dent r o de l a ext r anet .
Una ext r anet puede t ener un i mpact o not abl e en l as r el aci ones e
i nt er r el aci ones con l as dems empr esas que l a i nt egr an. De hecho puede
modi f i car not abl ement e l a posi ci n de l a or gani zaci n f r ent e a sus cl i ent es y
compet i dor es. Por est a r azn l a deci si n de su i mpl ement aci n debe r esponder
a f i nes est r at gi cos, por l o cual deber ser t omada por l a al t a ger enci a de
l a or gani zaci n.
Las VPNs son l a f or ma ms ef ect i va de i mpl ement ar l as ext r anet s, ya
que pueden hacer uso de Internet par a l ogr ar l a i nt er conexi n de l os
di f er ent es si t i os. Nuevament e l os punt os ms i mpor t ant es a consi der ar son l a
segur i dad en cuant o al acceso sol o de l os usuar i os aut or i zados medi ant e
mecani smos de aut ent i caci n, como t ambi n el t r anspor t e a t r avs de l a
encapsul aci n y encr i pt ado de l os dat os. Como se ha vi st o en est e cap t ul o,
exi st en di ver sos pr ot ocol os de t nel ut i l i zados en VPNs, l os cual es se
apl i can obvi ament e en l as ext r anet s. Al gunos de el l os como I PSec, encapsul an
l os paquet es or i gi nal es y encr i pt an l a i nf or maci n sensi bl e, ot r os como PPTP
y L2TP se val en de I PSec par a br i ndar l a conf i denci al i dad.
1.3.3 Servicio VPN provisto por un proveedor
Las cor por aci ones y or gani zaci ones dependen cada vez ms de l as
t el ecomuni caci ones y r edes de dat os. Es muy i mpor t ant e l a i nt er conexi n de
r edes pr opi as en di f er ent es si t i os. Est a necesi dad f ue r esuel t a por
pr oveedor es de ser vi ci os de t el ecomuni caci ones, pr i nci pal ment e a t r avs de
conexi ones Frame Relay, ATM y ms r eci ent ement e medi ant e ethernet y t nel es
basados en I P.
26
Est as or gani zaci ones, r equi er en con ms f r ecuenci a, ser vi ci os de
conect i vi dad sobr e uno o ms backbones, i ncl uso a t r avs de Internet, per o
que est e ser vi ci o i ncl uya cont r at os de ni vel de ser vi ci o ( Ser vi ce Level
Agr eement ) , cal i dad de ser vi ci o ( QoS) , y ot r os par met r os que per mi t an una
comuni caci n segur a, est abl e, con al t o gr ado de di sponi bi l i dad, con un umbr al
de ancho de banda, con pr i or i zaci n de t r f i co, et c.
Est as car act er st i cas son di f ci l es de l ogr ar cuando l a comuni caci n
ent r e si t i os debe at r avesar r edes de di f er ent es pr oveedor es ms l a Internet,
es deci r un ent or no compar t i do y de nat ur al eza no or i ent ada a l a conexi n.
Las VPN per mi t en una comuni caci n segur a y pr i vada medi ant e l a
encapsul aci n y encr i pt aci n. Es deci r , a sl an el t r f i co de dat os pr i vados
de una or gani zaci n del r est o con el cual pueda compar t i r un canal de
comuni caci n. Act ual ment e l a r el aci n cost o- benef i ci o en l a i mpl ement aci n de
est e mecani smo ha det er mi nado l a conveni enci a de l a cont r at aci n del ser vi ci o
a pr oveedor es, en l ugar de l a puest a en f unci onami ent o y cont r ol por par t e de
l a pr opi a or gani zaci n.
Par a poder di f er enci ar y ai sl ar l os t r f i cos per t eneci ent es a var i os
cl i ent es, el pr oveedor ut i l i za conexi ones de capa 2 ( VPNs t r adi ci onal es) o
t nel es de capa 2 o 3. Par a el caso de conexi ones a t r avs de Internet, l as
VPN se han basado en I PSec par a br i ndar l a mayor segur i dad.
El concept o de ser vi ci o VPN pr ovi st o por el pr oveedor debe sopor t ar
l os t i pos t r adi ci onal es de VPN, adems debe f unci onar con l as cl ases de
pr oveedor def i ni dos en el cap t ul o 1, adems de Internet: ni co pr oveedor ,
conj unt o de pr oveedor es y pr oveedor de pr oveedor es.
Exi st en r equer i mi ent os gener al es par a est a cl ase de VPNs, un
anl i si s det al l ado se expr esa en l a RFC 3809
7
. Est os r equer i mi ent os pueden
cl asi f i car se en:
Requerimientos del servicio: at r i but os del ser vi ci o que el
cl i ent e puede obser var o medi r , por ej empl o: di sponi bi l i dad y
est abi l i dad, gar ant as de segur i dad, ser vi ci o de t r amas o
dat agr amas.
Requerimientos del proveedor: car act er st i cas que el pr oveedor
eval a par a det er mi nar l a vi abi l i dad en t r mi nos de l a r el aci n
cost o- ef ect i vi dad del ser vi ci o, por ej empl o escal abi l i dad y
gr ado de admi ni st r aci n
Requerimientos de Ingeniera: car act er st i cas de i mpl ement aci n
que per mi t en cumpl i r con l os r equer i mi ent os del pr oveedor y del
ser vi ci o. Est os a su vez pueden cl asi f i car se en:
Requerimientos en el plano de reenvo: asoci ados a l os
mecani smos de r eenv o de dat os.
Requerimientos en el plano de control: asoci ados al mecani smo
de di st r i buci n de l a i nf or maci n de enr ut ami ent o.
Requer i mi ent os r el aci onados a l a uni f or mi dad de l os mecani smos
en est a cl ase de VPN r espect o de ot r os esquemas y en gener al con
l a f or ma de oper aci n de Internet.

7
RFC 3809 - Generic Requirements for Provider Provisioned Virtual PrivateNetworks
27
Calidad de servicio (QoS) y Acuerdos de nivel de servicio (SLA)
En gener al cal i dad de ser vi ci o se r ef i er e a l a habi l i dad de br i ndar
ser vi ci os de r edes y comuni caci ones de acuer do a un conj unt o de par met r os
especi f i cados un cont r at o de ni vel de ser vi ci o o SLA. La cal i dad est a
car act er i zada por l a di sponi bi l i dad del ser vi ci o, t asa de demor a, de
var i aci n de l a demor a ( jitter) , t asa de pr oceso de paquet es ( throughput) , de
pr di da de paquet es. En par t i cul ar , y desde una per spect i va de r ecur so de
r ed, cal i dad de ser vi ci o se r ef i er e a un conj unt o de her r ami ent as que
per mi t en a un pr oveedor de ser vi ci o pr i or i zar t r f i co, cont r ol ar el ancho de
banda y l a demor a en l a r ed. Exi st en dos maner as de l ogr ar l o en r edes I P,
medi ant e Ser vi ci os I nt egr ados y a t r avs de Ser vi ci os Di f er enci ados
8

El mbi t o en el cual un ser vi ci o VPN cumpl e con cal i dad de ser vi ci o
depender del pr oveedor de ser vi ci o. En l a mayor a de l os casos de VPN
def i ni da en el si st ema aut nomo de un ni co pr oveedor es posi bl e cumpl i r con
est e r equer i mi ent o. El sopor t e de QoS en ambi ent es de mul t i pr oveedor es o
di ver sos si st emas aut nomos est ar en f unci n de l os acuer dos de cooper aci n
ent r e l os i nvol ucr ados en l a pr ovi si n del ser vi ci o y de que t odos ut i l i cen
l os mi smos mecani smos. Es deci r que l os di sposi t i vos CE y/ o PE ej ecut en al
menos f or mat eo y apl i quen pol t i cas al t r f i co ( shaping y policing) .
La necesi dad de apl i car cal i dad de ser vi ci o ocur r e pr i nci pal ment e en
l a r ed de acceso al backbone del pr oveedor y no en el i nt er i or del mi smo, de
hecho QoS sobr e l as conexi ones PE a PE no son un i nconveni ent e. En cuant o a
l a cal i dad de ser vi ci o en el acceso, se pueden di st i ngui r dos enf oques:
Desde el CE a t r avs de l a r ed de acceso al PE
Desde el PE a t r avs de l a r ed de acceso al CE
Los di sposi t i vos CE y PE deber an poder sopor t ar QoS si n i mpor t ar
l a t ecnol og a de acceso ya sea de capa 2 o 3: ci r cui t os vi r t ual es ATM y Frame
Relay, acceso basado en MPLS, DSL et c. Se pueden di st i ngui r dos model os de
ser vi ci o par a QoS:
Servicio de administracin del acceso: est e pr ovee QoS sobr e el
acceso ent r e CE y l os puer t os del l ado de cl i ent e en el PE. No
es r equer i do en el ncl eo del backbone.
QoS borde a borde: br i nda QoS sobr e el backbone del pr oveedor ,
ya sea ent r e par es de di sposi t i vos CE o par es de PE, dependi endo
de l os l mi t es del t nel .
Un acuer do de ni vel de ser vi ci o SLA ( Service Level Agreement) es una
document aci n donde se expr esan l os r esul t ados de una negoci aci n ent r e un
cl i ent e y un pr oveedor de ser vi ci os. En est e document o se especi f i can l os
ni vel es de di sponi bi l i dad, per f omance, ni vel de ser vi ci o, f or ma de oper aci n
y ot r os at r i but os del ser vi ci o.
A par t i r de un SLA se pueden det er mi nar obj et i vos de ni vel de
ser vi ci o o SLO ( Service Level Objective) , consi der ando mt r i cas i ndi vi dual es
con l os val or es deseados e i nf or maci n oper aci onal par a cont r ol ar el SLA.
Est as se pueden i mpl ement ar se como pol t i cas.

8
RFC 1633 - Integrated Services; RFC 2475 - Differentiated Service
28
Una especi f i caci n de ni vel de ser vi ci o o SLS ( Service Level
Specification) engl oba a l as dos ant er i or es, es deci r especi f i ca un acuer do
negoci ado y l as mt r i cas i ndi vi dual es y dat os oper aci onal es, par a gar ant i zar
l a cal i dad de ser vi ci o del t r f i co de r ed par a ese cl i ent e. Una SLS puede
def i ni r se sobr e l a base de l os si gui ent es obj et i vos y par met r os, l os cual es
se pueden consi der ar sobr e l a base de conexi ones a l a r ed de acceso, VPNs o
si t i os:
Di sponi bi l i dad del si t i o, VPN o conexi n de acceso.
Dur aci n de l os i nt er val os de no di sponi bi l i dad del ser vi ci o.
Ti empo de act i vaci n del ser vi ci o.
Ti empo de r espuest a par a l a r esol uci n de un pr obl ema.
Ti empo de avi so de un i nconveni ent e.
Li mi t es par a l a var i aci n del delay y jitter.
El si st ema de admi ni st r aci n y moni t or eo del pr oveedor deber medi r
y gener ar r epor t es r espect o si l as per f omance medi da cumpl e o no l os
obj et i vos de l a SLS. Muchas veces el ni vel gar ant i zado par a l os par met r os de
l os obj et i vos de ni vel de ser vi ci o, dependen del al cance de l a VPN, por
ej empl o ci er t os ni vel es pueden ser gar ant i zados en el mbi t o de un sol o
si st ema aut nomo, mi ent r as que ot r o, an ms est r i ct o, se puede cumpl i r en
un domi ni o de un ni co pr oveedor per o con var i os si st emas aut nomos baj o su
car go. En un escenar i o mul t i pr oveedor es ms di f ci l cumpl i r con aquel l os
par met r os que r equi er an un al t o gr ado de cumpl i mi ent o, por ej empl o el
r equer i mi ent o de QoS.
29

CAP TULO 2
ARQUI TECTURAS, CLASI FI CACI N
Y PROTOCOLOS
2
30
2.1 INTRODUCCIN A LAS ARQUITECTURAS DE VPN
Las di st i nt as i nf r aest r uct ur as de r ed y l os di st i nt os r equer i mi ent os
exi gen di ver sos t i pos de ar qui t ect ur a de r edes VPNs. Deber amos r eal i zar nos
ci er t os cuest i onami ent os par a escoger cual es l a que mej or se adapt a a
nuest r as necesi dades. Podr amos menci onar l os si gui ent es:
Se posee con el per sonal cal i f i cado como par a i mpl ement ar l as
t ecnol og as necesar i as o l as sol uci ones exi st ent es en el mer cado
pr opor ci onadas por un pr oveedor pueden ser una mej or sol uci n?
Cual es l a i nt er oper at i vi dad de l a ar qui t ect ur a con nuest r a
i nf r aest r uct ur a de r ed act ual ?
Es r equi si t o i ndi spensabl e comuni car nos con l os cl i ent es y/ o
pr oveedor es?
Ser f ci l ment e act ual i zabl e par a nuest r os f ut ur os r equer i mi ent os
en cuant o a escal abi l i dad, segur i dad, f aci l i dad de act ual i zaci n y
f l exi bi l i dad?
Sopor t a conf er enci a en r ed y mul t i medi a?
El equi po act ual sopor t ar a l a car ga nueva del pr ocesami ent o de l a
VPN o t endr que adqui r i r har dwar e?
Los ahor r os son el ni co pr opsi t o o qui er o i mpl ement ar ser vi ci os
con val or agr egado?
Cunt os usuar i os t endr an en l a act ual i dad y cual ser i a su
cr eci mi ent o f ut ur o?
Al contestar est as pr egunt as y al gunas que puedan sur gi r al
cuest i onar se cul es son sus obj et i vos se podr empezar a l i mi t ar l as
di st i nt as sol uci ones que podr i mpl ement ar y mant ener con el t r anscur so del
paso del t i empo.
31
2.1.1 Componentes de una Red Privada Virtual
Los component es que f or man una Red Pr i vada Vi r t ual se pueden
obser var en l a Fi gur a 2- 1

Figura 2-1 Componentes
Una sol uci n de VPN se compone de var i os el ement os, l os cual es se
det al l an a cont i nuaci n:
2.1.2 Hardware
El har dwar e es muy var i ado, l o i nt egr an ser vi dor es, PC y notebooks,
netbooks, routers, gateways y switches.
Las f unci ones que t i enen asi gnadas el ser vi dor son:
Esper ar por l os pedi dos de conexi n
Negoci ar l as conexi ones, ent r e ot r os l a encr i pt aci n y
aut ent i caci n.
Aut ent i car y aut or i zar a l os cl i ent es VPN.
Reci bi r dat os del cl i ent e y envi ar l e l os pedi dos por l .
Tambi n puede act uar como VPN gateway o VPN router.
El cl i ent e gener al ment e se ej ecut a en un equi po de un empl eado en su
hogar ( t el e t r abaj o) , en una notebook, netbook o palmtops en al gn si t i o
usando Internet o una r ed pbl i ca.
Tambi n puede r eal i zar se t ar eas admi ni st r at i vas, en gener al son
admi ni st r ador es r emot os que r eal i zan t ar eas de conf i gur aci n, moni t or eo y de
gest i n.
32
Par a t ener un mej or r endi mi ent o se r ecomi enda ut i l i zar har dwar e
espec f i co como pueden ser routers que se encuent r an opt i mi zados par a l as
t ar eas de VPN o se puede adi ci onar pl acas a routers exi st ent es par a dot ar l os
con l a capaci dad f si ca y l os pr ot ocol os necesar i os par a l a encr i pt aci n y
aut ent i caci n.
2.1.3 Seguridad de la infraestructura
Const a de al gunos de l os si gui ent es el ement os:
Firewall
El firewall pr ot ege a l a i nt r anet de at aques ext er nos. En l a Fi gur a
2- 2 se puede obser var l a ubi caci n del f i r ewal l en una or gani zaci n con
enl ace a Internet.

Figura 2-2 Firewall
NAT
Los di sposi t i vos que r eal i zan NAT ( Network Address Translation)
per mi t en conect an di sposi t i vos a ot r a r ed si n dar a conocer l as ver dader as I P
de l os equi pos. Est e mecani smo se basa en el r eempl azo de l a di r ecci n I P
or i gen o dest i no r eal por ot r as di r ecci ones I P. Est o per mi t e economi zar
di r ecci ones I P, al r eempl azar var i as di r ecci ones I P pr i vadas de or i gen por
una ni ca di r ecci n I P pbl i ca asoci ada a l a conexi n a Internet. En l a
act ual i dad est e mecani smo se encuent r a i mpl ement ado por def ect o en l os
routers.
Servidores de autenticacin
Los ser vi dor es de aut ent i caci n of r ecen mecani smos de aut ent i caci n
y aut or i zaci n par a aut ent i caci n r emot a.
Est os pueden per t enecer a l a or gani zaci n o puede ser un ser vi ci o
dado por el pr oveedor j unt o con el NAS. La Fi gur a 2- 3 descr i be est as dos
opci ones en el mi smo gr af i co.

33

Figura 2-3 Servidores de Autenticacin
Arquitectura AAA
AAA ( Authentication Authorization Accounting) es un mecani smo de
aut ent i caci n y aut or i zaci n, puede ser i mpl ement ado medi ant e l os pr ot ocol os
RADI US ( Remote Authentication Dial-In User Server) o TACACS ( Terminal Access
Controller Access Control System) con el obj et i vo de br i ndar un ni vel ms de
segur i dad. Ti ene l a capaci dad de r econocer qui en accede a l a r ed, y saber a
que r ecur sos puede acceder y puede moni t or ear qui en r eal i za que cosas en que
l ugar .
El mecani smo AAA f unci ona en conj unt o con el ser vi dor NAS que act a
como proxy. Est e consul t a al ser vi dor RADI US/ TACACS y per mi t e o deni ega el
acceso segn cor r esponda.
2.1.4 Infraestructura de soporte para el servicio del proveedor
I ncl uye l os di sposi t i vos que componen el backbone y el backbone de
Internet. El backbone del pr oveedor deber a ser capaz de dar sopor t e a
di st i nt as t ecnol og as como Frame Relay, ATM, I P, I P Mul t i cast , Voice over I P
y t ambi n pr ot ocol os de t nel . Ser a r ecomendabl e que sopor t e cal i dad de
ser vi ci o. Par a que br i nde al t os ni vel es de segur i dad t endr a que sopor t ar
I PSec y br i ndar ser vi ci o AAA.
Ser a r ecomendabl e el sopor t e de pr ot ocol os de enr ut ami ent o como RI P
( Routing Information Protocol) , OSPF ( Open Shortest Path First) , EGP
( Exterior Gateway Protocol) y BGP ( Border Gateway Protocol) .
2.1.5 Redes Pblicas
Las r edes pbl i cas que podemos menci onar son Internet y l a r ed
t el ef ni ca di gi t al que per mi t e br i ndar el ser vi ci o de DSL ( Digital Suscriber
Line), FRAME RELAY y ATM y l a anal gi ca que sopor t e vel oci dad de hast a
56Kbps.

34
2.1.6 Tneles
Est os pueden est ar basados en pr ot ocol os como PPTP, L2TP, L2F e
I PSec. En est e cap t ul o y en el si gui ent e se t r at ar n con ms det al l e est os
pr ot ocol os.
2.2 ARQUITECTURAS
Exi st en muchas f or mas de combi nar l os di st i nt os el ement os que
componen una VPN. Est o or i gi na que exi st an di st i nt as ar qui t ect ur as que se
cl asi f i can de l a si gui ent e maner a:
2.2.1 Basadas en software
Es un pr ogr ama par a est abl ecer t nel es o ci f r ado a ot r o anf i t r i n.
En el caso de no r esi di r en el firewall, se debe conf i gur ar est e par a que
per mi t a l a comuni caci n haci a y desde el ext er i or al equi po en que r esi da el
software.
Est e software puede ser abi er t o ( Open Source) o pr opi et ar i o. La
desvent aj a que posee el pr opi et ar i o es que el pr oveedor puede desapar ecer o
ser adqui r i do por ot r a empr esa y se dej a de pr oduci r act ual i zaci ones de
segur i dad o de agr egado de f unci onal i dad.
El Open Source t i ene l a vent aj a de su cost o de adqui si ci n, per o
puede ser necesar i o t ener per sonal capaci t ado o r eal i zar un cont r at o anual
par a t ener sopor t e con al gn pr oveedor .
2.2.2 Basadas en la Implementacin
Dependen de qui en es el r esponsabl e de l a i mpl ement aci n de l a VPN y
su admi ni st r aci n. Exi st en dos cat egor as y una t er cer a que es una
combi naci n de l as ot r as dos.
Dependiente
El pr oveedor del ser vi ci o es el r esponsabl e de pr oveer una sol uci n
l l ave en mano. La pr i nci pal vent aj a es que l a or gani zaci n no debe cambi ar su
i nf r aest r uct ur a y no necesi t a per sonal con conoci mi ent os en admi ni st r aci n de
VPN par a su gest i n.
La mayor desvent aj a sur ge en el mbi t o de l a segur i dad. Es
r ecomendabl e que l a or gani zaci n use una i nf r aest r uct ur a AAA y firewall y
est ar a car go de su admi ni st r aci n.
Independiente
En est a cat egor a t oda l a r esponsabi l i dad de l a i mpl ement aci n es de
l a or gani zaci n. La encr i pt aci n, aut ent i caci n y aut or i zaci n est a dada por
el ement os de l a pr opi a I nt r anet . El pr oveedor puede dar el ser vi ci o de
Internet. Como desvent aj a se puede menci onar que se debe poseer per sonal
capaci t ado en est as t ecnol og as

35
Hbrida
Est a cat egor a es una combi naci n de l as cat egor as ant er i or ment e
menci onadas. Una par t e de l a admi ni st r aci n es r eal i zada por l a or gani zaci n
y ot r a por el pr oveedor . Una ar qui t ect ur a que se puede t ener en cuent a es l a
que muest r a l a Fi gur a 2- 4 en l a que se puede obser var que exi st en var i os
pr oveedor es de ser vi ci os. La vent aj a es que si exi st e pr obl emas con un
pr oveedor se puede segui r conect ado a l os si t i os que sean admi ni st r ados por
l os ot r os pr oveedor es. Pr ovee una mej or di sponi bi l i dad.
Est e acer cami ent o t i ene l a desvent aj a de que es compl ej a l a
admi ni st r aci n.

Figura 2-4 Basada en la Implementacin (Hibrida)
2.2.3 Basada en Seguridad
Se podr an menci onar cuat r o cat egor as:
Router a Router
Fi r ewal l a f i r ewal l
Tnel es baj o demanda
Tnel es Mul t i pr ot ocol o baj o demanda
Router a Router
Tneles bajo demanda: El t nel es est abl eci do ent r e dos routers que se
encuent r an en l a conexi n en el l ado del cl i ent e y en el l ado del ser vi dor .
Puede sopor t ar ml t i pl es conexi ones si mul t neament e y per si st en hast a que l a
l t i ma conexi n es t er mi nada. Los routers deben sopor t ar i nt er cambi o de
cl aves y al gor i t mos de encr i pt aci n. La Fi gur a 2- 5 muest r a como se
r el aci onan l os component es baj o est a ar qui t ect ur a.
36

Figura 2-5 Tneles bajo demanda (Router a Router)
Tneles multiprotocolo bajo demanda: Es si mi l ar a routers baj o demanda con
l a par t i cul ar i dad que l os routers sopor t an var i os pr ot ocol os de t nel . Ti ene
l a par t i cul ar i dad de que pueden t r ansf er i r dat os no- I P a t r avs de l a r ed
pbl i ca.
Sesiones encriptadas bajo demanda: Cada sesi n es encr i pt ada en f or ma
i ndi vi dual . Ti ene un t nel di st i nt o par a cada pedi do ent r e l os routers como
gr af i ca l a Fi gur a 2- 6. La desvent aj a es que est o gener a una gr an sobr ecar ga.

Figura 2-6 Sesiones encriptadas bajo demanda
Firewall a Firewall
Const a de t nel es baj o demanda y t nel es mul t i pr ot ocol o baj o
demanda. A cont i nuaci n dar emos un br eve det al l e.
Tneles bajo demanda
Es si mi l ar a router a router con t nel baj o demanda, con l a
par t i cul ar i dad que se r eempl azan l os routers por f i r ewal l s. Es ms segur o y
per mi t e que se puedan i mpl ement ar audi t or i as mas compl ej as.
37

Figura 2-7 Tneles bajo demanda (Firewall a Firewall)
Tneles multiprotocolo bajo demanda
Gener al ment e se ut i l i zan L2TP asegur ado con I PSec gr aci as a su
car act er st i ca mul t i pr ot ocol o.

2.2.4 Iniciadas por el cliente
Cliente a Firewall/Router
Se negoci a l a sesi n ent r e el cl i ent e y el firewall/router. st e
debe sopor t ar el pedi do del cl i ent e de i ni ci o de sesi n. El cl i ent e debe
poder comuni car se con el si st ema oper at i vo cor r espondi ent e.
Cliente a Server
El ser vi dor VPN se encuent r a dent r o de l a i nt r anet cor por at i va, en
vez de cumpl i r l as f unci ones de ser vi dor VPN y firewall/Router.
Es ms segur o que el ant er i or por que el pr oveedor de ser vi ci os
i gnor a l a exi st enci a del t nel .
2.2.5 Dirigidas
Los dat os son encr i pt ados en el capa 5 del Model o OSI . Es deci r en
l a capa de sesi n. El pr ot ocol o ms ut i l i zado en socks 5. Los t nel es son
uni di r ecci onal es. El cont r ol de acceso puede ut i l i zar el i dent i f i cador del
usuar i o, hor a, apl i caci n y hast a el cont eni do del paquet e.
La capa de sesi n sopor t a una mayor var i edad de mecani smos de
encr i pt aci n. La Fi gur a 2- 8 muest r a l a di st r i buci n de l os component es.
2.2.6 Basado en la capa
Depende en que capa del model o OSI se encuent r a conf i gur ada l a Red
Pr i vada Vi r t ual . Puede ser en l a capa de r ed o l a capa de enl ace.
38

Figura 2-8 Dirigida
Capa de Enlace
Se pueden di vi di r en:
Conexi n Frame Relay: La pr i nci pal vent aj a es que pr ovee el CI R
( Committed Information Rate) .
Conexi ones vi r t ual es ATM.
Mul t i Pr ot ocol o sobr e ATM ( MPOA)
MPLS
Capa de Red
Est os model os ya f uer on expl i cados cuando se desar r ol l o el t ema de
l a Cl asi f i caci n de VPNs en el cap t ul o ant er i or . Por l o t ant o sol o l as
menci onar emos. Un t i po son l as Redes Pr i vadas t i po Peer y el ot r o son l as
Redes Pr i vadas t i po Overlay.
En est e ni vel se pueden usar l os pr ot ocol os de capa 2 PPTP y L2TP.
Tambi n se puede ut i l i zar I PSec.
2.2.7 Basada en Clases
Est as ar qui t ect ur as se basan en l a compl ej i dad de l a conf i gur aci n
de l a VPN y del t amao. Exi st en 5 cl ases que van de l a 0 a l a 4. Fue
pr opuest a por VPN Technol ogi es.
En l a Tabl a 2- 1, podr emos obser var l as cl ases y sus car act er st i cas.

39
2.2.8 Basada en Caja Negra
Consi st e en un di sposi t i vo que cont i ene software de ci f r ado que se
ej ecut a en un equi po del cl i ent e. Se pr esupone que est os di sposi t i vos de
har dwar e cr ean t nel es ms r pi dos baj o demanda y ej ecut an el pr oceso de
ci f r ado con mayor r api dez. Of r ecen una admi ni st r aci n cent r al i zada.
Es aconsej abl e que sopor t en l os pr ot ocol os par a est abl eci mi ent o de
t nel es PPTP, L2TP e I PSec. En gener al est e di sposi t i vo se encuent r a det r s
del firewall.
2.2.9 Basada en Acceso Remoto
En est a ar qui t ect ur a exi st e un software que se ej ecut a en un equi po
r emot o que qui er e est abl ecer una conexi n a t r avs de una r ed pbl i ca con un
t nel ci f r ado al ser vi dor i nt er no de l a or gani zaci n o de una l nea de acceso
t el ef ni ca haci a un ser vi dor de aut ent i caci n. El ser vi dor puede ser un
router, un firewall, una caj a negr a o un ser vi dor de aut ent i caci n
i ndependi ent e.
2.2.10 VPN mltiple servicios
Son apl i caci ones mul t i ser vi ci os que son gener adas por pr oveedor es.
Por ej empl o pueden dar el ser vi ci o de f i l t r ado de cont eni do web y l a r evi si n
ant i vi r us. El pr i mer o se suel e aadi r a un firewall par a que pueda ut i l i zar
r egl as par a el acceso basado en el cont eni do.
40

Clase
N
Software Protocolos
Utilizados
Seguridad Acceso Caractersticas
0 Como m ni mo
si st ema
oper at i vo
Wi ndows
95/ 98
PPTP Fi l t r ado de paquet es
of r eci do por un
Gateway, f i r ewal l o
router
DSL
T1
No sopor t a si t i o a
si t i o
1 I PSec
DES
I KE

Al gn mecani smo de
Aut ent i caci n de
Usuar i os
1 Gateway
T1
T3
Sopor t a:
20 sucur sal es
250 usuar i os r emot os
Sopor t a si t i o a si t i o
y acceso r emot o
Par a poder
i mpl ement ar una
ext r anet est a debe
sopor t ar I PSec
2 Sof t de
mar caci n y
de acceso
r emot o.
I PSec
3DES
I KE

Ut i l i za Token
5 VPN Gateway o 1
gateway que sopor t e
500 usuar i os
concur r ent es
AAA, RADI US, TACACS,
NAT y f i r ewal l
Sopor t a:
10 a 100 si t i os
r emot os
500 usuar i os r emot os
si t i o a si t i o y
acceso r emot o
3 Sof t de
mar caci n y
de acceso
r emot o
X. 500
LDAP
I PSec
3DES
I KE

Token y smar t car ds
20 VPN Gateway o 1
gateway que sopor t e
1000 sesi ones
si mul t aneas
NAT y f i r ewal l
Ser vi ci o de
cer t i f i cados pr opi o
Es
necesar i o
cal i dad de
ser vi ci o en
cuant o a
r et ar do
I SDN
Xdsl
T1
T3
Sopor t a:
Ci ent os de si t i os
r emot os y mi l es de
usuar i os r emot os
Ext r anet
usuar i os r emot os y
si t i o a si t i o
Vi deoconf er enci a
Ti ene l a desvent aj a
que es compl ej a l a
admi ni st r aci n,
conf i gur aci n e
i mpl ement aci n
4 Sof t de
mar caci n y
de acceso
r emot o
LDAP
I PSec
3DES
I KE

Token y smar t car ds
10 a 20 gateway o 1
que sopor t e 5000
conexi ones
si mul t aneas
NAT y f i r ewal l
Ser vi ci o de
cer t i f i cados pr opi o
I SDN
Xdl s
T3
OC3
Sopor t a:
Mi l es de si t i os
r emot os
10000 usuar i os
r emot os
Ext r anet , si t i o a
si t i o, usuar i os
r emot os
Comer ci o el ect r ni co
Audi o y vi deo en
t i empo r eal
Posee l a desvent aj a
que necesi t a
pr of esi onal es
al t ament e capaci t ados
Tabla 2-1 VPNs basadas en Clases
41
2.3 PROTOCOLOS DE TNEL
Un pr ot ocol o de t nel es un mecani smo par a encapsul ar un PDU
9

denomi nado de car ga o nat i vo. Se agr ega un encabezado al PDU de car ga pr opi o
del pr ot ocol o de t nel . Fi nal ment e est e nuevo PDU se debe ent r egar a su
dest i no f i nal medi ant e un pr ot ocol o de t r anspor t e o env o, por l o que es
necesar i o agr egar el encabezado cor r espondi ent e a est e l t i mo.
Est a cl ase de pr ot ocol os se ut i l i zan par a el env o de dat os de un
det er mi nado pr ot ocol o a t r avs de una r ed que sopor t a uno di f er ent e o
i ncompat i bl e. Tambi n se usan cuando es necesar i o asegur ar l os dat os de car ga
medi ant e al gn mt odo de encr i pt aci n. Ot r o uso ext endi do es r esol ver
pr obl emas de espaci o de di r ecci ones par a l os dat os a t r ansmi t i r , por ej empl o
cuando medi ant e el uso de un espaci o de di r ecci onami ent o pbl i co se env an
paquet es con di r ecci ones pr i vadas.

Figura 2-9 Funcionamiento de un Tnel
Un t nel es un medi o par a r eenvi ar dat os a t r avs de una r ed desde
un nodo a ot r o, como si ambos est uvi er an conect ados en f or ma di r ect a. Luego
de l os encapsul ami ent os, el PDU r esul t ant e es r eenvi ado por nodos i nt er medi os
basados en l a i nf or maci n del encabezado ext er no si n t ener en cuent a el
cont eni do or i gi nal del paquet e.
La Fi gur a 2- 9, muest r a dos nodos A y B que se comuni can medi ant e
el t nel ent r e l os nodos Wy Z. Est os l t i mos se denomi nan nodos de i ngr eso y
de egr eso r espect i vament e. Los dat os or i gi nal es ent r e A y B son modi f i cados
agr egndol es un encabezado que per mi t e r eenvi ar l os a t r avs del t nel . Los
nodos i nt er medi os X e Y sol o par t i ci pan del pr oceso de t r anspor t e, per o no
t i enen acceso a l a i nf or maci n or i gi nal pr opi a de l a comuni caci n ent r e A y
B. Cuando el paquet e l l ega al ext r emo f i nal o nodo de egr eso Z, del t nel ,
est e l e saca el encabezado ext er i or y r eenv a el paquet e al dest i no r eal , el
nodo B.
La ut i l i zaci n de t nel es per mi t e l a separ aci n del t r f i co de
dat os de var i as VPNs y del t r f i co cor r espondi ent e a l a r ed del pr oveedor o
de Internet. Est o si gni f i ca que el espaci o de di r ecci ones ut i l i zado por l os
di sposi t i vos i nvol ucr ados en l a VPN f or ma par t e de l os dat os que se env an
por l os t nel es si n modi f i caci n, an si se usa Internet par a su t r anspor t e.

9
Unidad de datos de protocolo
42
2.3.1 Requerimientos de un Tnel
Exi st en r equer i mi ent os deseabl es en l os mecani smos de t nel , per o no
t odos l os pr ot ocol os exi st ent es cumpl en con t odos el l os. Est os son
10
:
Mul t i pl exaci n
Pr ot ocol o de seal i zaci n
Segur i dad de l os dat os
Tr anspor t e mul t i pr ot ocol o
Secuenci aci n de t r amas
Mant eni mi ent o
Manej o de gr andes MTU
Sobr ecar ga m ni ma
Cont r ol de congest i n y f l uj o
Manej o de t r f i co y Cal i dad de ser vi ci o ( QoS)
Multiplexacin
Est o per mi t e el ani dami ent o de t nel es, es deci r que puedan exi st i r
ml t i pl es t nel es VPN ent r e dos ext r emos que han est abl eci do un ni co t nel
pr i nci pal , est o i mpl i ca que cada ext r emo del mi smo puede sopor t ar var i os
cl i ent es o VPNs. El t r f i co de cada uno se mant endr separ ado del ot r o a
t r avs de l a exi st enci a de un campo de mul t i pl exi n en l os paquet es
t r ansmi t i dos par a di st i ngui r l a per t enenci a a un det er mi nado t nel .
Compar t i r un t nel de est a f or ma, di smi nuye l a demor a y el
pr ocesami ent o asoci ado al est abl eci mi ent o del mi smo. Est a car act er st i ca
r epr esent a una vent aj a ant e l os pr obl emas de escal abi l i dad par a un pr oveedor
de ser vi ci os VPN ya que sol o t i ene que mant ener una est r uct ur a de t nel es de
menor enver gadur a.

Figura 2-10 Multiplexacin de Tneles

10
RFC 2764 A framework for IP Based VPN
43
Protocolo de sealizacin
Pr evi o al est abl eci mi ent o de un t nel , se deben conf i gur ar una ser i e
de par met r os que deben ser acor dados por l os ext r emos par t i ci pant es, por
ej empl o l a di r ecci n de l os ext r emos, el ni vel de segur i dad r equer i do, et c.
Fi nal ment e el t nel se puede est abl ecer . Todo est o es posi bl e por v a manual
o en f or ma di nmi ca medi ant e el uso de un pr ot ocol o de seal i zaci n.
La ut i l i zaci n de un pr ot ocol o de seal i zaci n, f aci l i t a l a t ar ea de
admi ni st r aci n del t nel , t ant o su cr eaci n, di st r i buci n y manej o de
par met r os o at r i but os asoci ados al mi smo, mas an cuando l a VPN a l a cual
per t enece el o l os t nel es abar ca ms de un domi ni o admi ni st r at i vo. En est e
caso si mpl i f i ca l a coor di naci n de l a admi ni st r aci n.
Tambi n per mi t e que l os t nel es puedan ser cr eados baj o demanda,
cuando l os nodos que l os const i t uyen son mvi l es o r equi er en est ar
i nt er conect ados en f or ma t r ansi t or i a. Es i mpor t ant e que el pr ot ocol o per mi t a
el t r anspor t e de un i dent i f i cador VPN par a asoci ar est a con el t nel
r esul t ant e.
El r ol de est e pr ot ocol o deber a ser negoci ar l os at r i but os del
t nel y no t r anspor t ar i nf or maci n acer ca de como ut i l i zar el mi smo.
Seguridad de los datos
Un pr ot ocol o de t nel debe sopor t ar mecani smos que per mi t an var i os
ni vel es de segur i dad. Est o si gni f i ca i ncl ui r mt odos de encr i pt aci n y
aut ent i caci n de di ver sas f or t al ezas.
La segur i dad de l os dat os de l a VPN en gener al no depende ni cament e
de l as capaci dades r equer i das del t nel r eci n menci onadas. Es i mpor t ant e
consi der ar ot r os mecani smos, como por ej empl o el manej o de var i as i nst anci as
vi r t ual es de t abl as de enr ut ami ent o y r eenv o. Cada par ( enr ut ami ent o y
r eenv o) est ar n asoci adas a una VPN. Un mi smo di sposi t i vo en el ext r emo de
un t nel , podr manej ar var i as i nst anci as por l o t ant o var i as VPNs. Est o
evi t a el enr ut ami ent o por er r or del t r f i co de una VPN haci a ot r a, asegur ando
de est a maner a l a separ aci n de l os f l uj os de dat os. Ot r a medi da de segur i dad
puede ser l a aut ent i caci n de l os ext r emos del t nel medi ant e el uso del
pr ot ocol o de seal i zaci n pr evi o a su cr eaci n.
Transporte Multiprotocolo
Muchas apl i caci ones de VPN r equi er en l a t r ansmi si n de t r f i co
mul t i pr ot ocol o, por l o t ant o el pr ot ocol o de t nel deber a sopor t ar su
t r anspor t e. Debe exi st i r al guna f or ma de i dent i f i car el t i po de pr ot ocol o que
est a si endo envi ado por el t nel .
No t odos l os pr ot ocol os de t nel sopor t an est a car act er st i ca, par a
est os exi st en ext ensi ones que l o posi bi l i t an. Ot r os poseen campos espec f i cos
par a est a seal i zaci n.
Secuenciacin de Tramas
La secuenci aci n podr a ser necesar i a par a una oper aci n ext r emo a
ext r emo ef i ci ent e de al gn pr ot ocol o de t nel o apl i caci n en par t i cul ar .
Par a est o es necesar i o un campo de secuenci a en el di seo del pr ot ocol o, par a
gar ant i zar l a ent r ega en or den de l os paquet es.

44
Mantenimiento
Est e r equer i mi ent o i mpl i ca que l os ext r emos moni t or een el est ado
del t nel par a det er mi nar si se pi er de o no l a conect i vi dad y t omar l as
medi das adecuadas en caso de cor t e o f al l a de l a mi sma.
Las f or mas de r eal i zar est e moni t or eo pueden ser dos: a t r avs del
pr ot ocol o en si , ej ecut ando un chequeo en banda en f or ma per i di ca y en caso
de pr di da de conexi n i ndi car expl ci t ament e el pr obl ema. La ot r a f or ma es
medi ant e mecani smos f uer a de banda, por ej empl o el uso de pr ot ocol os de
enr ut ami ent o apl i cados a una mal l a de t nel es ( RI P, OSPF) , l o cual per mi t e
det ect ar cual qui er f al l a en f or ma aut omt i ca. Ot r a her r ami ent a es el uso del
pr ot ocol o I CMP a t r avs de mensaj es de sol i ci t ud de eco par a moni t or ear el
est ado del t nel .
Manejo de Grandes MTU
Teni endo en cuent a l os di sposi t i vos i nt er medi os que r eenv an el
t r f i co del t nel , es posi bl e que al guno de el l os manej e un val or de Mxi ma
Uni dad de Tr ansf er enci a o MTU menor al val or manej ado desde el ext r emo de
i ngr eso al t nel . En est e caso, es necesar i a al guna cl ase de f r agment aci n.
Est o t r aer a i nconveni ent es de per f omance en el nodo donde sucede l a
f r agment aci n, di smi nuyendo l a ef i caci a gener al .
Par a evi t ar est e i nconveni ent e, el pr ot ocol o de t nel puede
i ncor por ar capaci dad de segment aci n y ensambl ado haci endo uso del nmer o de
secuenci a y al guna cl ase de mar cador de f i n de mensaj e.
Sobrecarga Mnima
Es i mpor t ant e est e aspect o y ms cuando se t r anspor t a t r f i co de
dat os sensi bl e a l a demor a o al def asaj e t empor al , como l o es el t r f i co de
voz y vi deo. Lo que se per si gue con est e r equer i mi ent o es evi t ar el
pr ocesami ent o i nnecesar i o en l os di sposi t i vos que est abl ecen el t nel .
Los mecani smos de ci f r ado y encr i pt aci n i mponen una sobr ecar ga. Por
l o t ant o se deber a mi ni mi zar l a sobr ecar ga u overhead t omando en cuent a l a
necesi dad de apl i car segur i dad a l os dat os. En gener al el obj et i vo deber a
ser mi ni mi zar el over head al r ededor de l a necesi dad de segur i dad del t r f i co
de dat os.
Cuando se i mpl ement an l as VPN dial-up, o de acceso r emot o di scado,
medi ant e el uso de t nel es vol unt ar i os, exi st e l a posi bi l i dad de sobr ecar ga
si gni f i cant e si se ut i l i zan enl aces de poco ancho de banda.
Control de Congestin y Flujo
Exi st en pr ot ocol os de t nel , como L2TP, que i ncor por an
pr ocedi mi ent os par a el cont r ol de f l uj o y congest i n. Est os f uer on pensados
par a mej or ar l a per f omance de l a t r ansmi si n cuando se ut i l i zaban r edes que
pod an gener ar pr di das de paquet es con l a compr esi n PPP. Ot r a r azn er a
cr ear un buf f er al moment o de ut i l i zar l neas con menor capaci dad de
t r ansf er enci a. Fi nal ment e est os esquemas se apl i car on a l os canal es de
cont r ol en l ugar de apl i car l os al t r f i co de dat os.
En gener al no est cl ar o si es conveni ent e i ncor por ar est as
car act er st i cas en el di seo de l os pr ot ocol os de t nel , en gr an medi da por
el hecho de l a pr edomi nanci a del t r f i co TCP y el hecho de que TCP posee
sus pr opi os y ef i ci ent es mecani smos ext r emos a ext r emo de cont r ol de f l uj o y
congest i n.
45
Manejo de Trfico y QoS
Los usuar i os de un ser vi ci o de VPN, podr an desear car act er st i cas
de Cal i dad de Ser vi ci o como sucede con l os dems ser vi ci os WAN. Par a el caso
de l as VPN, l ogr ar apl i car QoS va a depender de l as car act er st i cas de manej o
de t r f i co que puedan ef ect uar l os nodos i nvol ucr ados en l a VPN y de l a r ed
de acceso o backbone donde se i mpl ement e.
2.4 PROTOCOLOS DE TNEL CAPA 2
Los t nel es mas usual es son l os i mpl ement ados en l a capa 2 o capa
enl ace del model o OSI . Ent r e el l os podemos menci onar Point to Point Tunneling
Protocol ( PPTP) , Layer 2 Forwarding ( L2F) y Layer 2 Tunneling Protocol
( L2TP) . Los pr ot ocol os de est a capa se basan en ot r o pr ot ocol o denomi nado
Point to Point Protocol ( PPP) , por l o que comenzar emos expl i cando est e
pr ot ocol o.
2.4.1 Point to Point Protocol (PPP)
Es un pr ot ocol o par a encapsul ar que per mi t e t r ansmi t i r a t r avs de
una l nea ser i e. Est e r equi er e una conexi n full-duplex y puede ser
si ncr ni co o asi ncr ni co. Puede encapsul ar I P o no I P a t r avs de l neas
ser i es.
Las f unci ones que r eal i za son admi ni st r ar l as di r ecci ones I P del
t r af i co no I P. Conf i gur a y r eal i za l as pr uebas necesar i as par a est abl ecer el
enl ace, encapsul a l os dat agr amas y r eal i za l a det ecci n de er r or es dur ant e l a
t r ansmi si n. Tambi n r eal i za l a mul t i pl exaci n de l os pr ot ocol os de capa 2 y
r enegoci a par met r os como l a compr esi n de l os dat os t r ansmi t i dos.
Par a r eal i zar est as f unci ones se basa en LCP ( Link Control Protocol)
par a est abl ecer , conf i gur ar y pr obar l as conexi ones punt o a punt o y NCP
( Network Control Protocol) par a est abl ecer y conf i gur ar var i os pr ot ocol os de
l a capa de r ed y par a det ect ar er r or es dur ant e l a t r ansmi si n.
Funciones de LCP
11

Real i za l as si gui ent es f unci ones:
Ayuda a est abl ecer el enl ace PPP.
Conf i gur a y est abl ece el enl ace par a sat i sf acer l os
r equer i mi ent os de comuni caci n de l as par t es.
Real i za l as t ar eas necesar i as par a mant ener el enl ace.
Da por f i nal i zado el enl ace cuando se t er mi na el i nt er cambi o de
dat os ent r e l as par t es.

11
RFC 1661- The Point-to-Point Protocol (PPP)
46
2.4.2 Point to Point Tunneling Protocol (PPTP)
El pr ot ocol o punt o a punt o ( PPTP) se cr e par a per mi t i r a usuar i os
r emot os conect ar se a su pr oveedor y est abl ecer un t nel al ser vi dor de l a
or gani zaci n. Per mi t e r eal i zar una conexi n por mar caci n y sopor t a
pr ot ocol os que no sean I P.
PPTP es una ext ensi n de PPP y por l o t ant o no sopor t a ml t i pl es
conexi ones. PPTP es el encar gado de est abl ecer y t er mi nar l as conexi ones
f si cas ent r e l as par t es, aut ent i car l os cl i ent es PPTP, encr i pt ar dat agr amas
de pr ot ocol os no I P e I P par a cr ear dat agr amas PPP y asegur ar el i nt er cambi o
de i nf or maci n ent r e l as par t es. Est o se puede obser var en l a Fi gur a 2- 11.

Figura 2-11 Funciones del Protocolo PPP en PPTP
En l a f i gur a podemos ver l os el ement os i nvol ucr ados en una
t r ansacci n PPTP. Exi st e un cl i ent e, el cual es el que i ni ci a l a t r ansacci n
a t r avs de una conexi n r eal i zada con un modem a t r avs de una mar caci n. Si
el NAS del pr oveedor acept a l a comuni caci n ent onces se puede est abl ecer el
t nel con el di sposi t i vo VPN a t r avs de l a r ed pbl i ca. En l a Fi gur a 2- 12
podemos obser var l a r el aci n ent r e PPP y PPTP.
47

Figura 2-12 Componentes en una conexin PPTP
El di sposi t i vo NAS debe poder sopor t ar ml t i pl es cl i ent es
concur r ent ement e y di st i nt os t i pos de cl i ent e, como por ej empl o cl i ent e
WI NDOWS, LI NUX, Appl e, et c. Si se r eal i za dent r o de una r ed l ocal no es
necesar i o el di sposi t i vo NAS. El ser vi dor PPTP debe t ener capaci dad de
enr ut ami ent o.
PPTP ut i l i za el puer t o 1723. Par a det ect ar l a pr di da l a conexi n
r eal i za una t r ansmi si n per i di ca de echo ent r e el cl i ent e y el ser vi dor
ut i l i zando l a conexi n TCP est abl eci da. Br evement e r esumi r emos como es el
pr oceso de t r ansmi si n l os dat os basndonos en l a Fi gur a 2- 13.

Figura 2-13 Encapsulamiento PPTP

Se encapsul a y se encr i pt a l os dat os en un dat agr ama PPP
Se encapsul a dent r o de un paquet e GRE
Se encapsul a de un paquet e I P. El encabezami ent o cont i ene l a
di r ecci n I P de cl i ent e PPTP y l a del ser vi dor dest i no.
La capa de enl ace suma un encabezami ent o y una col a, el cual
vi aj a a t r avs del t nel est abl eci do.
Est o es encapsul ado dent r o del pr ot ocol o de t r ansmi si n que
puede ser por ej empl o ethernet o un pr ot ocol o de WAN.
El ser vi dor ext r ae en or den i nver so y t er mi na desencr i pt ando l os
dat os.

48
Par a r eal i zar l a encr i pt aci n y compr esi n se ut i l i za l os ser vi ci os
br i ndados por PPP. En cuant o a l a aut ent i caci n se ut i l i za MS- CHAP ( Mi cr osof t
Challenge-Handshake Authentication Protocol) o PAP ( Password Authenticaction
Protocol) . PPTP per mi t e r eal i zar un f i l t r ado en el ser vi dor acept ando
sol ament e l os cl i ent es que f uer on apr obados par a acceder a l a r ed.
2.4.3 Layer 2 Forwarding Protocolo (L2F)
12

Es un pr ot ocol o desar r ol l ado por Ci sco en el ao 1996. El obj et i vo
er a per mi t i r que pr ot ocol os no I P pudi er an ut i l i zar se sobr e Internet. El
usuar i o hace una conexi n PPP al pr oveedor de mar caci n y se conect an a sus
or gani zaci ones a t r avs de L2F.

Figura 2-14 Componentes en el Protocolo L2F
L2F pr ovee l a encr i pt aci n de dat os y l a aut ent i caci n ut i l i zando
CHAP, EAP ( Extensible Authentication Protocol) y SPAP ( Shiva Password
Authentication Protocol) . Tambi n puede empl ear RADI US y TACACS como
ser vi ci os adi ci onal es.
Como desvent aj as se puede menci onar que est a sol uci n r equi er e un
mant eni mi ent o cost oso y son dependi ent es del pr oveedor que debe i mpl ement ar
L2F. No pr ovee cont r ol de f l uj o, l o que r esul t a en r et r ansmi si n de t r f i co y
pr ovoca una comuni caci n ms l ent a. Es ms l ent o que PPTP debi do al pr oceso
de aut ent i caci n y encr i pt aci n.
2.4.4 Layer 2 Tunneling Protocolo (L2TP)
13

En 1998 l as compa as que desar r ol l ar on PPTP y Ci sco que t r abaj con
L2F acor dar on una nueva especi f i caci n par a el est abl eci mi ent o de t nel es de
ni vel 2 ( L2TP) . Por l o t ant o L2TP combi na PPTP y L2F en una sol a nor ma.
I PSec se puede ut i l i zar con L2TP par a poder br i ndar una mayor
segur i dad. Se r ecomi enda i mpl ement ar est a conf i gur aci n par a pr ot eger el
t r af i co L2TP a t r avs de r edes I P y no I P.

12
RFC 2341 - Cisco Layer Two Forwarding (Protocol) "L2F"
13
RFC 2661 - Layer Two Tunneling Protocol "L2TP"
49
Las vent aj as que t i ene es que sopor t a mul t i pr ot ocol os y t ecnol og as
como por ej empl o I P, ATM, Frame Relay y PPP. No r equi er e i mpl ement aci n de
software espec f i co como drivers o sopor t e en el si st ema oper at i vo. Per mi t e
que cl i ent es con I P pr i vadas se comuni quen a t r avs de r edes pbl i cas con
si t i os r emot os. Y por l t i mo se puede menci onar que l a aut or i zaci n y
aut ent i caci n se r eal i zan en un gateway por l o t ant o el pr oveedor no necesi t a
i mpl ement ar y mant ener una base de dat os de l os usuar i os r emot os y sus
der echos de acceso.
Es necesar i o def i ni r ant es, dos component es pr i nci pal es en el
f unci onami ent o de L2TP: LAC ( L2TP Access Concentrator) y LNS ( L2TP Network
Server) . Un LAC es un di sposi t i vo que es uno de l os ext r emos del t nel L2TP y
si endo el LNS el ot r o ext r emo. De hecho un LAC se ubi ca ent r e un cl i ent e
r emot o y el LNS r eenvi ando l os paquet es ent r e el l os. La conexi n ent r e el LAC
y el si st ema r emot o es medi ant e un enl ace PPP. Un LNS es el ot r o ext r emo del
t nel L2TP y r epr esent a l a t er mi naci n l gi ca de l a sesi n PPP que es envi ada
por el t nel .
Modos de tnel
L2TP sopor t a l os modos de t nel obl i gat or i o y vol unt ar i o. En el modo
obl i gat or i o Fi gur a 2- 15, el pr oveedor es el encar gado de est abl ecer ent r e el
LAC y el LNS el t nel y de val i dar el usuar i o. Par a comuni car se con Internet
es necesar i o pasar por gateway de l a i nt r anet cor por at i va, br i ndando una
mayor segur i dad.

Figura 2-15 L2TP Tnel obligatorio
En el t nel vol unt ar i o Fi gur a 2- 16, el usuar i o r emot o act a de LAC.
El t nel es t r anspar ent e par a el pr oveedor como ocur r e con l os t nel es
basados en PPTP.
50
Ent r e l as vent aj as que podemos menci onar est a que es una sol uci n
genr i ca, i ndependi ent e de l a pl at af or ma. Puede sopor t ar l a t r ansmi si n a
t r avs de enl aces WAN no I P si n l a necesi dad de I P. No se r equi er e
conf i gur aci n en el pr oveedor y en el cl i ent e. Per mi t e que l a aut ent i caci n
sea r eal i zada por l a or gani zaci n y no por el pr oveedor . Pr ovee cont r ol de
f l uj o. Es ms r pi da que L2F. Per mi t e que cl i ent es r emot os con I P pr i vada
puedan conect ar se a su or gani zaci n a t r avs de r edes pbl i cas. Se puede
ut i l i zar I PSec par a poder br i ndar una mayor segur i dad.
Como desvent aj as podemos menci onar que es ms l ent o que PPTP o L2F
cuando se ut i l i za I PSec par a aut ent i caci n de cada paquet e y es ms compl ej o
de i mpl ement ar que PPTP.

Figura 2-16 L2TP Tnel voluntario
Tabla 2-2 Comparativa protocolos Capa 2
Caracterstica PPTP L2F L2TP
Sopor t a mul t i pr ot ocol o Si Si Si
Sopor t a ml t i pl es conexi ones
PPP por t nel
No Si Si
Sopor t a ml t i pl es conexi ones
por t nel
No Si Si
Modos de Tnel Vol unt ar i o
Vol unt ar i o y
Obl i gat or i o
Vol unt ar i o y
Obl i gat or i o
Pr ot ocol o de Ent r ega I P/ GRE
I P/ UDP
I P/ FR
I P/ ATM
I P/ UDP
I P/ FR
I P/ ATM
Pr ot ocol o de Cont r ol
TCP
Puer t o
1723
UDP
Puer t o 1701
UDP
Puer t o 1701
Aut ent i caci n
MS- CHAP
PAP
CHAP
PAP
SPAP
RADI US
TACACS
CHAP
PAP
SPAP
EAP
I PSec
TACACS
Encr i pt aci n MPPE
MPPE
I PSec
MPPE
I PSec
ECP
51
En l a si gui ent e secci n se descr i bi r l os pr i nci pal es pr ot ocol os de
t nel de capa 3, empezando con I PSec, GRE y f i nal ment e MPLS. Si bi en est e
l t i mo no es en si un pr ot ocol o de capa 3, su f unci onami ent o est a muy l i gado
al pr ot ocol o de r ed I P.
2.5.1 IP Security Protocol (IPSec)
I PSec es una ext ensi n del pr ot ocol o I P que br i nda segur i dad a I P y
a l os pr ot ocol os de capa super i or . Fue desar r ol l ado par a el nuevo est ndar de
I P ver si n 6 ( I Pv6) y l uego adapt ado par a i mpl ement ar l o en l a ver si n 4
( I Pv4) .

Figura 2-17 Paquete/Datagrama usando IPSec
La Fi gur a 2- 17 muest r a un paquet e con l os encabezados de capa 2 que
encapsul an un dat agr ama I P pr ocesado medi ant e I PSec. Se puede obser var el
encabezami ent o I PSec post er i or al encabezado I P y un campo Dat os de
Aut ent i caci n ( HMAC) como col a del dat agr ama. Como r esul t ado sur ge un nuevo
dat agr ama I P con nuevos encabezados.
I PSec ut i l i za dos pr ot ocol os di f er ent es par a asegur ar l a
aut ent i ci dad, i nt egr i dad y conf i denci al i dad, est os son el pr ot ocol o de
Aut ent i caci n de Encabezado AH ( Authentication Header) y el pr ot ocol o de
Encapsul ado de Segur i dad de Dat os o ESP ( Encapsulated Security Payload) .
I PSec puede pr ot eger t odo el dat agr ama I P o sol ament e l os pr ot ocol os
de capa super i or medi ant e l os modos t nel y t r anspor t e. En el pr i mer caso el
dat agr ama I P es encapsul ado en f or ma compl et a en ot r o. En el modo t r anspor t e
sol o l os dat os del dat agr ama I P or i gi nal es pr ocesada por I PSec, i nser t ando
el encabezado AH o ESP ent r e el encabezado I P y l os dat os.
Par a asegur ar l a i nt egr i dad del dat agr ama I P, I PSec ut i l i za HMAC
14

( Hash Message Authentication Code) o Cdi go de aut ent i caci n de mensaj es
basados en hash, medi ant e al gor i t mos como MD5 y SHA. Lo cal cul a basado en una
cl ave secr et a y en el cont eni do del dat agr ama. El HMAC se i ncl uye en el
encabezado I PSec. El r ecept or ver i f i ca est e HMAC si t i ene acceso a l a cl ave
secr et a.

14
RFC 2104 - HMAC: Keyed-Hashing for Message Authentication
52
I PSec ut i l i za al gor i t mos de encr i pt aci n si mt r i cos est ndar de
el evada f or t al eza como 3DES, AES o Blowfish par a asegur ar l a conf i denci al i dad
del t r f i co t r anspor t ado. I PSec pr ot ege l a comuni caci n r espect o de at aques
de denegaci n de ser vi ci o o at aques de r epet i ci n, medi ant e el mecani smo de
vent ana desl i zant e. Los nmer os de secuenci a de l os paquet es deben est ar
dent r o del r ango acept ado por l a vent ana, si no son descar t ados.
Par a encapsul ar y desencapsul ar l os paquet es I PSec, l os ext r emos
par t i ci pant es necesi t an un mecani smo par a mant ener i nf or maci n como cl aves
secr et as, al gor i t mos, di r ecci ones I P ut i l i zadas en l a conexi n et c. Est os
par met r os se guar dan en Asoci aci ones de Segur i dad o SA ( Security
Association) . Est as a su vez se al macenan en una Base de Dat os o SAD. Cada SA
def i ne l os si gui ent es par met r os:
Di r ecci ones I P or i gen y dest i no del encabezado I PSec r esul t ant e
( di r ecci ones que coi nci den con l as de l os par es que est abl ecen
l a comuni caci n segur a) .
El pr ot ocol o I PSec a ut i l i zar ( AH o ESP) .
Al gor i t mo y cl aves secr et as a ut i l i zar .
SPI (Security Parameter Index) de l a SA. Es un nmer o de 32 bi t s
que i dent i f i ca l a SA.
Al gunas i mpl ement aci ones de bases de dat os de SA per mi t en, adems,
al macenar est os par met r os:
Modo I PSec ( t nel o t r anspor t e) .
Tamao de l a vent ana desl i zant e.
Ti empo de dur aci n de l a SA.
Una SA r epr esent a una conexi n uni di r ecci onal . I PSec r equi er e que se
def i nan dos SA par a una comuni caci n bi di r ecci onal o full duplex. Las
asoci aci ones sol o det er mi nan como pr ot eger el t r f i co. Las Pol t i cas de
Segur i dad o SP est abl ecen que t r f i co pr ot eger y cundo. Las SP se al macenan
a su vez en una SPD o base de dat os de pol t i cas de segur i dad. Una SP def i ne
l os si gui ent es par met r os:
Di r ecci ones I P or i gen y dest i no de cada paquet e. En modo
t r anspor t e est as di r ecci ones coi nci den con l as I P al macenadas en
l a SA. En modo t nel est as podr an di f er i r .
Puer t o y pr ot ocol o a pr ot eger . Al gunas i mpl ement aci ones de I PSec
no per mi t en est os par met r os, en est os casos se asegur an t odos
l os paquet es.
La SA a ut i l i zar .
La SPD di scr i mi na el t r f i co ent r ant e o sal i ent e, de f or ma t al que
puede descar t ar el paquet e en t r nsi t o, i gnor ar l o o apl i car el ser vi ci o de
segur i dad de acuer do a l a asoci aci n de segur i dad r el aci onada con esa ent r ada
de l a SPD.
La SPD debe ser consul t ada dur ant e el pr ocesami ent o de t odo el
t r f i co, ent r ant e y sal i ent e. Por est a r azn est a cont endr ent r adas
di f er ent es par a uno y ot r o. Adems cada i nt er f az de r ed que es pr ot egi da por
I PSec t endr asoci ada sendas bases, de pol t i cas y de asoci aci ones, par a el
t r f i co ent r ant e y sal i ent e.
53
Cada i mpl ement aci n I PSec debe t ener una i nt er f ase admi ni st r at i va
que per mi t a a un admi ni st r ador manej ar l a SPD. Dado que cada paquet e ent r ant e
o sal i ent e es pr ocesado por I PSec y donde l a SPD especi f i ca l a acci n a ser
t omada en cada caso, est a i nt er f az debe per mi t i r al admi ni st r ador est abl ecer
el pr ocesami ent o de segur i dad que se apl i car a cada paquet e, medi ant e l a
cr eaci n de ent r adas y l a def i ni ci n de l os f i l t r os sel ect or es, adems deber
per mi t i r el or denami ent o de l as mi smas.
Si l os val or es de un paquet e I P cor r esponden con l os sel ect or es de
una ent r ada en l a SPD, ent onces se det er mi na que un paquet e I P est a
r el aci onado con l a mi sma y est o di spar a un pr oceso I PSec. A cont i nuaci n se
det er mi na si exi st e una Asoci aci n de Segur i dad ( SA) par a l a ent r ada de l a
SPD. Si exi st e, ent onces est a i ndi car el pr ot ocol o de segur i dad a ut i l i zar ,
el modo, el al gor i t mo de aut ent i caci n de encr i pt aci n y l as cl aves a
ut i l i zar .
Cuando var i os nodos par t i ci pan de una VPN que ut i l i za I PSec par a
cr ear l os t nel es, sur ge un i nconveni ent e al moment o de compar t i r i nf or maci n
par a l a comuni caci n dent r o de l a VPN. Dur ant e l a cr eaci n de l as
Asoci aci ones de Segur i dad, se deben di f undi r l as cl aves secr et as y l os
al gor i t mos de encr i pt aci n a ut i l i zar .
El i nt er cambi o de cl aves es un pr oceso cr t i co ya que en est a et apa
an no hay un medi o segur o est abl eci do par a t r ansmi t i r est a i nf or maci n. Par a
r esol ver est e pr obl ema se di se el pr ot ocol o de i nt er cambi o de cl aves o I KE
( Internet Key Exchange) .
I KE aut ent i ca, en una pr i mer a f ase, a l os par es o nodos que
par t i ci pan en l a VPN. En una segunda f ase se negoci an l as SA y se el i gen l as
cl aves secr et as par a l a encr i pt aci n si mt r i ca medi ant e el al gor i t mo Diffie
Hellman de i nt er cambi o de cl aves. Una vez compar t i dos en f or ma segur a l os
dat os necesar i os, I KE se encar ga en f or ma per i di ca de r egener ar cl aves que
pr ot egen l a conf i denci al i dad de l as cl aves par a encr i pt aci n si mt r i ca.
Protocolo AH
Est e pr ot ocol o se encar ga de aut ent i car l os dat agr amas asegur ando l a
i nt egr i dad de l os dat os i ncl uyendo l a di r ecci n I P de or i gen, br i ndando
adems pr ot ecci n cont r a at aques de r epet i ci n de dat agr amas ( replay
attacks) . Par a est abl ecer l a i nt egr i dad de l os dat os cal cul a un cdi go de
aut ent i caci n basado en hash o HMAC. Est e se r eal i za ut i l i zando una cl ave
secr et a, l os dat os del dat agr ama y el encabezado I P or i gi nal . El val or
r esul t ant e del pr ocedi mi ent o se col oca en el campo Dat os de Aut ent i caci n del
encabezado AH.

Figura 2-18 Encabezado AH
54
Los campos del encabezado AH son:
Prximo Encabezamiento: i dent i f i ca el t i po de dat os de l a car ga
t i l , es deci r el pr ot ocol o de capa super i or . Ut i l i za 1 byt e.
Longitud del encabezamiento: i dent i f i ca el t amao del
encabezado, ut i l i za 1 byt e.
Reservado: ut i l i za 2 byt es.
SPI: I dent i f i ca l a SA a ut i l i zar . Ut i l i za 4 byt es.
Nmero de Secuencia: Pr evi ene l os at aques de r epet i ci n ( replay)
en f or ma opci onal y adems si r ve par a mant ener una r ecepci n
or denada de paquet es. Est e campo al macena un nmer o que se
i ncr ement a en uno cuando un paquet e es envi ado en f or ma
consecut i va a l a mi sma di r ecci n y con el mi smo SPI . Ut i l i za 4
byt es.
Datos de Autenticacin: Compendi o ( Digest) cal cul ado medi ant e el
HMAC, ut i l i zado por el r ecept or par a compar ar l o r eci bi do l uego
de apl i car l a mi sma oper aci n al dat agr ama.
AH puede usar se sol o o j unt o con ESP cuando se usa el modo t nel .
Cuando se ut i l i za el modo t r anspor t e, el encabezado AH se col oca j ust o det r s
del encabezado I P y ant es del encabezado ESP, en caso de f unci onar en
conj unt o, u ot r o encabezado de pr ot ocol o de mayor ni vel como UDP o TCP. Ver
Fi gur a 2- 19.
Cuando se usa el modo t nel , se agr ega un nuevo encabezado I P y el
encabezado de AH se i nser t a l uego de est e y ant es del encabezado I P del
dat agr ama or i gi nal . Si bi en el pr oceso de aut ent i caci n abar ca est e nuevo
encabezado I P, l a nor ma especi f i ca que no deber af ect ar aquel l os campos que
puedan var i ar dur ant e el t r anspor t e, por ej empl o el campo de Ti empo de vi da
o TTL ( Time To Life) , que es decr ement ado en uno cada vez que el dat agr ama
at r avi esa un router. Ver Fi gur a 2- 19.
El pr ot ocol o AH no es conveni ent e de ut i l i zar cuando se consi der a el
uso de t r aducci n de di r ecci ones de r ed o NAT, debi do a que su pr ot ecci n de
i nt egr i dad abar ca campos del encabezado I P como l a di r ecci n de or i gen. Es
adecuado si l o ni co que se per si gue es asegur ar l a i nt egr i dad y aut ent i car
el or i gen de l os dat os.
55

Figura 2-19 Modos con protocolo AH
Protocolo ESP
Est e pr ot ocol o pr ovee pr i vaci dad o conf i denci al i dad a l os
dat agr amas I P por medi o del encr i pt ado de l os dat os cor r espondi ent es.
Adi ci onal ment e puede asegur ar l a i nt egr i dad medi ant e un HMAC pr opi o. ESP
al t er a el dat agr ama I P or i gi nal en ms de un si t i o: agr ega un encabezado
pr opi o, una col a ( CE en l a Fi gur a 2- 20) y si es necesar i o r el l ena el campo de
dat os. La col a var a si adems de l a encr i pt aci n se usa aut ent i caci n ( DA en
l a Fi gur a 2- 20) .
En el modo t r anspor t e, de i gual maner a que AH, el encabezado de
ESP se agr ega l uego del encabezado I P y ant es de ot r o encabezado de pr ot ocol o
de mayor ni vel como UDP o TCP. En modo t nel el encabezado de ESP se i nser t a
del ant e del encabezami ent o I P or i gi nal per o ant es del nuevo encabezado I P
pr opi o de est e modo. Est o se muest r a en l a Fi gur a 2- 20, modo t nel .
El pr oceso de encr i pt ado i ncl uye t odos l os campos post er i or es al
encabezado ESP, per o no est e mi smo. La aut ent i caci n se apl i ca a l o
encr i pt ado ms el encabezado ESP. El encabezado I P ext er no no se aut ent i ca,
es deci r , el encabezado I P or i gi nal en el modo t r anspor t e o el nuevo
encabezami ent o I P del modo t nel .
56

Figura 2-20 Modos en ESP

Figura 2-21 Encabezado y Cola ESP
De acuer do a l a Fi gur a 2- 21 l os campos del encabezado ESP son:
SPI: Est e i ndi ca que SA ut i l i zar par a desencapsul ar el paquet e
ESP, i gual a AH. Ut i l i za 4 byt es.
Nmero de Secuencia: i gual que en AH.
Campo de datos IP (payload)
57
Vector de Inicializacin: ut i l i zado en el pr oceso de
encr i pt aci n si est e r equi er e dat os de si ncr oni zaci n. Est e
vect or si r ve par a que dos paquet es con l a mi sma car ga r esul t en
en dos car gas encr i pt adas di f er ent es. Los al gor i t mos de
encr i pt aci n si mt r i ca son vul ner abl es a at aques de f r ecuenci a
si no se ut i l i zar an l os vect or es de i ni ci al i zaci n.
Encabezado TCP
Datos
Cola ESP
Relleno (Padding): Se usa en caso que el al gor i t mo de encr i pt ado
r equi er a que el t ext o a encr i pt ar sea ml t i pl o de ci er t a
cant i dad de byt es ( ci f r ado en bl oques) . Tambi n es necesar i o
par a l ogr ar un ml t i pl o i mpar de 16 bi t s del encabezami ent o
hast a ese punt o, de maner a que l os campos r est ant es, de 8 bi t s
cada uno, l ogr en que l a l ongi t ud t ot al , del encabezado, sea un
nmer o ml t i pl o par de 16 bi t s.
Longitud del relleno (Padding Length): i dent i f i ca el campo
ant er i or .
Siguiente Encabezado (Next Header): i ndi ca el t i po de dat os de
l a car ga t i l . En I pv4 i dent i f i ca el pr ot ocol o de capa super i or .
Ut i l i za 1 byt e.
Datos de autenticacin: Es opci onal y sol o apar ece si se ut i l i za
ESP con aut ent i caci n. Su l ongi t ud var a segn el al gor i t mo de
Hash empl eado: 16 byt es si es MD5 o 20 byt es si es SHA.
ESP puede ut i l i zar se sol ament e con encr i pt aci n o i ncl uyendo adems
aut ent i caci n. Ot r a al t er nat i va es con encr i pt ado nul o, o sea si n
encr i pt aci n per o con aut ent i caci n. ESP puede combi nar se con AH.
Si bi en ESP puede aut ent i car , no abar ca al encabezami ent o I P
ext er no, es deci r no l o pr ot ege de cual qui er al t er aci n en aquel l os campos
que no deber an cambi ar . Por ej empl o, l o ant er i or podr a der i var en l a
f r agment aci n del dat agr ama si se al t er ar a el campo cor r espondi ent e. Est a
oper aci n podr a per mi t i r l a i nser ci n de dat agr amas de at aque.
Protocolo IKE
Tambi n conoci do como I SAKMP/ Oakley ( Internet Security Association
and Key Management Protocol) , est e pr ot ocol o r esuel ve el pr obl ema ms
i mpor t ant e r el aci onado con l as comuni caci ones segur as: l a aut ent i caci n de
l os par es, el i nt er cambi o de cl aves si mt r i cas, cr eaci n de l as SA y
act ual i zaci n l a Base de Dat os que l as cont i ene. I KE se i mpl ement a medi ant e
un demoni o en el espaci o de usuar i o. Ut i l i za el puer t o UDP 500.
Su f unci onami ent o se puede di vi di r en dos et apas o f ases. En l a
pr i mer a f ase I KE est abl ece una Asoci aci n de Segur i dad I SAKMP ( I SAKMP SA) . En
l a segunda, est a SA es ut i l i zada par a negoci ar y est abl ecer l as SA pr opi as de
l a comuni caci n I PSec ( I PSec SA) .
58
La aut ent i caci n de l a pr i mer a f ase puede est ar basada en cl aves
pr ecompar t i das ( PSK) , cl aves RSA y Cer t i f i cados X. 509. En est a et apa se
pueden ut i l i zar dos modos par a l a aut ent i caci n y est abl eci mi ent o de l a
I SAKMP SA: modo pr i nci pal o modo agr esi vo. Est e l t i mo ut i l i za l a mi t ad de
l os mensaj es par a l ogr ar l o per o no br i nda l a pr ot ecci n de l a i dent i dad de
l os hosts i nt er veni ent es. Est o puede per mi t i r un at aque del t i po hombr e del
medi o.
En l a segunda f ase el pr ot ocol o i nt er cambi a pr opuest as de SA y l as
negoci a en base a l a I SAKMP SA, l a cual br i nda l a aut ent i caci n y pr ot ege l a
oper aci n de at aques del t i po menci onado ant er i or ment e. Las SA negoci adas
f i nal ment e son al menos dos, una par a cada di r ecci n de l a comuni caci n.
Rendimiento
La ut i l i zaci n de I PSec en l as comuni caci ones r equi er e capaci dad de
pr ocesami ent o. En par t i cul ar con ESP est a necesi dad se evi denci a en l a
encr i pt aci n y desencr i pt aci n de l os paquet es, consi der ando l a compl ej i dad
de l os al gor i t mos empl eados y en l a aut ent i caci n de su encabezado, el
agr egado de est e y de l a col a al dat agr ama or i gi nal .
I ncl usi ve con AH el pr oceso de cal cul ar un compendi o en un ext r emo y
l a post er i or ver i f i caci n en el ot r o, son t ar eas mucho ms compl ej as que el
enr ut ami ent o o l a t r aducci n de di r ecci ones.
Las pr i nci pal es l i mi t aci ones no se or i gi nan en Internet, debi do a
que por nat ur al eza es un ambi ent e het er ogneo donde el t r anspor t e y ent r ega
de l as t r amas i mpl i ca una oper aci n con el mej or esf uer zo y no asegur a
conf i abi l i dad ni al t a vel oci dad. De t odas f or mas ut i l i zando compr esi n pr evi a
a l a encr i pt aci n puede mej or ar el r endi mi ent o.
Es el di sposi t i vo o gateway de segur i dad donde se ej ecut a I PSec,
qui en es sensi bl e a l i mi t aci ones que af ect an l a per f omance. Es i mpor t ant e que
un gateway manej e un ancho de banda mayor al de l a r ed a l a cual se conect a,
caso cont r ar i o deber descar t ar paquet es pr ovocando i nt er r upci ones en el
t r f i co af ect ando di r ect ament e l os paquet es t r anspor t ados medi ant e UDP e
i ncl usi ve el t r f i co TCP.
Ot r o aspect o que af ect a l a per f omance en un di sposi t i vo es el
r et ar do, o t i empo adi ci onal de pr ocesami ent o en el equi po, pr evi o a l a sal i da
del paquet e. En l a pr ct i ca se consi der a como asoci ado al t i empo en que
t ar dan l os dat os en vi aj ar desde el or i gen a su dest i no. En un di sposi t i vo
que cumpl e ms de una f unci n, i ncl uyendo el pr ocesami ent o de I PSec, su
r et ar do ser i mpor t ant e. Es muy di f er ent e pr ocesar sol o el encabezado
( f i r ewal l de f i l t r ado de paquet es) que sobr e t odo el dat agr ama compl et o con
mecani smos de encr i pt ado, sumado l a car ga u over head del t r at ami ent o e
i nt er cambi o de cl aves, que r equi er e un uso i nt ensi vo del CPU.

59
2.5.2 Generic Routing Encapsulation protocol (GRE)
El pr ot ocol o GRE o de encapsul aci n genr i ca de enr ut ami ent o, es un
est ndar de f act o desar r ol l ado por Ci sco. Est di seado par a encapsul ar
pr ot ocol os de capa de r ed ar bi t r ar i os dent r o de ot r o pr ot ocol o de capa de r ed
ar bi t r ar i o
15
. Exi st en al menos t r es RFCs r ef er i das di r ect ament e con est e
pr ot ocol o, l a RFC 1701 def i ne en f or ma gener al el pr ot ocol o y el f or mat o de
su encabezado. La RFC 1702 r ef i er e a su uso en conj unt o con I P, t ant o como
pr ot ocol o de car ga como de t r anspor t e. Fi nal ment e l a RFC 2784 es un memo que
act ual i za l as ant er i or es, r edef i ni endo el f or mat o del encabezado y def i ni endo
como obsol et os a al gunos de sus campos. Si n embar go dej a est abl eci do l as
oper aci ones con i mpl ement aci ones ant er i or es. Est a secci n se basa en l a
descr i pci n del pr ot ocol o de acuer do a est a l t i ma RFC per o con al gunas
r ef er enci as a l as ant er i or es. En gener al GRE se ej ecut a en l a capa I P,
ut i l i zando dat agr amas I P como car ga y como t r anspor t e
16
.
GRE cr ea un v ncul o punt o- a- punt o con routers en cada ext r emo sobr e
una r ed I P. Se di f er enci a de I PSec en que manej a t r f i co multicast. De hecho
GRE se ut i l i za en conj unt o con est e pr ot ocol o par a est a t ar ea debi do a l a
nat ur al eza unicast de I PSec. La est r uct ur a gener al de un paquet e GRE
encapsul ado par a el env o es l a si gui ent e:

Figura 2-22 Paquete GRE encapsulado
Cuando se usa I P como pr ot ocol o de car ga y de ent r ega, l os campos
TTL, TOS y opci ones de segur i dad I P pueden ser copi ados desde el paquet e de
car ga a l os mi smos campos en el encabezado del paquet e de ent r ega. El campo
TTL del paquet e de car ga se decr ement a cuando se desencapsul a.
Cuando el ext r emo de egr eso del t nel desencapsul a un paquet e GRE,
el cual cont i ene un dat agr ama I P como car ga, l a di r ecci n dest i no en el
encabezado I P debe ser ut i l i zado par a r eenvi ar di cho dat agr ama y el campo TTL
debe ser decr ement ado. Si l a di r ecci n I P dest i no r esul t ar a ser del ext r emo
que encapsul , ent onces deber descar t ar se el dat agr ama par a evi t ar un bucl e
o loop.

15
RFC 1701 - Generic Routing Encapsulation (GRE)
16
RFC 1702 - Generic Routing Encapsulation over IPv4 networks
60
Operaciones Conjuntas con otros protocolos
La ut i l i zaci n ms comn y si mpl e de est e pr ot ocol o, es l a cr eaci n
de t nel es que per mi t en l a ut i l i zaci n de un espaci o de di r ecci ones i nt er nas,
a t r avs de un espaci o pbl i co de di r ecci onami ent o, par a el t r f i co de dat os.
Est o es posi bl e por l a capaci dad de GRE de encapsul ar un dat agr ama I P y a su
vez i nt egr ar l a car ga de ot r o dat agr ama I P que l e per mi t i r at r avesar una r ed
I P hast a su dest i no.
La desvent aj a es que l a car ga que encapsul a GRE no est en
condi ci ones de at r avesar una r ed i nsegur a como Internet ya que l os dat os no
est n encr i pt ados. Por l o t ant o hace f al t a al guna medi da de segur i dad par a
poder ut i l i zar GRE en un ent or no VPN. Es en est a si t uaci n que se ut i l i za en
conj unt o con I PSec, el cual l e suma l a segur i dad de sus mecani smos de
encr i pt aci n y aut ent i caci n. Per o est a r el aci n es bi l at er al , ya que I PSec
f al l a en aquel l os escenar i os donde l a nat ur al eza de l as comuni caci ones es del
t i po multicast: pr opagaci n de l a act ual i zaci n de r ut as en un ent or no de
enr ut ami ent o di nmi co, t r f i co de voz y vi deo, et c.
La maner a de sal var est e escol l o es medi ant e l a encapsul aci n del
paquet e multicast en un paquet e GRE. A cont i nuaci n est e l t i mo, se encapsul a
en un paquet e I PSec ( Fi gur a 2- 23) , par a ser envi ado a l a r ed dest i no en f or ma
segur a, donde el ext r emo r emot o del t nel I PSec, desencapsul ar el paquet e
multicast y l o ent r egar a l os di sposi t i vos que i nt egr en el gr upo multicast
dest i no.
Ut i l i zar GRE par a cr ear t nel es como mecani smo par a una VPN, gener a
al gunas desvent aj as pr i nci pal ment e asoci adas a l a car ga en t ar eas de
admi ni st r aci n de l a VPN, escal abi l i dad en cuant o al cr eci mi ent o del nmer o
de t nel es, per f omance y QoS.
Debi do a que l os t nel es GRE deben ser conf i gur ados en f or ma
manual , exi st e una r el aci n di r ect a ent r e l a cant i dad de t nel es a conf i gur ar
y l a cant i dad de t ar ea admi ni st r at i va necesar i a par a mant ener di chos
t nel es. Tambi n l a capaci dad de pr ocesami ent o r equer i da par a l a
encapsul aci n GRE, est en con el nmer o de t nel es conf i gur ados.

Figura 2-23 Encapsulamiento Multicast con GRE asegurado con IPSec

61
2.5.3 Multiprotocol Label Switching (MPLS)
MPLS se di ce mul t i pr ocol o por que se apl i ca a cual qui er pr ot ocol o de
r ed, per o su uso ms habi t ual es con el pr ot ocol o I P. La esenci a de MPLS es
l a gener aci n de pequeas et i quet as ( labels) de t amao f i j o que cumpl en el
r ol de un encabezado I P per o con menos i nf or maci n. Est a et i quet a se usa
par a t omar l as deci si ones de enr ut ami ent o del paquet e. MPLS no es un
pr ot ocol o de capa 2 ni de capa 3 espec f i cament e, si no un pr ot ocol o que
f unci ona en conj unt o con est os.
En un mecani smo de enr ut ami ent o convenci onal , cada router que r eci be
un paquet e, ver i f i ca el encabezado I P ( l a di r ecci n dest i no) par a deci di r el
si gui ent e sal t o. Est a deci si n es t omada en f or ma i ndependi ent e por cada
router basado en su anl i si s del encabezado del paquet e y de l os r esul t ados
de ej ecut ar al gor i t mos de enr ut ami ent o. Est o se denomi na enr ut ami ent o sal t o a
sal t o ( hop by hop routing) .
La sel ecci n del si gui ent e sal t o se compone de dos f unci ones. La
pr i mer a consi st e en cl asi f i car o par t i ci onar el conj unt o compl et o de
paquet es en cl ases de equi val enci a, t ambi n denomi nadas FEC ( Forwarding
Equivalence Class) . La segunda f unci n mapea cada FEC con el si gui ent e sal t o.
Los paquet es per t enecer n a una det er mi nada FEC, si l a di r ecci n I P dest i no
de cada uno de el l os coi nci de, en l a maner a ms exact a, con al gn pr ef i j o de
r ed exi st ent e en l a t abl a de enr ut ami ent o de ese router. A medi da que el
paquet e at r avi esa l a r ed, cada router en su cami no l o r eexami na y vuel ve a
r eal i zar est e pr oceso.
En MPLS, l a asi gnaci n de un det er mi nado paquet e a una det er mi nada
FEC es r eal i zado sol o una vez, en el moment o que el paquet e i ngr esa a l a r ed
MPLS. La FEC es codi f i cada como un val or de l ongi t ud f i j a denomi nada
et i quet a. Cuando el paquet e es r eenvi ado se env a l a et i quet a t ambi n l a cual
es ut i l i zada par a i ndexar una t abl a donde f i gur a el si gui ent e sal t o y una
nueva et i quet a. Luego de r eempl azar l a, el paquet e es r eenvi ado al si gui ent e
sal t o. Cuando el paquet e al canza el l t i mo router de l a r ed MPLS, est e se
encar ga de r emover l a et i quet a y enr ut ar a t r avs de l os al gor i t mos
convenci onal es.
Los routers dent r o de una r ed MPLS se denomi nan LSR ( Label Switched
Routers) . Aquel l os que se ubi can en el i ngr eso a y egr eso de l a r ed, se
denomi nan LER ( Label Edge Router) o di sposi t i vos de bor de. Est os l t i mos son
l os encar gados de encapsul ar el paquet e, mi ent r as que l os routers
per t eneci ent es al ncl eo de l a r ed MPLS, sol o se encar gan de r eenvi ar l o hast a
el router de bor de de egr eso de l a r ed.
Est e mt odo de r eenv o per mi t e que, una vez que el paquet e f ue
cl asi f i cado en una FEC, no se ef ect e ni ngn anl i si s post er i or del
encabezado por par t e de l os routers que par t i ci par n en el t r anspor t e del
paquet e.
VPNS BGP/MPLS
Una de l as apl i caci ones mas ut i l i zadas de MPLS es el ser vi ci o de VPN
pr ovi st o por un pr oveedor . Est a es una al t er nat i va vi abl e r espect o de l os
mt odos de t nel es habi t ual es par a i mpl ement ar VPN.
62
No exi st e un model o de ser vi ci o de VPN ni co ya que cada cl i ent e
t i ene di ver sos r equer i mi ent os, por ej empl o, pueden di f er i r en l os r equi si t os
de segur i dad, cant i dad de si t i os a i nt er conect ar , nmer os de usuar i os,
compl ej i dad en el esquema de enr ut ami ent o, apl i caci ones cr t i cas, vol menes
de t r f i co, pat r ones de t r f i co, habi l i dad del pr opi o per sonal de networking,
et c.
Exi st en dos opci ones: VPN MPLS de capa 3 o capa 2. Uno de l os
model os de mayor acept aci n por par t e de l os pr oveedor es par a poder manej ar
est a var i abi l i dad de r equer i mi ent os, es el pr opuest o en l a RFC 2547 y RFC
2547bi s VPN BGP/ MPLS. Se t r at a de una VPN MPLS de capa 3.
Est e model o def i ne un mecani smo que per mi t e a l os pr oveedor es de
ser vi ci os ut i l i zar su r ed backbone I P par a dar ser vi ci o VPN a sus cl i ent es.
El pr ot ocol o de enr ut ami ent o de bor de BGP ( Border Gateway Protocol) es
ut i l i zado par a di st r i bui r i nf or maci n de enr ut ami ent o de l a VPN a t r avs del
backbone mi ent r as que MPLS se encar ga de r eenvi ar el t r f i co de l a VPN ent r e
l os si t i os que l a componen.
Las VPN BGP/ MPLS buscan cumpl i r con l o si gui ent e:
Faci l i dad de uso par a l os cl i ent es
Escal abi l i dad y f l exi bi l i dad par a f aci l i t ar i mpl ement aci ones a
gr an escal a.
Sopor t e de di r ecci ones I P gl obal ment e ni cas en l a r ed del
cl i ent e y sol apami ent o de di r ecci ones pr i vadas.
Sopor t e de sol apami ent o de VPN, es deci r que un si t i o puede
per t enecer a ms de una VPN.
Las VPNs BGP/ MPLS t oman un dat agr ama I P de l a r ed del cl i ent e,
det er mi nan l a di r ecci n I P dest i no buscando en una t abl a de r eenv o y l uego
env an ese dat agr ama haci a su dest i no a t r avs de l a r ed del pr oveedor
medi ant e un LSP.
Adems de l os pr ot ocol os de capa 2 y capa 3, se pueden consi der ar ,
adems, dos pr ot ocol os par a cr ear t nel es per o en l as capas super i or es. En
par t i cul ar ent r e l a capa de t r anspor t e y de apl i caci n. Se descr i bi r n l as
gener al i dades de SSH ( Secure Shell) y SSL/ TLS ( Secure SocketsLayer)/
(Transport Layer Security) .
2.6.1 Secure Shell (SSH)
Secure Shell
17
es un pr ot ocol o cl i ent e- ser vi dor que per mi t e el
ser vi ci o de login r emot o segur o a t r avs de una r ed i nsegur a. Si bi en su
comet i do pr i nci pal es l a cr eaci n de una sesi n r emot a medi ant e un t nel a un
equi po r emot o, es posi bl e l a t r ansmi si n de ot r a cl ase de t r f i co TCP
medi ant e l a r edi r ecci n de puer t os.

17
RFC 4251 - The Secure Shell (SSH) Protocol Architecture
63
Est e pr ot ocol o consi st e de t r es component es pr i nci pal es:
Protocolo de capa de transporte: br i nda aut ent i caci n del
ser vi dor , conf i denci al i dad e i nt egr i dad con PFS ( Perfect
Forward Secrecy) ej ecut ndose sobr e l a conexi n TCP/ I P.
El protocolo de autenticacin del cliente: oper a sobr e el
pr ot ocol o de t r anspor t e.
Protocolo de conexin: mul t i pl exa el t nel en var i os canal es
l gi cos y se ej ecut a sobr e el pr ot ocol o ant er i or .
SSH ut i l i za, en un pr i nci pi o, aut ent i caci n basada en host par a
aut ent i car el ser vi dor . Est e pr ocedi mi ent o es l l evado a cabo por l a capa de
t r anspor t e de SSH. Dur ant e est a et apa se ut i l i zan cl aves pbl i cas de host
( host key)
18
. Est a capa no r eal i za l a aut ent i caci n basada en usuar i o, l a cual
es r el egada a l as capas super i or es.
Est e pr ocedi mi ent o r equi er e que el cl i ent e conf e en l a cl ave que l e
pr esent a el ser vi dor . Par a est o el cl i ent e puede t ener un conoci mi ent o pr evi o
de l a mi sma y ef ect uar una compar aci n, medi ant e al gn mecani smo de f i r ma o
encr i pt aci n de un hash o cer t i f i cando l a val i dez de l a mi sma a t r avs de una
Aut or i dad Cer t i f i cant e o CA.
Si bi en l a segunda al t er nat i va f aci l i t a l a admi ni st r aci n del mapeo
nombr e de ser vi dor / cl ave pbl i ca, r equi er e l a pr esenci a de una
i nf r aest r uct ur a PKI ( Public Key Infraestructure) , l a cual no es si mpl e de
i mpl ement ar e i mpl i ca cost os econmi cos i mpor t ant es par a l a or gani zaci n.
El pr ot ocol o de capa de t r anspor t e de SSH, es el encar gado de
aut ent i car el ser vi dor y negoci ar el mt odo de i nt er cambi o de cl ave, l os
al gor i t mos de encr i pt aci n si mt r i ca, de cl ave pbl i ca, de aut ent i caci n de
mensaj e ( HMAC) y de hash. El mt odo de i nt er cambi o de cl aves es i mpor t ant e ya
que def i ne como gener ar l as cl aves de sesi n a ut i l i zar en l a conexi n par a
encr i pt ar y f i r mar di gi t al ment e, adems de est abl ecer como aut ent i car al
ser vi dor .
El pr ot ocol o de capa de aut ent i caci n de SSH
19
se encar ga de ef ect uar
l a aut ent i caci n basada en usuar i o. SSH sopor t a aut ent i caci n basada en
usuar i o medi ant e cl ave pbl i ca, passwords y basada en equi po. En el caso de
usar passwords, est as son encr i pt adas cuando el paquet e de aut ent i caci n es
pr ocesado por l a capa i nf er i or de t r anspor t e. La aut ent i caci n basada en
equi po o host, consi st e en ver i f i car l a i dent i dad del host desde donde el
usuar i o se conect a, j unt o con l a exi st enci a del nombr e de usuar i o. El cl i ent e
f i r ma un mensaj e con su cl ave pr i vada y el ser vi dor l a ver i f i ca con l a cl ave
pbl i ca del cl i ent e. Luego se ver i f i ca que el nombr e de usuar i o envi ado por
el cl i ent e t enga aut or i zaci n. Est e mt odo no es aconsej abl e en escenar i os
que r equi er an segur i dad.

18
RFC4253 The Secure Shell (SSH) Transport Layer Protocol
19
RFC 4252 SSH Authentication Protocol
64
Fi nal ment e el pr ot ocol o de capa de conexi n se ej ecut a por enci ma
de l os pr ot ocol os de t r anspor t e y aut ent i caci n de SSH. Br i nda sesi ones
i nt er act i vas de login, ej ecuci n r emot a de comandos, r eenv o de t r f i co
TCP/ I P y de conexi ones del ser vi ci o de manej o de vent anas X11. Todo est as
conexi ones son est abl eci das medi ant e canal es que son mul t i pl exados a t r avs
de un ni co t nel est abl eci do por el pr ot ocol o de capa de t r anspor t e, a est o
se l o denomi na mul t i pl exaci n ascendent e
20
( upward multiplexing) .
2.6.2 Secure Sockets Layer/Transport Layer Security (SSL/TLS)
SSL f ue cr eado or i gi nal ment e par a asegur ar el t r f i co web, per o se
ut i l i za t ambi n par a asegur ar pr ot ocol os di f er ent es a HTTP. Br i nda
conf i denci al i dad a l a capa de t r anspor t e medi ant e el uso de cr i pt ogr af a
si mt r i ca mi ent r as que l a aut ent i caci n y manej o de cl aves se r eal i za
medi ant e l a cr i pt ogr af a de cl ave pbl i ca.
TLS
21
est a basado en l a ver si n 3 de SSL, per o no es el mi smo
pr ot ocol o. Se t r at a de un est ndar sobr e el cual se basan i mpl ement aci ones
t ant os comer ci al es como abi er t as. Br i nda pr i vaci dad e i nt egr i dad a l os dat os
t r ansmi t i dos en una comuni caci n ent r e dos apl i caci ones.
La i nt er oper abi l i dad de SSL/ TLS es muy al t a, no es comn l os
pr obl emas en l a i nt er acci n ent r e cl i ent es y ser vi dor es de di f er ent es
f abr i cant es. Dado que no se ut i l i za el encabezado I P par a el pr ocesami ent o,
si no l a conexi n aut ent i cada y est abl eci da, SSL/ TLS no es af ect ado por l a
pr esenci a de di sposi t i vos que ef ect en oper aci ones de t r aducci n de
di r ecci ones o NAT.
SSL/ TLS sopor t a una var i edad de mt odos de aut ent i caci n, si endo el
ms comn el uso de cer t i f i cados di gi t al es par a l a aut ent i caci n t ant o del
ser vi dor como del cl i ent e ( opci onal ) .
Las VPNs SSL pueden t r anspor t ar cual qui er t r f i co TCP i ncl usi ve
t r f i co UDP. Debi do a que SSL/ TLS es un ser vi ci o de l a capa de t r anspor t e,
una VPN SSL puede apl i car cont r ol de acceso a ni vel de apl i caci n y por
supuest o de t r anspor t e.
A di f er enci a de I PSec, el cual es un pr oceso que se ej ecut a en modo
kernel o pr i vi l egi ado, SSL es un pr ot ocol o que se ej ecut a como pr oceso a
ni vel de usuar i o. Est a car act er st i ca hace que una sol uci n VPN SSL sea ms
est abl e y r obust a. Cuando exi st e una dependenci a di r ect a con el si st ema
oper at i vo, cual qui er f al l a del pr oceso puede gener ar i nest abi l i dad a t odo el
si st ema.
2.7 TOPOLOGAS
La t opol og a apl i cada a l as r edes de dat os, descr i be l as r el aci ones
ent r e l os component es de una r ed. Su apl i caci n ms si mpl e def i ne como se
i nt er conect an l os di sposi t i vos que i nt egr an una r ed. Adems, el uso cor r ect o
de l a t er mi nol og a t opol gi ca evi t a conf usi ones cuando se hace r ef er enci a a
esquemas de r edes.

20
Data & Computer Communications Cap. 2 WilliamStallings
21
RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1
65
La cl asi f i caci n ms bsi ca de l as t opol og as est en f unci n de l a
nat ur al eza de l a r el aci n de conect i vi dad de l os component es de l a r ed. Puede
ser de nat ur al eza f si ca como un medi o de t r ansmi si n ( cabl e t ecnol og a
ethernet, f i br a pt i ca, enl ace sat el i t al et c. ) o de nat ur al eza l gi ca, como
l a r ut a que ut i l i za un f l uj o de bytes par a conect ar dos host. En est e caso se
consi der ar n l as t opol og as desde una per spect i va l gi ca, debi do a que l as
r edes pr i vadas vi r t ual es son un obj et o l gi co, t al como se l as def i ne en el
pr i mer cap t ul o.
Lo ms i mpor t ant e al est udi ar l a t opol og a de una r ed es el i mpact o
de est a sobr e ot r os aspect os que i nf l uyen en el desempeo de l a mi sma. Uno de
est os aspect os es l a escal abi l i dad l a cual es cr t i ca cuando se t r at a de
r edes que t i enden a cr ecer o que el nmer o de nodos a i nt er conect ar es
numer oso y var i abl e. La escal abi l i dad de una r ed se puede def i ni r en f unci n
de t r es car act er st i cas de su di seo
22
:
Capaci dad de manej ar mas conexi ones
Faci l i dad de mant eni mi ent o
Cost o
En el caso par t i cul ar de l as VPN, exi st en ot r os aspect os que est n
i nf l uenci ados por l a t opol og a: el mecani smo de di st r i buci n de cl aves par a
l a aut ent i caci n de l os nodos y l a di st r i buci n de l a i nf or maci n de
enr ut ami ent o necesar i a par a per mi t i r l a comuni caci n ent r e l os component es de
una mi sma VPN.
2.7.1 Escenarios
En el t er r eno de l as r edes pr i vadas vi r t ual es exi st en bsi cament e
t r es escenar i os que descr i ben l as r el aci ones ent r e l os nodos de una VPN. Las
conexi ones ent r e si t i os o r edes, l a conexi n ent r e un host y una r ed y l a
conexi n ent r e sol o un par de hosts.
El escenar i o r ed a r ed ( Fi gur a 2- 24) pr esent a l a conexi n de dos o
ms subr edes medi ant e uno o ms t nel es. Cada subr ed consi st e de un gateway y
al menos un host. EL gateway posee dos i nt er f aces de r ed, una par a conect ar se
al t nel y l a r est ant e par a conect ar se con l a subr ed i nt er na. El gateway
r eal i za el pr oceso de cr eaci n y el i mi naci n del t nel , as cmo l a
apl i caci n de mecani smos de segur i dad al t r f i co que r eenv a.

22
Kolesnikov, Hatch, Davis, Mongol - Building Linux VPN: VPN Fundamentals - Cap 2
66

Figura 2-24 Escenario Red a Red
El escenar i o host a r ed ( Fi gur a 2- 25) se puede consi der ar un caso
especi al del ant er i or donde una de l as par t es, en l ugar de ser una r ed, es
sol o un host y no hay pr esenci a de un gateway. Est e esquema se apr eci a en l as
VPN de acceso r emot o, donde l os usuar i os de una or gani zaci n se encuent r an
f si cament e al ej ados de su l ugar de t r abaj o, per o pueden acceder r emot ament e
a l os r ecur sos de l a r ed de dat os l ocal .

Figura 2-25 Escenario Host a Red

Fi nal ment e en el esquema host a host sol o dos equi pos podr n
est abl ecer una comuni caci n segur a. Est e escenar i o es una r educci n del caso
host a r ed. Si hubi er a necesi dad de comuni car ms hosts, ent onces ser an ms
apr opi ados l os escenar i os ant er i or es.
Est as f or mas de r el aci n det er mi nan l os esquemas t opol gi cos ms
habi t ual es en el mundo de l as r edes: punt o a punt o, punt o mul t i punt o,
est r el l a ( hub and spokes) y mal l a t ot al o par ci al ( full or partial mesh) ,
aunque t ambi n es posi bl e combi nar al guna de el l as e i mpl ement ar una
t opol og a h br i da. Su apl i caci n a l as VPNs posee sus vent aj as y desvent aj as.

67
2.7.2 Topologa Punto a Punto
Est a es l a t opol og a ms si mpl e, ya que es una conexi n di r ect a
ent r e dos ent i dades. Est a r el aci n de conect i vi dad di r ect a an es vl i da si
en un ni vel i nf er i or exi st en ent i dades cuya t ar ea es el r eenv o de l a
comuni caci n hast a l l egar al dest i no. Es deci r , es una comuni caci n di r ect a
en l a capa N an cuando en l a capa N- 1 es necesar i o at r avesar var i os nodos
hast a l l egar al dest i no
23
.
Est a t opol og a se puede encont r ar en VPNs, como casos par t i cul ar es
de ot r os esquemas ms compl ej os, como en el caso de l a est r el l a ( hub and
spoke) , donde cada ext r emo ( spoke) t i ene un enl ace punt o a punt o con el
cent r o ( hub) par a poder comuni car se con l os dems ext r emos.
Los ej empl os mas si mpl es de VPNs con est a t opol og a son l as
t r adi ci onal es de capa de enl ace basadas en ser vi ci os ATM o Frame Relay, ya
que est abl ecen una conexi n punt o a punt o ent r e si t i os de una or gani zaci n.
Tambi n se puede consi der ar l os t nel es de capa de r ed basados en I P que se
cr ean con el mi smo f i n y conect an dos di sposi t i vos CE, ut i l i zando I PSec o
GRE.
Un caso ms espec f i co es el ser vi ci o VPWS ( Virtual Private Wire
Service) . Se t r at a de un t i po de VPN de capa 2 pr ovi st a por el pr oveedor .
Est e br i nda un ser vi ci o de conect i vi dad punt o a punt o ent r e l os si t i os de un
cl i ent e. Est e ser vi ci o emul a enl aces dedi cados ent r e l os si t i os medi ant e
t nel es I P dent r o del backbone del pr oveedor , mant eni endo a l a vez l a
i nf r aest r uct ur a ATM o Frame Relay exi st ent e del cl i ent e. Una f or ma de
r eal i zar l o es ut i l i zando l os ci r cui t os vi r t ual es ( CV) Frame Relay o ATM ent r e
l os di sposi t i vos CE del cl i ent e y PE del pr oveedor y mapear l os a t nel es MPLS
( LSP) est abl eci dos a t r avs del backbone.
Est a sol uci n pr esent a pr obl emas de escal abi l i dad cuando el
pr oveedor t i ene que ser vi r var i as VPNs, ya que cada LSP deber ser
conf i gur ado i ndi vi dual ment e y mapeado a cada CV de l os cl i ent es. Est o
conl l eva un gr an esf uer zo de admi ni st r aci n, adems el aument o de l os t nel es
LSP par a sat i sf acer nuevas demandas i mpact ar en l a capaci dad del manej o de
est os en l os routers y switchs del pr oveedor , t ant o l os equi pos de bor de ( PE)
como l os per t eneci ent es al ncl eo del backbone ( P) .
Una mej or a al enf oque ant er i or es el denomi nado PWE3 ( Pseudowire
Emulation Edge-to-Edge) VPWS, como l o muest r a l a Fi gur a 2- 26. En est a
si t uaci n se mej or a l a escal abi l i dad ut i l i zando un nmer o f i j o de LSP ent r e
l os di sposi t i vos PE del backbone del pr oveedor . Luego se cr ean conexi ones
emul adas punt o a punt o ( pseudowires) ent r e l os PE medi ant e t nel es basados en
l os LSP ya est abl eci dos. Est as conexi ones si mul adas son encapsul aci ones de
pr ot ocol os de capa 2 ( ATM, Frame Relay, Ethernet, et c. ) en t r amas MPLS
24
.
Nuevament e es necesar i o que cada pseudowire sea conf i gur ado en f or ma
i ndi vi dual , af ect ando l a escal abi l i dad cuando el pr oveedor si r ve var i as VPNs.
Si n embar go se r educe l a car ga de pr ocesami ent o a sol o l os routers de bor de
ya que ni cament e en est os se def i nen l os pseudowires.

23
Designing Addressing Architectures for Routing & Switching Howard Berkowitz, Cap. 2
24
draft-ietf-pwe3-atm-encap; draft-ietf-pwe3-frame-relay; draft-ietf-pwe3-ethernet-encap.
68

Figura 2-26 Punto a Punto en VPN VPWS
Par a mej or ar l a escal abi l i dad, se r equi er e que l as conexi ones punt o
a punt o se est abl ezcan medi ant e un mecani smo aut omat i zado, como por ej empl o
el pr ot ocol o BGP. En est a si t uaci n cada di sposi t i vo PE usa BGP
mul t i pr ot ocol o par a anunci ar l as VPN y di sposi t i vos CE que est e cont r ol a.
Est a i nf or maci n acompaa l as et i quet as MPLS ut i l i zadas por l os PE par a
r eenvi ar se dat os ent r e s . De est a f or ma, cuando l os CE r eci ben est a
i nf or maci n, poseen l os dat os necesar i os par a cr ear l os pseudowires
25
sobr e
l os PE.
2.7.3 Topologa Punto a Multipunto
Est a t opol og a per mi t e est abl ecer ms de un cami no desde un l ugar a
ml t i pl es dest i nos. Cual qui er t r ansmi si n de dat os, or i gi nados en un punt o
de conexi n cent r al es r eci bi da por t odos l os punt os de conexi n per i f r i cos,
mi ent r as que l a comuni caci n en el ot r o sent i do, desde l a per i f er i a, sl o es
r eci bi da por el ext r emo cent r al .
El ser vi ci o de VPN de capa de enl ace VPLS ( Virtual Private LAN
Service) br i nda un ser vi ci o mul t i punt o medi ant e una conf i gur aci n de mal l a
compl et a. Una VPLS es est abl eci da por un pr oveedor de ser vi ci os y emul a una
LAN t r adi ci onal . Per mi t e conect ar var i os segment os de LAN, di st ant es
geogr f i cament e, sobr e una r ed de conmut aci n de paquet es de maner a que l as
r edes r emot as se compor t en como una ni ca LAN. En est a si t uaci n l os equi pos
CE no deben sel ecci onar el pseudowire par a r eenvi ar l os dat os par a un dest i no
det er mi nado ( t opol og a punt o a punt o) ; si mpl ement e r eenv an t odo el t r f i co
al di sposi t i vo PE del pr oveedor , qui en se encar ga de envi ar l o al dest i no
cor r espondi ent e.

25
draft-kompella-ppvpn-l2vpn
69
Est o es posi bl e en r edes MPLS donde se est abl ece una t opol og a de
mal l a compl et a de pseudowires ent r e l os di sposi t i vos PE del pr oveedor que
i nt egr an una det er mi nada VPLS. Gr aci as a est e esquema l os PE pueden r eal i zar
r epl i caci n de paquet es ( i nundaci n por dest i no desconoci do, br oadcast ,
mul t i cast ) y apr endi zaj e de di r ecci ones MACs t al como l o har a un bridge o
switch ethernet.
Par a si mpl i f i car l a conf i gur aci n de una VPLS, son necesar i os
mecani smos aut omt i cos par a obt ener i nf or maci n de l os i nt egr ant es de l a
VPLS, como l l egar haci a el l os y conect ar se f i nal ment e. Est o f aci l i t a t ambi n
el agr egado de nuevos nodos y l a admi ni st r aci n de l as conexi ones ( manej o de
pseudowires) ent r e el l os. De l o cont r ar i o el manej o y escal abi l i dad de l a VPN
se ver a af ect ada.
2.7.4 Topologa Estrella (Hub and Spokes)
Est a es l a t opol og a ms comn en VPNs. Exi st e un gateway VPN o
concent r ador ( hub) y una ser i e de cl i ent es ( spokes) que est abl ecen una
conexi n punt o a punt o con est e, un t nel de hecho. Par a que pueda exi st i r
comuni caci n ent r e l os cl i ent es r emot os, el t r f i co de dat os deber i r desde
el cl i ent e emi sor hast a el concent r ador , l uego est e r et r ansmi t i r esos dat os
haci a el cl i ent e r ecept or . No exi st e una conexi n di r ect a ent r e l os cl i ent es,
t oda l a comuni caci n deber at r avesar pr i mer o el concent r ador .
Est a t opol og a af ect a l a escal abi l i dad en cuant o a que est l i mi t ada
al desempeo y l a capaci dad de pr ocesami ent o del concent r ador . Est e deber
sopor t ar conexi ones si mul t neas. Por est a r azn el desempeo gener al de l a
VPN depender f undament al ment e de l a capaci dad del concent r ador . Por ot r o
l ado est e esquema pr esent a un ni co punt o de f al l a en el concent r ador mi smo.
La di sponi bi l i dad de l a VPN depender de l a f al l a de sol o uno de sus
component es. Ot r a desvent aj a que pr esent a es que si dos cl i ent es r emot os se
encuent r an geogr f i cament e cer ca, i gual deber n envi ar su t r f i co al
concent r ador en l ugar de ut i l i zar una conexi n di r ect a ent r e el l os.
Si n embar go, est e esquema t i ene l a vent aj a de una admi ni st r aci n
cent r al i zada, r espect o del moni t or eo, mant eni mi ent o, cont r ol de accesos,
r egi st r o de event os. Adems el hecho de agr egar un nuevo component e a l a VPN
es si mpl e debi do a que est a oper aci n se cent r al i za en el hub.
Una f or ma de pal i ar l a desvent aj a que si gni f i ca un ni co punt o de
f al l a, es una var i aci n de l a t opol og a donde exi st a ms de un concent r ador ,
t ant o par a br i ndar r edundanci a como par a bal ancear l a car ga r el aci onada con
l as conexi ones si mul t neas de l os cl i ent es. Exi st e un esquema donde se busca
l a r edundanci a per o en el l ado del cl i ent e, dupl i cando el component e spoke.
Est o per mi t e el bal anceo del t r f i co emi t i do desde el cl i ent e a t r avs de l a
dupl i caci n de l a conexi n con el concent r ador . Si bi en est a or gani zaci n
br i nda l a mxi ma di sponi bi l i dad, es pr ohi bi t i va en t r mi nos de cost o en
equi pos y en l a poca conveni enci a de i nver t i r r ecur sos en el ext r emo del
cl i ent e.
Est a t opol og a y sus var i ant es se apl i can en l os escenar i os r ed a
r ed, t ant o par a conect ar l os si t i os de una mi sma or gani zaci n como as
t ambi n cuando se i mpl ement an VPN ext r anet s con si t i os de ot r as
or gani zaci ones.
70
Las VPN si t i o a si t i o ut i l i zando I PSec son un ej empl o de l a
apl i caci n de est a t opol og a. Es comn consi der ar el uso del pr ot ocol o GRE
par a per mi t i r el t r f i co multicast ent r e l os si t i os de l a VPN. En est e caso
par t i cul ar , exi st en una ser i e de aspect os r el aci onados con l a escal abi l i dad
debi do al pr ot ocol o I PSec:
Escalabilidad SA (Asociaciones de Seguridad): se r ef i er e al
nmer o de asoci aci ones de segur i dad act i vas a sopor t ar , as como
su det ecci n, el i mi naci n y manej o. Est o es un aspect o
i mpor t ant e en el concent r ador y no en el cl i ent e. El pr i mer o
debe mant ener una base de dat os de SA r el aci onadas con l a
conect i vi dad de t odos l os cl i ent es.
Capacidad de tneles IPSec: Las pol t i cas de segur i dad que se
apl i can pueden i mpact ar en l a per f omance del concent r ador . La
sel ecci n de al gor i t mos cr i pt ogr f i cos f uer t es l l eva a una
sobr ecar ga de l a capaci dad de cmput o. Hay que bal ancear el
r equer i mi ent o de l a pol t i ca y l a car ga en el mant eni mi ent o de
l os t nel es con un cl cul o apr opi ado de l as necesi dades f ut ur as
de agr egaci ones de nodos cl i ent es a l a VPN.
Capacidad de procesamiento criptogrfico: est e aspect o est a
r el aci onado di r ect ament e con el ant er i or , en t r mi nos del
throughput de paquet es por segundo que es capaz de pr ocesar el
mdul o de encr i pt aci n.
Capacidad de mantenimiento de tneles GRE: Si bi en l a mayor a de
l os di sposi t i vos VPN sopor t an l os t nel es GRE, no l o i mpl ement an
a ni vel de har dwar e. Si se r equi er e est a encapsul aci n, l a mi sma
no deber l i mi t ar el throughput o el pr ocesami ent o en el
concent r ador .
2.7.5 Topologa de Malla Completa o Parcial (Full or Partial
Mesh)
En un di seo de mal l a compl et a ( full mesh) , cada di sposi t i vo se
comuni ca en f or ma di r ect a con t odos l os dems. En el caso de mal l a par ci al
( partial mesh) sol o ci er t os di sposi t i vos t i enen conexi n di r ect a ent r e s . La
r azn de el l o r adi ca en que no t odos r equi er en ms de una conexi n. Sol o
aquel l os que r equi er en al t a di sponi bi l i dad y que l a i nt er r upci n de una de
sus conexi ones no dej e al si t i o i ncomuni cado con el r est o.
Est e model o t i ene var i os benef i ci os y una gr an desvent aj a. Los
benef i ci os son:
No exi st e un ni co punt o de f al l a, l os di sposi t i vos no dependen
de un concent r ador par a l a comuni caci n dent r o de l a VPN
La per f omance gener al no est l i mi t ada a un sol o si st ema.
Aquel l os di sposi t i vos que est n pr xi mos geogr f i cament e, pueden
comuni car se di r ect ament e si n i nt er medi ar i o.
71
La desvent aj a r adi ca en el i ncr ement o del mant eni mi ent o en cuant o a
l a di st r i buci n de l as cl aves par a asegur ar l as comuni caci ones o en l a
di st r i buci n de i nf or maci n de enr ut ami ent o. En par t i cul ar si se usa I PSec,
l a cr eaci n de asoci aci ones de segur i dad necesar i as par a cada nodo que se
sume a l a VPN r epr esent a un cost o en el mant eni mi ent o. La si t uaci n puede
mej or ar si se ut i l i zan mt odos aut omt i cos par a l a di st r i buci n de cl aves, o
l a t r ansmi si n di nmi ca de r ut as.
Nuevament e l os escenar i os r ed a r ed i mpl ement an est a t opol og a
cuando hay un r equer i mi ent o de al t a di sponi bi l i dad o bi en sea necesar i o un
ser vi ci o mul t i punt o como en el caso de l as VPLS, donde se cr ea una t opol og a
de mal l a compl et a de pseudowires ent r e l os di sposi t i vos PE del pr oveedor y
as l os di sposi t i vos del cl i ent e pueden l l egar medi ant e multicast o broadcast
haci a l as ot r as r edes i nt egr ant es de l a mi sma VPLS.
72

CAP TULO 3
VPNs DE ACCESO REMOTO
3
73

3.1 INTRODUCCIN
En un pr i nci pi o el acceso r emot o se car act er i zaba por l a ut i l i zaci n
de l a r ed de t el ef on a ur bana, medi ant e l neas di scadas, par a conect ar se
haci a l a r ed de dat os de l a or gani zaci n. El usuar i o per t enec a a est a
or gani zaci n. Est as conexi ones se est abl ec an desde l a ubi caci n del usuar i o
hast a el ser vi dor RAS. Los pr ot ocol os ut i l i zados se basaban en PPP y l as
f unci ones AAA es deci r Aut ent i caci n, Aut or i zaci n y Audi t or a, est aban a
car go de un ser vi ci o espec f i co como RADI US.
Se asum a que l a i nf r aest r uct ur a de comuni caci ones por donde se
pr est aba el ser vi ci o de acceso er a r el at i vament e segur a y por ende no
si gni f i caba un ent or no host i l que amenazar a l a conf i denci al i dad ni l a
i nt egr i dad de l a comuni caci n. Teni endo en cuent a est o, l a segur i dad de l a
conexi n est aba l i mi t ada r espect o del cont r ol de acceso en el RAS, a un par
usuar i o/ cont r asea.
En l a act ual i dad, l as t ecnol og as de acceso a Internet medi ant e I SP,
como un ser vi ci o di al - up o DSL, poseen car ct er masi vo y r el at i vament e bar at o
par a l os usuar i os, br i ndando un ser vi ci o por dems adecuado par a r eempl azar
l os accesos di scados di r ect os que pod an ser ext r emadament e car os si el
usuar i o r emot o se encont r aba f uer a de l os l mi t es del si st ema de t el ef on a
l ocal . Si n embar go el i nconveni ent e es l a nat ur al eza pbl i ca por ende
i nsegur a de Internet.

Figura 3-1 Escenario General

El escenar i o de l as VPN de acceso r emot o puede ser def i ni do en
gener al de f or ma ni ca ( Fi gur a 3- 1) si bi en hay var i aci ones par t i cul ar es del
mi smo. En cual qui er a de l os casos, un cl i ent e desea conect ar se en f or ma
segur a a una r ed r emot a y poder t ener acceso a l os r ecur sos di sponi bl es en l a
mi sma. Par a est o deber est abl ecer una conexi n con un gateway de segur i dad o
ser vi dor de acceso r emot o, par a l uego conf i gur ar un t nel por donde f l ui r n
l os dat os de l a comuni caci n en f or ma segur a.
Est a comuni caci n gener al ment e se est abl ece desde una r ed
cor por at i va di f er ent e a l a r ed dest i no. Es habi t ual l a ut i l i zaci n de l a r ed
de un pr oveedor de ser vi ci os de Internet o I SP ( Internet Service Provider)
con una conexi n dial-up o DSL, donde es posi bl e l a pr esenci a de di sposi t i vos
i nt er medi os que conect an var i as r edes ent r e el cl i ent e r emot o y el gateway de
segur i dad.
74

3.1.1 Requerimientos bsicos de seguridad
Exi st en r equer i mi ent os bsi cos en cuant o a l a segur i dad, l os que
pueden ser cl asi f i cados en: aut ent i caci n de l os ext r emos de l a conexi n,
conf i gur aci n de l a pol t i ca de segur i dad ( cont r ol de acceso y aut or i zaci n)
y audi t or a.
Autenticacin de los extremos
Exi st en dos cl ases de aut ent i caci n: l a aut ent i caci n del or i gen de
dat os y l a aut ent i caci n de l a ent i dad. En el pr i mer caso se asegur a que l os
paquet es de r ed se or i gi nan desde un ni co si st ema, host, usuar i o o
apl i caci n, mi ent r as que en el segundo caso se asegur a que qui en gener a
di chos paquet es, es qui en di ce ser .
Ambos t i pos de aut ent i caci n se r el aci onan ent r e s , l a
aut ent i caci n del or i gen de dat os depende de l a aut ent i caci n de l a ent i dad.
Par a asegur ar que un paquet e se or i gi na en un host par t i cul ar o que pr ovenga
r eal ment e de l a r ed en l a cual r esi de el host, es necesar i o en pr i nci pi o,
aut ent i car l a ent i dad y l uego asoci ar l a i nf or maci n del or i gen de dat os ( I P,
puer t o, pr ot ocol o de t r anspor t e) a est a r el aci n de conf i anza est abl eci da por
el pr oceso de aut ent i caci n.
La ent i dad aut ent i cada puede ser un host, un usuar i o, o ambos. Por
est a r azn l a aut ent i caci n puede ser a ni vel de mqui na o a ni vel de
usuar i o. Ent r e l os mecani smos ut i l i zados par a est e pr oceso se cuent an: cl ave
compar t i da o PSK ( Pre Shared Key) , l a f i r ma di gi t al con el uso de
cer t i f i cados, cl aves RSA ( Rivest Shamir Adleman) .
Autenticacin a nivel de mquina/usuario
Cuando dos par t es se comuni can de maner a segur a, l a f ase i ni ci al de
ese pr oceso cor r esponde a l a aut ent i caci n del cl i ent e r emot o y/ o del
ser vi dor . En el caso de que el cl i ent e posea l as cr edenci al es par a i nt ent ar
una aut ent i caci n y no r equi er a l a par t i ci paci n de un usuar i o par a poder
ut i l i zar di chas cr edenci al es, l a ent i dad aut ent i cada ser el di sposi t i vo
donde se encuent r en al macenadas. El ni vel de segur i dad de est e pr ocedi mi ent o
depender de cuan f i abl e sea al macenar y ut i l i zar l as cr edenci al es en el
di sposi t i vo.
Si se r equi er e l a i nt er venci n de un usuar i o donde ver i f i que al gn
cr i t er i o par a t ener acceso a l as cr edenci al es, el ser vi dor no t endr una
cer t eza sobr e l a i dent i dad de est e. Par a t ener l a, son necesar i as l as
cr edenci al es de usuar i o.
La aut ent i caci n de usuar i o i mpl i ca l a pr esent aci n de al guna
i nf or maci n de aut ent i caci n en f or ma di r ect a haci a el ser vi dor dur ant e l a
f ase de aut ent i caci n. Si el di sposi t i vo desde donde el usuar i o est a
i nt ent ando acceder no pr esent a sus pr opi as cr edenci al es, ent onces l a ent i dad
aut ent i cada ser sol o el usuar i o.
Par a l ogr ar aut ent i car ambas ent i dades, se r equi er e l a i nt er acci n
con el usuar i o medi ant e una ent r ada de dat os. Est a puede o no compl ement ar a
l as cr edenci al es del di sposi t i vo, por ej empl o el i ngr eso de una passphrase
par a desencr i pt ar una cl ave pr i vada cont eni da en el di sposi t i vo. En el ot r o
caso l a ent r ada del usuar i o es i ndependi ent e de l as cr edenci al es al macenadas
al l .
75

En gener al l os r equer i mi ent os de aut ent i caci n son asi mt r i cos.
Desde l a per spect i va del cl i ent e es i mpor t ant e asegur ar se que el ser vi dor , en
el ot r o ext r emo, sea r eal ment e qui en di ce ser . Es deci r es necesar i a una
aut ent i caci n a ni vel de mqui na.
Desde l a per spect i va del ser vi dor l a si t uaci n es un poco di f er ent e.
Es i mpor t ant e det er mi nar que l a ent i dad en est e ext r emo sea l a aut or i zada y
no un pr ogr ama mal i ci oso o al gui en no aut or i zado que est ut i l i zando un
di sposi t i vo de l a or gani zaci n. Aut ent i car a un usuar i o r equi er e al guna f or ma
de ent r ada por par t e de est e par a el env o de cr edenci al es y est e mecani smo
deber a ser r enovado per i di cament e. Est e l t i mo aspect o deber a ser un
equi l i br i o ent r e el i nt er val o de r enovaci n ( l o que puede ser mol est o par a el
usuar i o) y el r i esgo r eal de compr omi so de l as cr edenci al es. En est e caso es
aconsej abl e el uso de si st emas de cl aves de uso ni co u OTP ( One Time
Password) .
Est e no es el caso cuando se t r at a de equi pami ent o pr ovi st o por l a
or gani zaci n al usuar i o mvi l . Se asume que el di sposi t i vo es conf i abl e
por que, como equi pami ent o de l a or gani zaci n, cumpl e con l as pol t i cas de
segur i dad de l a mi sma y t endr el software necesar i o, t ant o el cl i ent e VPN
como ant i vi r us, firewall y dems her r ami ent as de segur i dad i nst al adas y
act ual i zadas que el staff de admi ni st r aci n, con l os pr i vi l egi os
cor r espondi ent es, se encar gar on de i ncor por ar al equi po.
3.1.2 Configuracin de las polticas de seguridad
Es posi bl e conf i gur ar pol t i cas de acceso t ant o en el cl i ent e r emot o
como en el gateway de segur i dad. En el pr i mer caso se puede consi der ar que el
acceso a Internet desde el cl i ent e, t ambi n se r edi r i j a a t r avs del t nel
con l a r ed de l a or gani zaci n, evi t ando que el t r f i co HTTP l o haga por r edes
i nsegur as.
En cuant o a pol t i cas apl i cabl es al gateway de segur i dad, se puede
est abl ecer l a asi gnaci n di nmi ca de per mi sos de acuer do al usuar i o o si st ema
que est abl ece l a conexi n. Est e esquema puede val er se de un mapeo uno a uno,
r espect o de l a di r ecci n I P or i gen de l a conexi n y l os per mi sos
cor r espondi ent es. Una al t er nat i va ms escal abl e ser a asoci ar una ser i e de
per mi sos a un conj unt o o r ango de di r ecci ones.
3.1.3 Auditora
La audi t or a se r ef i er e a l a r ecol ecci n de i nf or maci n de est ado de
l as conexi ones di r i gi das al gateway de segur i dad por par t e de l os cl i ent es
r emot os. El pr opsi t o de est a oper aci n es mant ener l a segur i dad e i nt egr i dad
de l a r ed dest i no de l a or gani zaci n. Desde una per spect i va de l a segur i dad,
es de ut i l i dad t ener el r egi st r o del t i empo de i ni ci o y f i n de una conexi n.
Es necesar i o un mt odo par a moni t or ear el t i empo de conexi n de l os
cl i ent es y poder manej ar l os casos en donde est os f i nal i cen su conexi n en
f or ma no expl ci t a. Par a est as si t uaci ones se ut i l i za un mecani smo de
heartbeat por el cual el cl i ent e r emot o env a una seal l uego de un t i empo
par a i ndi car al gateway que an se mant i ene en l nea. Pasado un t i empo
( umbr al de r eset ) , si n r eci bi r una nueva seal por par t e del cl i ent e, el
gateway da por f i nal i zada l a conexi n.
76

El i nt er val o de heartbeat puede i nf l ui r en f or ma negat i va si es
demasi ado cor t o. Si se pr esent a congest i n en l a r ed, es pr obabl e que se
pi er dan al gunos paquet es de heartbeat del cl i ent e y el gateway f i nal i ce l a
conexi n al al canzar el umbr al de r eset r pi dament e. Ambos par met r os
deber an poder ser aj ust ados medi ant e conf i gur aci n o dur ant e l a negoci aci n
de l a conexi n.
3.2 ESCENARIOS
Exi st en escenar i os comunes en l as VPNs de acceso r emot o:
Tel e t r abaj ador es/ usuar i os mvi l es oper ando di sposi t i vos pr opi os
Acceso con un di sposi t i vo l ocal a l a r ed l ocal desde una
ext r anet
Acceso desde una ext r anet con un di sposi t i vo de est a a l a r ed
l ocal
Acceso de usuar i os mvi l es desde di sposi t i vos pbl i cos
Las di f er enci as se apr eci an en l os r equer i mi ent os bsi cos de
segur i dad que se necesi t an cumpl i r en cada escenar i o.
3.2.1 Tele trabajadores/usuarios mviles operando dispositivos
propios
Est e escenar i o pr esent a a usuar i os de una or gani zaci n que se
encuent r an f uer a de l os l mi t es de est a y r equi er en acceso a l a r ed de
dat os. Est os pueden est ar en sus casas o en un si t i o geogr f i cament e
di st ant e. En cual qui er caso est os usuar i os est n oper ando equi pos de l a
or gani zaci n o per sonal es, en est e l t i mo caso deben cumpl i r con l as
pol t i cas de segur i dad.
El usuar i o ut i l i za l a r ed pbl i ca y l a de un I SP par a est abl ecer l a
conexi n. Par a el caso del gateway VPN, st e debe aut ent i car se a ni vel de
equi po, l o cual es suf i ci ent e. En cuant o al cl i ent e es r ecomendabl e l a
aut ent i caci n a ni vel de usuar i o. Par a el caso de conexi ones per manent es es
conveni ent e l a r enovaci n per i di ca de l as cr edenci al es del usuar i o. Est o
puede ser opci onal en el caso de conexi ones di scadas de cor t a dur aci n.
En t r mi nos de pol t i cas de segur i dad apl i cabl e al cl i ent e, se
dest aca el hecho de que si el cl i ent e t i ene acceso a Internet, ent onces
t ambi n es posi bl e un acceso r ec pr oco desde Internet haci a el cl i ent e, t odo
est o mi ent r as est a conect ado a l a r ed l ocal de l a or gani zaci n. Es
r ecomendabl e desest i mar el acceso a Internet mi ent r as se ut i l i ce el acceso
VPN. Como al t er nat i va se puede der i var el t r f i co haci a y desde Internet a
t r avs del t nel de l a VPN donde podr a est ar suj et o a l a apl i caci n de
al guna pol t i ca de segur i dad. Ot r a opci n ser a apl i car esa pol t i ca
di r ect ament e en el cl i ent e par a el t r f i co Internet si n r equer i r l a
der i vaci n de ese f l uj o haci a l a r ed l ocal .

77

3.2.2 Acceso con un dispositivo propio a la red local desde una
extranet
En est a si t uaci n, hay una ext r anet est abl eci da. La ext r anet puede
r euni r dos o ms r edes di f er ent es cuyo cont r ol admi ni st r at i vo es
i ndependi ent e en cada caso. Est e escenar i o pl ant ea el caso de usuar i o y su
not ebook per t eneci ent e l a r ed cor por at i va A f unci onado en l a r ed de B. Dada
l a r el aci n ent r e ambas cor por aci ones, por l a cual se gener t al ext r anet ,
el usuar i o de l a r ed A se encuent r a t r abaj ando en l a r ed cor por at i va B con su
por t t i l . Su i nt enci n es conect ar se a su r ed l ocal .
Aqu l os r equer i mi ent os de aut ent i caci n en el cl i ent e son a ni vel
de usuar i o ya que es necesar i o asegur ar que qui en i ni ci l a conexi n sea el
mi smo usuar i o act i vo dur ant e t odo el t i empo que dur e l a mi sma. Es
r ecomendabl e l a dobl e aut ent i caci n, t ant o a ni vel de mqui na como de
usuar i o. Cual qui er a sea el caso, l a aut ent i caci n deber ser r enovada
f r ecuent ement e. El gateway o ser vi dor VPN deber r eal i zar l a aut ent i caci n a
ni vel de mqui na.
Si bi en el di sposi t i vo per t enece a l a cor por aci n A, no se l e puede
apl i car l a pol t i ca par a der i var t odo su t r f i co haci a l a r ed de per t enenci a
ya que se encuent r a en l os domi ni os de l a r ed B y de hecho posee su
conf i gur aci n de r ed. Hay que t ener en cuent a que, dada l a nat ur al eza de est e
escenar i o, l a notebook necesi t ar i nt er act uar con l os r ecur sos de B. Puede
est ar suj et o a est as r est r i cci ones el t r f i co haci a y desde Internet.
3.2.3 Acceso desde una extranet con un dispositivo propio de
esta, a la red local
Est e es un caso si mi l ar al ant er i or , con l a excepci n que el
di sposi t i vo es ext er no a l a r ed dest i no, est a f uer a del cont r ol de est a.
Nuevament e el t i po de aut ent i caci n ms i mpor t ant e debe ser a ni vel de
usuar i o ya que a ni vel de mqui na es di f ci l de det er mi nar el ni vel de
conf i anza sobr e el equi po. Las cr edenci al es del usuar i o deben r enovar se
per i di cament e.
3.2.4 Acceso de usuarios mviles desde dispositivos pblicos
Los di sposi t i vos de acceso son pbl i cos y no est n baj o el cont r ol
de l a or gani zaci n. En el caso donde el di sposi t i vo ut i l i zado no sea pr opi o o
no per t enezca a l a or gani zaci n, por ej empl o un usuar i o r emot o mvi l oper ando
una PC en un cyber caf , l a aut ent i caci n a ni vel de di sposi t i vo del cl i ent e
car ece de sent i do. Tampoco es aconsej abl e el uso de cl aves est t i cas, ya que
pueden ser capt ur adas medi ant e un pr ogr ama de capt ur a de t ecl as i nst al ado en
di cha PC, an cuando se est e ut i l i zando un smartcard que al macene l as
cr edenci al es de usuar i o.
Exi st e ot r o i nconveni ent e en est e escenar i o. Al no est ar l a PC baj o
el cont r ol de l a or gani zaci n, no es posi bl e que el cl i ent e pueda ver i f i car
l os dat os del ser vi dor o gateway VPN con el cual desea conect ar se. Es
i mposi bl e el al macenami ent o segur o de i nf or maci n que per mi t a aut ent i car al
ser vi dor , pr evi o a l a conexi n, por ej empl o una cl ave pr ecompar t i da ( su uso
no es aconsej abl e) o un cer t i f i cado de cl ave pbl i ca de l a CA que emi t i el
cer t i f i cado del gateway.
78

Est a i nf or maci n se i ncor por a al di sposi t i vo al moment o de l a
i nst al aci n de un software cl i ent e VPN. Est a oper aci n suel e r equer i r
pr i vi l egi os de admi ni st r ador , por l o que ser a di f ci l r eal i zar l o con un
di sposi t i vo pbl i co. Peor es l a si t uaci n donde s es posi bl e hacer l o, por que
si se obt i enen pr i vi l egi os par a l a i nst al aci n del cl i ent e se t i ene que
asumi r que un pr ogr ama mal i ci oso t ambi n l os t endr .
En est e escenar i o se apl i can sol uci ones, que si bi en no son
ver dader as VPNs, el mer cado ha f or zado a que se l as consi der e como t al es ( Web
VPNs) . El uso del pr ot ocol o SSL, pr esent e en l a mayor a de l os cl i ent es web o
navegador es, per mi t e un acceso segur o muy l i mi t ado, ni cament e a apl i caci ones
basadas en est e pr ot ocol o. Est o r equi er e de un mecani smo de proxy r ever so que
per mi t a el manej o de l as pet i ci ones, consi der ando adems unos mecani smos de
aut ent i caci n.
Como compl ement o a est e acceso l i mi t ado se puede i mpl ement ar l o que
se conoce como un si st ema de Eval uaci n y Val i daci n de l a Segur i dad del
Ext r emo ( Endpoint Security Posture Assessment and Validation) que per mi t e
anal i zar el est ado del di sposi t i vo r emot o y det er mi nar cuan conf i abl e es par a
per mi t i r l e l a conexi n. Est o se l ogr a buscando vi r us o pr ogr amas mal i ci osos
medi ant e un anl i si s en el di sposi t i vo r emot o, det er mi nando si su SO est a
act ual i zado y si t i ene software de segur i dad act i vo y act ual i zado. Si cumpl e
con el ni vel de conf i anza esper ado se l e per mi t e l a conexi n, caso cont r ar i o
se i mpi de el acceso.
Se consi der a i mpr udent e l a ut i l i zaci n de est a cl ase de di sposi t i vos
si no se t i ene un ni vel de cer t eza r espect o de l a conf i abi l i dad del mi smo.
Est e escenar i o no es el adecuado par a t ener un acceso compl et o a l a r ed l ocal
medi ant e l a VPN, debi do a l as l i mi t aci ones del ent or no r espect o a l a
i nt egr i dad del pr oceso de aut ent i caci n, t ant o a ni vel de di sposi t i vo como
de usuar i o.
3.3 ARQUITECTURA DE SEGURIDAD
Cuando desde l a pr opi a r ed l ocal se i nt er act a con equi pos pr esent es
en r edes ext er nas como ext r anet s, o pbl i cas como Internet, se accede a un
ent or no f uer a del cont r ol de l a or gani zaci n, por l o t ant o i nsegur o.
Per mi t i r i nt er act uar equi pos si t uados en est os ent or nos con l os
pr opi os de l a or gani zaci n es un panor ama an ms cr t i co que r equi er e t ener
pr esent e l a segur i dad consi der ando:
Las pol t i cas de segur i dad de l a or gani zaci n y def i ni r su
apl i caci n t ant o a l os cl i ent es como al ser vi dor VPN.
Def i ni r cl ar ament e l os ser vi ci os de l a r ed l ocal que est ar n
di sponi bl es par a l os usuar i os r emot os.
Cont r ol del t r f i co ent r ant e y sal i ent e.
Un adecuado manej o del ser vi ci o de aut ent i caci n de l os usuar i os
r emot os.
Una cor r ect a di sposi ci n del gateway VPN en el esquema de l a r ed
j unt o con una adecuada i nt er acci n con el firewal.
79

El ni vel de hardening, o cuan segur o es el gateway VPN si est e
se ubi ca di r ect ament e en el bor de de l a r ed.
Mant ener un si st ema de audi t or a que r egi st r e l os event os
asoci ados a l os accesos a l a VPN.
Asegur ar l a di sponi bi l i dad del ser vi ci o de VPN de acceso r emot o
3.3.1 Gateway VPN y Firewall, seguridad en la frontera
Un firewall es una combi naci n de har dwar e y software ut i l i zado par a
i mpl ement ar una pol t i ca de segur i dad que cont r ol a el t r f i co de dat os ent r e
dos o ms r edes. La pol t i ca se apl i ca sol ament e sobr e l a r ed o r edes que
est n baj o el cont r ol de l a or gani zaci n
26
.
Al conj unt o f or mado por l a r ed o r edes i ncl ui das en el al cance de l a
pol t i ca se l o denomi na domi ni o de segur i dad. Es necesar i o t ener cl ar o l os
l mi t es de est e domi ni o par a eval uar en f or ma cor r ect a l a apl i caci n de l a
pol t i ca.
La i nt er secci n con ot r os domi ni os es el escenar i o donde se
r equi er e l a pr esenci a de un firewall, es deci r en el bor de o f r ont er a de l a
r ed de l a or gani zaci n.
Un gateway o ser vi dor VPN per mi t e el acceso a usuar i os r emot os
ubi cados f uer a del domi ni o de segur i dad de l a or gani zaci n, como Internet, l a
r ed de un pr oveedor u ot r a r ed per t eneci ent e a un domi ni o de segur i dad
di f er ent e. Por est a r azn deber est ar ubi cado en el mi smo mbi t o que el
firewall. En gener al el gateway VPN es par t e del conj unt o de her r ami ent as y
t ecnol og as que br i ndan segur i dad a l a r ed de l a or gani zaci n.
Exi st en di f er ent es t opol og as r el aci onadas con l a ubi caci n del
gateway VPN, en l a mayor a de el l as es aconsej abl e el di seo basado en DMZ
( Demilitarized Zone) o zona desmi l i t ar i zada, ya que br i nda mayor segur i dad a
l a r ed i nt er na.
Una DMZ es una r ed donde se ubi can l os equi pos que br i ndan l os
ser vi ci os pbl i cos de una or gani zaci n. Est os son accedi dos desde el
ext er i or , por est a r azn deben est ar separ ados de l a r ed l ocal de l a
or gani zaci n. La DMZ es una r ed ai sl ada de l a r ed i nt er na medi ant e un
firewall que se encar ga de pr ot eger st a l t i ma y l os equi pos en l a DMZ. Par a
l ogr ar est a separ aci n cuent a con al menos t r es i nt er f ases de r ed: par a l a
r ed ext er na, l a DMZ y l a r ed i nt er na.
Gateway VPN sobre el Firewall
La sol uci n ms nat ur al y si mpl e es l a i mpl ement aci n del ser vi dor
VPN en el mi smo di sposi t i vo donde f unci ona el f i r ewal l . Es habi t ual en
di sposi t i vos f i r ewal l comer ci al es, l os cual es i ncl uyen f unci onal i dad de
gateway VPN en sus pr oduct os, por ej empl o CI SCO en su l nea de pr oduct os
f i r ewal l ASA PI X.
Est e di seo per mi t e t ener un ni co punt o de ent r ada a l a r ed de l a
or gani zaci n, donde el f i r ewal l aut or i za l as conexi ones sal i ent es haci a el
ext er i or , pr evi ene l as conexi ones ent r ant es no aut or i zadas haci a el i nt er i or
y l a f unci n de gateway VPN es admi ni st r ar l as conexi ones de l os usuar i os
r emot os, aut or i zando su acceso y encr i pt ando su t r f i co.

26
Deploying Firewalls Fithen,Allen,Stoner - Carnige Mellon University
80

Las vent aj as de est e esquema son:
Cent r al i za el cont r ol de t oda l a segur i dad, con l o que se
di smi nuye el cost o de admi ni st r aci n.
La i nt er acci n Firewall- Gateway VPN es nat ur al y di r ect a, l o que
f aci l i t a l a cr eaci n di nmi ca de r egl as del firewall apl i cadas
al t r f i co VPN.
Menos equi pami ent o.

Figura 3-2 Gateway VPN sobre el Firewall
Las desvent aj as son:
ni co punt o de f al l a.
El pr ot ocol o de t nel no es t r anspar ent e al firewall.
Una conf i gur aci n i ncor r ect a de l as r egl as del firewall podr an
per mi t i r el acceso, a t r avs del espaci o de di r ecci ones de l a
VPN, de t r f i co no per mi t i do.
Compet enci a de r ecur sos de har dwar e a causa del pr ocesami ent o
por par t e de l os dos ser vi ci o. Se r equi er e un equi po pot ent e en
CPU y memor i a.
Escal abi l i dad l i mi t ada si el di sposi t i vo no sopor t a el agr egado
de mdul os par a des/ encr i pt ar . Si se i ncr ement a l a cant i dad de
cl i ent es r emot os, el punt o ant er i or ser ms evi dent e.
Cost o de ent r enami ent o par a un uso adecuado del di sposi t i vo, si
se t r at a de una sol uci n pr opi et ar i a.

81

Gateway VPN y Firewall en paralelo
Como en el di seo ant er i or l os ser vi ci os se si t an separ ados
f si cament e en di f er ent es equi pos, per o est a vez l a separ aci n del
pr ocesami ent o es compl et a. Est e esquema se basa en una DMZ est ndar donde
ambos di sposi t i vos t i enen acceso a l a r ed i nt er na y a l a r ed ext er na,
est abl eci ndose una zona buf f er ent r e el gateway pr edet er mi nado de l a r ed
l ocal , el f i r ewal l y el Gateway VPN.
Las vent aj as son:
Pr ocesami ent o en par al el o de t r f i co espec f i co sobr e l os
di sposi t i vos cor r espondi ent es. Se desl i ga compl et ament e al
f i r ewal l de at ender el t r f i co r el aci onado con l a VPN.
Mej or escal abi l i dad r espect o del cr eci mi ent o de usuar i os
r emot os. Se puede agr egar mas ser vi dor es VPN y di st r i bui r l a
car ga.
No hay un ni co punt o de f al l a.
No se r equi er e pr ocesami ent o NAT en el gateway VPN ni en el
firewall.

Figura 3-3 Esquema en paralelo

82

El ser vi dor VPN est a conect ado di r ect ament e a l a r ed ext er na.
Debe conf i gur ar se cui dadosament e ( hardening) par a evi t ar que sea
compr omet i do.
Conf i gur ar cui dadosament e ambos equi pos par a evi t ar el f l uj o de
t r f i co no per mi t i do.
I ncr ement o en el cost o de admi ni st r aci n y mant eni mi ent o de l as
conf i gur aci ones.
Mayor cost o econmi co por l a adqui si ci n de equi pos
Est e di seo se basa en una DMZ t r adi ci onal , donde el di sposi t i vo que
separ a l a r ed l ocal es un router de f i l t r ado de paquet es, l o cual l o hace un
esquema poco segur o.
Dependi endo del ni vel de segur i dad que br i nda el ser vi dor VPN, es
r ecomendabl e ubi car ant es o despus de st e un firewall dedi cado par a
asegur ar el t r f i co ent r ant e VPN ant es de al canzar l a r ed i nt er na. Est a
al t er nat i va agr ega una demor a en el pr ocesami ent o de l os dat os y r equi er e
compat i bi l i dad con el pr ot ocol o de t nel .
Gateway VPN integrado a DMZ nica
El gateway VPN se ej ecut a en un di sposi t i vo separ ado del firewall,
una de sus i nt er f aces se conect a a l a r ed ext er na mi ent r as que l a r est ant e se
conect a a l a ni ca DMZ compar t i da con el firewall.
En est e caso el t r f i co VPN es at endi do por el Gateway VPN y es
f i l t r ado por el firewall a t r avs l as i nt er f aces de ambos equi pos en l a DMZ,
par a f i nal ment e r eenvi ar l o a l a r ed l ocal i nt er na. Est e es un di seo si mpl e y
muy segur o, por l o t ant o el ms adecuado.
Las vent aj as son:
Di st r i buci n del pr ocesami ent o del t r f i co ent r ant e, el gateway
se encar ga est r i ct ament e del t r f i co VPN.
Menor conf i gur aci n r el aci onada al t r f i co VPN en el firewall.
Mayor segur i dad al t r f i co de l a VPN que l l ega a l a r ed i nt er na.
El t r f i co VPN puede ser anal i zado par a pr eveni r at aques en su
paso por l a i nt er f az de l a DMZ del firewall.
El pr ocesami ent o del t r f i co VPN, en el firewall, es
i ndependi ent e del pr ot ocol o de t nel ut i l i zado y no se r equi er e
pr ocesami ent o NAT.

83

Figura 3-4 Gateway VPN con DMZ nica

El ser vi dor VPN est a conect ado di r ect ament e a l a r ed ext er na.
Debe conf i gur ar se cui dadosament e ( har deni ng) par a evi t ar que sea
compr omet i do.
El firewall r epr esent a un ni co punt o de f al l a.
Gateway VPN y Firewall con doble DMZ
Est e es un esquema de mxi ma segur i dad apl i cado al gateway VPN. Se
ut i l i zan dos DMZ par a separ ar el f l uj o ent r ant e y sal i ent e de l a VPN.
Nuevament e l os ser vi ci os se encuent r an en di sposi t i vos separ ados, per o sol o
el f i r ewal l se conect a a l a r ed ext er na. Est e f i l t r a el f l uj o VPN ent r ant e y
sal i ent e a t r avs de dos DMZ est abl eci das.
Est e esquema, si bi en es muy segur o, agr ega demor a al pr ocesami ent o
del t r f i co ya que se r equi er e at r avesar dos r edes adems del dobl e anl i si s
por par t e del f i r ewal l , si n embar go el t r f i co VPN ent r ant e a l a r ed i nt er na
es conf i abl e.
Las vent aj as son:
Acceso r emot o haci a l a r ed i nt er na es muy segur o.
Separ aci n del f l uj o VPN ent r ant e y sal i ent e, l o que per mi t e
apl i car l e r egl as de cont r ol de f or ma ms espec f i ca.
84

Figura 3-5 Uso de una doble DMZ
Dobl e pr ocesami ent o del t r f i co VPN, pr oveni ent e de l os cl i ent es
r emot os medi ant e l a DMZ Outside y de l a r ed i nt er na a t r avs de
l a DMZ Inside.
El firewall es dependi ent e del pr ot ocol o de t nel , al menos
dur ant e el pr ocesami ent o en su i nt er f az conect ada en l a DMZ
Outside.
Al t o cost o admi ni st r at i vo de l a conf i gur aci n
3.3.2 Disponibilidad
El ser vi ci o de acceso r emot o en una or gani zaci n r epr esent a un val or
act i vo de l a mi sma, ya que per mi t e un mej or desar r ol l o de l as act i vi dades de
sus i nt egr ant es. Muchas veces ms que por una r azn de ef i ci enci a es por una
necesi dad est r at gi ca, en concor danci a con l os obj et i vos que per si gue l a
or gani zaci n. Es deci r , l a pr esenci a de t al r ecur so t i ene un f undament o y
cumpl e con un r equer i mi ent o i mpor t ant e de l a or gani zaci n.
Es en est e mar co que asegur ar l a di sponi bi l i dad del ser vi ci o de
acceso r emot o es un aspect o a consi der ar . La di sponi bi l i dad o Al t a
di sponi bi l i dad o HA ( High Availability) de una VPN de acceso r emot o est en
f unci n de l os cost os que puede asumi r l a or gani zaci n ya que i mpl ement ar HA
no es bar at o.
85

Hay t r es esquemas r econoci dos que se ut i l i zan par a est e f i n l os
cual es son de nat ur al eza l ocal , es deci r se apl i can donde se encuent r a el
gateway VPN. Est os se basan en el concept o de failover, que si gni f i ca l a
capaci dad de cambi ar o del egar el cont r ol en f or ma aut omt i ca a un
di sposi t i vo o equi po r edundant e par a que t ome el manej o del ser vi ci o o
f unci n par a l a cual se i mpl ement est e mecani smo.
Los esquemas usados par a al t a di sponi bi l i dad son:
Host standby failover: en est e esquema hay dos ser vi dor es VPN,
uno de l os cual es est a i nact i vo ( host standby) r espect o de su
f unci n, mi ent r as que el r est ant e est oper ando como t al . Ant e
l a f al l a de est e l t i mo se act i va y t oma el cont r ol el segundo
ser vi dor . Par a que est o suceda deben exi st i r ci er t os mecani smos
como pr ot ocol os par a failover y si ncr oni zaci n ent r e l as
uni dades de l a i nf or maci n de l as sesi ones VPN de maner a de
mi ni mi zar l a i nt er r upci n dur ant e el failover.
Active-active failover: en est e caso ambas uni dades est n
oper ando y manej ando el t r f i co. Medi ant e el pr ot ocol o de
failover se moni t or ea el est ado de ambos equi pos. Dado que ambos
equi pos est n oper ando l a f al l a de uno de el l os act i var el
mecani smo de failover si n i nt er r umpi r el ser vi ci o.
Mutiunit clustering: si mi l ar al esquema ant er i or per o con ms de
dos uni dades. Si bi en se ut i l i za par a br i ndar al t a
di sponi bi l i dad, su comet i do pr i nci pal es mej or ar l a
escal abi l i dad. Est e esquema of r ece r edundanci a y bal anceo de
car ga cuando aument a el nmer o de cl i ent es r emot os. Est a
sol uci n es l a ms cost osa y r equi er e ent r enami ent o del per sonal
par a una cor r ect a admi ni st r aci n.

Figura 3-6 Alta disponibilidad con Failover Activo
86

Figura 3-7 Alta disponibilidad mediante un Cluster
3.3.3 Autenticacin, Autorizacin y Registro (AAA)
El manej o ef ect i vo de l os usuar i os VPN y de sus pr i vi l egi os de
acceso es vi t al en cual qui er di seo de VPN de acceso r emot o. Exi st en dos
aspect os pr i nci pal es a consi der ar :
Una sol uci n segur a y escal abl e par a aut ent i car usuar i os
Deci si ones basadas en at r i but os de usuar i o y de segur i dad par a
def i ni r l os per mi sos de acceso.
La t ecnol og a AAA per mi t e est abl ecer un esquema de segur i dad
di nmi co r espect o del cont r ol de acceso. En l a act ual i dad exi st e una gr an
var i edad de mecani smos que per mi t en aut ent i car a un usuar i o, de hecho l os
pr ot ocol os de VPN se car act er i zan por est o. Adems es necesar i a l a asi gnaci n
de pr i vi l egi os en f or ma di nmi ca de acuer do al r ol del usuar i o que i nt ent a
acceder r emot ament e.
Adems de val i dar al usuar i o, el pr oceso de aut ent i caci n per mi t e
asi gnar al usuar i o a una pol t i ca de gr upo. Est a asi gnaci n se r eal i za en
base a l a i nf or maci n de gr upo del usuar i o en l a or gani zaci n y a ot r os
at r i but os. Est a pol t i ca de gr upo def i ne l os pr i vi l egi os de acceso del
usuar i o par a l a f ase de aut or i zaci n.
Dent r o de l os pr ot ocol os AAA r econoci dos est RADI US cuyas
especi f i caci ones apar ecen en l a RFC 2058. st e posee l a condi ci n de
pr ot ocol o est ndar por l a I ETF
27
. TACACS es ot r o conoci do pr ot ocol o AAA
desar r ol l ado por CI SCO. Obvi ament e se t r at a de una al t er nat i va pr opi et ar i a,
que se encuent r a y ut i l i zan, por def ect o, t odos l os di sposi t i vos de est e
f abr i cant e.

27
I nt er net Engi neer i ng Task For ce: Comuni dad pbl i ca i nt er naci onal cuyo obj et i vo es el
mej or ami ent o const ant e de I nt er net . Su mi si n se document a en l a RFC- 3935.
87

Componentes Principales
Dent r o de una ar qui t ect ur a AAA exi st en component es que i nt er act an
ent r e s . Est a di st i nci n no r ef i er e a di sposi t i vos f si cos dedi cados si no a
cont enedor es l gi cos de f unci ones, l os cual es suel en est ar combi nados:
Cliente: es qui en i nt ent a acceder a l a r ed y aut ent i car se a si
mi smo o ser vi r como medi o par a aut ent i car al usuar i o que l o
ut i l i za.
Punto de Aplicacin de Poltica (PEP): t ambi n denomi nado
aut ent i cador . En est e caso se t r at a del gateway VPN, pr ocesa l a
sol i ci t ud de acceso del cl i ent e y se encar ga de apl i car l as
r est r i cci ones al acceso del cl i ent e.
Punto de Informacin de Poltica (PIP): es un r eposi t or i o de
i nf or maci n que ayuda a t omar l a deci si n de per mi t i r o no el
acceso. Se t r at a de cual qui er si st ema que al macene dat os
r el evant es r espect o del di sposi t i vo o usuar i o que r equi er e
acceso. Por ej empl o ser vi dor LDAP, OTP token server et c.
Punto de Decisin de Poltica (PDP): es el component e pr i nci pal
de l a ar qui t ect ur a que t oma l a deci si n de per mi t i r o no el
acceso. Est e r eci be l a sol i ci t ud de acceso del cl i ent e a t r avs
del PEP. Tambi n consul t a al PI P par a obt ener i nf or maci n
necesar i a par a t omar l a deci si n. Tambi n puede envi ar al PEP
i nf or maci n espec f i ca par a l a aut or i zaci n del cl i ent e par a que
el PEP apl i que l as r est r i cci ones en l os pr i vi l egi os de acceso
cor r espondi ent es.
Sistema de Registro y Autenticacin: est e component e r egi st r a
l os di f er ent es event os r el aci onados con el acceso de l os
cl i ent es r emot os. Adems per mi t e gener ar r epor t es que r el aci onan
est os event os par a descr i bi r el compor t ami ent o de l a VPN. Est e
puede f unci onar en un di sposi t i vo dedi cado o ser par t e del PDP.
Servidores de autenticacin
El di seo de un si st ema AAA var a dependi endo del t amao de l a r ed y
de l a di spar i dad de mt odos de acceso que se r equi er an. En gener al l as
opci ones par a ser vi dor es de aut ent i caci n pueden di vi di r se en dos cat egor as:
Servidor AAA dedicado ejecutando RADIUS: en est e caso el
ser vi dor AAA es l a i nt er f ase ent r e el gateway VPN ( PEP) y el
ser vi dor de i dent i dad ( PI P) , ser vi dor LDAP, ser vi dor de Token
OTP, Active Directory. Est a i nt er acci n es medi ant e el pr ot ocol o
RADI US. Est a es una sol uci n f l exi bl e ya que el pr opi o pr ot ocol o
sopor t a l a i nt er acci n con una gr an var i edad de mt odos de
acceso.
88

Gateway VPN interactuando con un PIP: en est a si t uaci n depende
del gateway i nt er act uar con el ser vi dor de i dent i dad o PI P, por
l o t ant o deber sopor t ar l a i nt er acci n con di f er ent es t i pos de
ser vi dor es de i dent i f i caci n. Un aspect o a t ener en cuent a con
est e model o es l a capaci dad del gateway par a obt ener i nf or maci n
adi ci onal del cl i ent e o usuar i o par a apl i car l o a l a f ase de
aut or i zaci n. Sopor t ar est a car act er st i ca r equi er e una mayor
dependenci a ent r e el gateway y el PI P.
3.3.4 Administracin y monitoreo
La admi ni st r aci n y moni t or eo del ser vi ci o de VPN son aspect os
i mpor t ant es a consi der ar , si mpl ement e por que per mi t en a l os admi ni st r ador es
manej ar y conocer el est ado del ser vi ci o adems de su i mpact o en l a r ed
l ocal . Est o se apl i ca en f or ma gener al par a t odas l as VPNs, no sol o a l as de
acceso r emot o.
Como cont r apar t i da a l a i mpor t anci a de est as act i vi dades, est a el
cost o que r epr esent a par a l a or gani zaci n cumpl i r con est as. Est o en t r mi nos
de equi pami ent o y el ent r enami ent o necesar i o del per sonal admi ni st r at i vo. En
el escenar i o gener al de VPNs, est e es el pr i nci pal mot i vo par a t ener que
deci di r por un ser vi ci o pr ovi st o por un pr oveedor o por l a mi sma
or gani zaci n.
El moni t or eo per mi t e est abl ecer una l nea base par a r ef er enci a de
f ut ur as medi ci ones y det er mi nar cuando l as condi ci ones son l as nor mal es y
cuando se pr esent an casos at pi cos que r epr esent an pr obl emas que deber an
gener ar una al ar ma. La admi ni st r aci n r equi er e t ener l as her r ami ent as
necesar i as par a el cumpl i mi ent o de t ar eas r el aci onadas al manej o de usuar i os,
cl i ent es VPN y del ser vi dor VPN.
La capaci dad de admi ni st r aci n y moni t or eo va a depender de l as
her r ami ent as y ut i l i dades que pr ovea l a sol uci n i mpl ement ada.
El moni t or eo en una VPN de acceso r emot o i mpl i ca det er mi nar el
est ado del gateway VPN y l as sesi ones est abl eci das de l os usuar i os. Ent r e l os
par met r os de i mpor t anci a a moni t or ear se pueden di st i ngui r :
Respect o del gateway:
Ut i l i zaci n del Ancho de Banda.
Est ad st i cas de l as i nt er f aces pbl i cas y pr i vadas ( Outside vs.
Inside) .
Uso del CPU.
Troughtput r espect o de cant i dad de sesi ones en un per odo de
t i empo.
Respect o de l as sesi ones de usuar i o
Ranki ng de usuar i os con mayor act i vi dad en un per odo de t i empo
r espect o de:
o Throughput
o Dur aci n de l a conexi n
o Tr f i co t ot al ( Inbound+Outbound)
o Per odos de t i empo de mayor act i vi dad.
89

I nt ent o Fal l i dos de conexi ones.
3.4 PROTOCOLOS
En l os escenar i os de acceso r emot o se dest acan al gunos pr ot ocol os de
t nel t ant o de capa 2, 3 y 4. En el cap t ul o 2 se han descr i t o l a mayor a de
el l os, en par t i cul ar L2TP, L2F y PPTP de capa 2, mi ent r as que de capa 3 se ha
menci onado I PSec y en capa 4 SSH y SSL.
En l a act ual i dad l os ms dest acados en f unci n de l as sol uci ones VPN
exi st ent es son I PSec y SSL. Si n embar go el pr ot ocol o SSH o Secure Shell
per mi t e est abl ecer un t nel que se ut i l i za par a acceso r emot o. SSH sol o
t r anspor t a t r f i co cor r espondi ent e a apl i caci ones basadas en TCP.
A cont i nuaci n se descr i bi r n l os pr ot ocol os SSH, I PSec y SSL
menci onando l os aspect os ms i mpor t ant es de cada uno, desde una per spect i va
gl obal de i mpl ement aci n par a una VPN de acceso r emot o.
3.4.1 SSH
Lo ms dest acado del uso de SSH es l a posi bi l i dad de br i ndar un
canal segur o a aquel l os pr ot ocol os TCP que no l o son, como l os pr ot ocol os de
cor r eo el ect r ni co o de t er mi nal r emot a. A est a f unci onal i dad se l a conoce
como r eenv o de puer t os ( port forwarding) .
El concept o es desvi ar el t r f i co asoci ado a un puer t o de una
conexi n, haci a un puer t o manej ado por SSH y t r anspor t ar l o a t r avs del t nel
SSH haci a el ot r o ext r emo en f or ma encr i pt ada. Es necesar i o un cl i ent e y un
ser vi dor SSH con una cuent a de usuar i o vl i da par a el cl i ent e. Exi st en dos
cl ases de r eenv o de puer t os: l ocal y r emot o. Est os son est abl eci dos por el
cl i ent e SSH.
Reenvo Local de Puerto (Local Port Forwarding)
Tambi n denomi nado t nel sal i ent e, r eenv a el t r f i co que l l ega a un
puer t o l ocal en el cl i ent e, haci a un puer t o r emot o ubi cado en el ser vi dor . Es
necesar i o que el cl i ent e pueda r egi st r ar se en el ser vi dor medi ant e un usuar i o
vl i do, por l o t ant o el t r f i co SSH haci a el ser vi dor deber est ar per mi t i do.
Est o habi l i t a el acceso a puer t os no di sponi bl es en f or ma di r ect a. La
si nt axi s del comando SSH par a est a f unci onal i dad es:
ssh L local_port:remote_host:remote_port [username]@ssh_server
Est e comando r eenv a el t r f i co dest i nado a local_port haci a el
remote_port del remote_host l uego de l a conexi n y aut ent i caci n en
ssh_server. En gener al remote_host se r ef i er e al pr opi o ssh_server, per o no
si empr e es as . Exi st en si t uaci ones donde remote_host es ot r o equi po en l a
mi sma r ed que ssh_server y donde se ej ecut a l a apl i caci n cuyo puer t o de
conexi n es remote_port. En est a ci r cunst anci a, ssh_server es el
i nt er medi ar i o de l a conexi n ent r e el cl i ent e SSH y remote_host. Es
i mpor t ant e acl ar ar que est a l t i ma par t e de l a conexi n es r eal i zada si n
encr i pt aci n.
Un ej empl o pr ct i co del r eenv o l ocal de puer t os es l a conexi n al
ser vi ci o de cor r eo el ect r ni co medi ant e un t nel SSH par a br i ndar segur i dad
al pr oceso de aut ent i caci n POP3. La Fi gur a 3- 8, i l ust r a l a si t uaci n de un
usuar i o mvi l conect ndose a su r ed l ocal en f or ma r emot a medi ant e SSH par a
pr ocesar su cor r eo el ect r ni co en f or ma segur a.
90

Figura 3-8 SSH Reenvo Local de puerto
En l a r ed l ocal exi st e un ser vi dor SSH y un ser vi dor de cor r eo
el ect r ni co, ambos ej ecut ndose en equi pos di f er ent es per o en l a mi sma r ed.
El usuar i o r emot o se aut ent i ca en el ser vi dor SSH con una cuent a de usuar i o
vl i da y ej ecut a en su cl i ent e el comando par a r eenvi ar el t r f i co POP3
medi ant e el t nel SSH. A cont i nuaci n el usuar i o medi ant e su apl i caci n de
cor r eo el ect r ni co o MUA ( Mail User Agent) se conect a en f or ma l ocal al
puer t o 1110 donde el t r f i co POP3 ser manej ado por el cl i ent e SSH y
t r anspor t ado por el t nel hast a el ser vi dor SSH r emot o.
En el ot r o ext r emo, el ser vi dor SSH r eenv a el t r f i co del cl i ent e
haci a el ser vi dor de cor r eo, est a l t i ma conexi n no es encr i pt ada. El
ser vi dor de cor r eo r esponde al ser vi dor SSH el cual r eenv a l a r espuest a al
cl i ent e SSH. Est o es posi bl e si l as pol t i cas de segur i dad de l a or gani zaci n
per mi t en est abl ecer conexi ones SSH desde el ext er i or haci a al gn gateway de
l a r ed l ocal .
Reenvo Remoto de Puerto (Remote Port Forwarding)
Denomi nado t ambi n t nel ent r ant e, r eenv a el t r f i co que ar r i ba a
un puer t o r emot o en el ser vi dor , haci a un host y puer t o l ocal espec f i co en
el cl i ent e, ( Fi gur a 3- 9) . Par a est o el cl i ent e i ni ci a una conexi n SSH con el
ser vi dor medi ant e el comando:
ssh R remote_port:local_host:local_port [username]@ssh_server
Est e comando conect a y est abl ece una sesi n con el ser vi dor SSH
ut i l i zando username y sol i ci t a r edi r ecci onar el t r f i co que ar r i be a
remote_port de ssh_server haci a local_port en local_host. Est e esquema
habi l i t a el acceso desde el ext er i or haci a al gn ser vi ci o i nt er no en
local_host medi ant e ssh_server como i nt er medi ar i o. Par a que est o f unci one,
ssh_server deber ej ecut ar un pr oceso que escuche en remote_port.

91

Figura 3-9 SSH reenvo Remoto de puerto
Como un ej empl o consi der ar el ser vi ci o de cont r ol r emot o o VNC, que
per mi t e el cont r ol r emot o de un equi po. st e ut i l i za el puer t o TCP 5900, con
l o cual el comando SSH par a el r eenv o r emot o sol i ci t a que t odo el t r f i co
que ar r i be al puer t o r emot o 5900 en ssh_server se r eenv e al equi po l ocal al
mi smo puer t o.
ssh R 5900:pc_a_controlar:5900 user@ssh_server
Al l est ar f unci onado el ser vi dor VNC pr opi o del equi po a
cont r ol ar . El admi ni st r ador r emot o deber ej ecut ar el vi sor VNC desde su
equi po y ent onces podr vi sual i zar el escr i t or i o de l a PC a cont r ol ar . Est o
es posi bl e si l as pol t i cas de segur i dad de l a or gani zaci n per mi t en
est abl ecer conexi ones SHH haci a el ext er i or .
En l a pr ct i ca ut i l i zar SSH r equi er e conoci mi ent o por par t e del
usuar i o par a conf i gur ar un acceso r emot o. Si n embar go exi st en her r ami ent as
que f aci l i t an su ut i l i zaci n medi ant e i nt er f aces gr f i cas. Es una her r ami ent a
t i l en si t uaci ones donde el acceso r emot o es una excepci n y se r eal i za baj o
det er mi nadas condi ci ones, como por ej empl o l a pr esenci a de un ser vi dor SSH,
pol t i cas de segur i dad de l a or gani zaci n que per mi t an l os t i pos de
conexi ones necesar i as. Por l o gener al es ut i l i zado por l os admi ni st r ador es de
r edes par a el acceso r emot o, per o no como una sol uci n cor por at i va par a el
gr ueso de l os usuar i os mvi l es de l a mi sma. Tampoco es una sol uci n
escal abl e, dado que es necesar i a l a i nst al aci n del software SSH en cada
cl i ent e y l a conf i gur aci n manual de l a conexi n con sus par t i cul ar i dades en
cada uno de el l os.
3.4.2 IPSec
Las VPN I PSec ext i enden el per met r o de segur i dad de una r ed
per mi t i endo l a conexi n de hosts i ndi vi dual es o r edes ent er as. Una VPN segur a
ver i f i ca l a i dent i dad de l os ext r emos del t nel .
A di f er enci a de l as VPN r ed a r ed ut i l i zando I PSec, l as de acceso
r emot o r equi er en mayor consi der aci n r espect o de l a aut ent i caci n de l as
par t es que se comuni can, en gener al par a evi t ar est abl ecer t nel es con par t es
no aut or i zadas. En par t i cul ar por que en est e escenar i o, habr muchos cl i ent es
i nt ent ando conect ar se a l os r ecur sos de l a r ed l ocal de l a or gani zaci n.
Adems por que se t r at an de conexi ones t empor al es y el or i gen de r ed de l as
mi smas var a con f r ecuenci a.
92

Es i mpor t ant e consi der ar que en I PSec l a aut ent i caci n pr ecede el
est abl eci mi ent o del canal segur o por donde se l l evar a cabo l a comuni caci n
ent r e l as par t es, por l o t ant o, cual qui er vul ner abi l i dad que pueda ser
expl ot ada en est a pr i mer a et apa, compr omet er el r est o de l a comuni caci n.
El pr ot ocol o I PSec encar gado de r eal i zar l a aut ent i caci n de l as
par t es es I KE. Est e pr ot ocol o de i nt er cambi o de cl aves pr esent a dos f ases en
su oper aci n, t r es modos, una var i edad de mecani smos par a l l evar a cabo l a
aut ent i caci n, per o ms i mpor t ant e an una nueva ver si n de est e pr ot ocol o:
I KEv2
28
, l a cual no es i nt er oper abl e con I KEv1. De maner a que son var i os
aspect os que hay que consi der ar par a l a i mpl ement aci n de una VPN I PSec de
acceso r emot o con mecani smos de aut ent i caci n segur os.
La pr i mer a ver si n de I KE es l a ms di f undi da ent r e l os pr oduct os
que i mpl ement an I PSec. Su f or ma de oper aci n t r ae apar ej ado r i esgos de
segur i dad si el mecani smo de aut ent i caci n ut i l i zado no es el adecuado. La
segunda ver si n, ya def i ni da como est ndar por el I ETF es una mej or a de l a
ant er i or poni endo nf asi s en l a sol uci n a est os pr obl emas. Act ual ment e se
r ecomi enda ut i l i zar I KEv2 si se r equi er e i mpl ement ar una VPN de acceso r emot o
I PSec por pr i mer a vez. En casos donde ya hubi er a una VPN est abl eci da, se
r ecomi enda ut i l i zar l os mecani smos de aut ent i caci n que evi t en el at aque
conoci do como hombr e del medi o, como encr i pt aci n de cl ave pbl i ca y f i r ma
di gi t al con uso de cer t i f i cados.
El pr ot ocol o I KE se basa en l a i dent i f i caci n de l os par es que se
conect an como par t e del pr oceso de aut ent i caci n. Puede ut i l i zar var i os t i pos
est ndar de i dent i f i caci n: di r ecci n I P ( I pv4 e I pv6) , nombr e del host FQDN
( Fullly Qualified Domain Name) , una di r ecci n de cor r eo el ect r ni co, o un
nombr e di st i ngui do DN ( Distinguished Name) X. 500 LDAP ( Lightweight Directory
Access Protocol) . Est as i dent i f i caci ones necesi t an ser compr obadas, par a est o
se ut i l i zan l os mt odos de aut ent i caci n.
Los i dent i f i cador es de l os par es pueden encr i pt ar se o no, segn el
modo ut i l i zado en l a pr i mer a f ase de I KE. En el modo agr esi vo el I D de l os
host s se t r ansmi t e en t ext o cl ar o. Est o per mi t e que esa i nf or maci n pueda ser
capt ur ada y mani pul ada par a un at aque del t i po menci onado ant er i or ment e. Por
l o t ant o una VPN de acceso r emot o deber usar el modo main de I KE el cual si
encr i pt a el I D de l os hosts.
Por ot r o l ado, deber descar t ar se l a aut ent i caci n medi ant e cl ave
pr e compar t i da ( PSK) con el modo main, ya que est a combi naci n modo/ mt odo-
aut ent i caci n, r equi er e usar como I D l a di r ecci n I P de qui en i ni ci a l a
conexi n, en est e caso el cl i ent e r emot o. Dado que se t r at a de cl i ent es
mvi l es, l a di r ecci n I P or i gen de est os es de nat ur al eza di nmi ca y puede
var i ar dur ant e una mi sma sesi n.

28
RFC 4306 - Internet Key Exchange (IKEv2) Protocol
93

Tal como se menci ona en l a i nt r oducci n de est e cap t ul o, es muy
i mpor t ant e en est e escenar i o de VPN, i mpl ement ar una dobl e aut ent i caci n par a
el cl i ent e: basada en host y en usuar i o. Una desvent aj a de I KEv1 es l a f al t a
de est e l t i mo t i po de aut ent i caci n. Si bi en se han i mpl ement ado ext ensi ones
a I KEv1 por al gunos f abr i cant es, como l a aut ent i caci n ext endi da ( XAUTH) de
Ci sco, est as no han si do consi der adas como est ndar es por par t e de l a I ETF.
Los gateways VPN que ut i l i zan XAUTH sol i ci t an al usuar i o un segundo l ogi n; si
t i ene xi t o se cont i na con l a segunda f ase de I KE que pr epar a l a conexi n
I PSec, caso cont r ar i o se f i nal i za el i nt er cambi o I KE y no se l l eva a cabo l a
conexi n. Una al t er nat i va a XAUTH es l a encapsul aci n L2TP sobr e I PSec,
per mi t i endo l a aut ent i caci n de un usuar i o medi ant e l os mecani smos de L2TP
basados en PPP.
I KEv2 f ue desar r ol l ado t eni endo en cuent a est a desvent aj a y l ogr ar
r esol ver l a. I nt r oduj o en su di seo l o que se denomi na mecani smos de
aut ent i caci n her edados ( legacy authentication) ; est os i mpl ement an l a
aut ent i caci n de un usuar i o sobr e un ser vi dor . Es el caso de l os mecani smos
de passwords e i nt er cambi os desaf os/ r espuest as ( Challenge/response
Authentication) ( PAP/ CHAP) . En par t i cul ar i mpl ement a l os mecani smos def i ni dos
en l a RFC 3748( Extensible Authentication Protocol) .
Ambas ver si ones de I KE no son i nt er oper abl es, por l o que si se
deci de ut i l i zar l a l t i ma ver si n sobr e una est r uct ur a de VPN de acceso
r emot o ya exi st ent e, deber mi gr ar se t odo el software I PSec de l os
component es de l a VPN por aquel l as que cont engan l a ver si n 2 de I KE.
De acuer do a l a i nt r oducci n de est e cap t ul o una VPN I PSec de
acceso r emot o va a consi st i r de un ser vi dor VPN y de var i os cl i ent es VPN que
se conect ar n al ser vi dor . El ser vi dor se ej ecut ar en un di sposi t i vo de
bor de de l a r ed de l a or gani zaci n. Puede hacer l o en el mi smo firewall o
bi en en ot r o equi po.
Hay que consi der ar l as pol t i cas de segur i dad de l a or gani zaci n y
est abl ecer en f unci n de est as l os par met r os necesar i os par a def i ni r l as
pol t i cas de segur i dad I PSec ( SP) a par t i r de l as cual es se der i var n l as
asoci aci ones de segur i dad de I KE ( I KE SA) e I PSec ( I PSec SA) .
Est os par met r os t i enen que ver con l as di r ecci ones I P de l os hosts
a l os cual es se l es br i ndar el ser vi ci o de segur i dad, l os puer t os y
pr ot ocol os a pr ot eger y l as Asoci aci ones de segur i dad que ef ect i vi zar n el
ser vi ci o, es deci r que segur i dad apl i car . Est o l t i mo i mpl i ca det er mi nar l os
al gor i t mos de aut ent i caci n, de encr i pt aci n, pr ot ocol o de segur i dad, modo de
oper aci n a usar con est a pol t i ca. Est a i nf or maci n se al macena en base de
dat os.
Como se menci on en el cap t ul o ant er i or , exi st en dos cl ases de
bases de dat os: l a r ef er i da a l as pol t i cas de segur i dad ( SPD) y l a de
asoci aci ones de segur i dad ( SAD) . La pr i mer a especi f i ca l as pol t i cas que
det er mi nan el t r f i co ent r ant e o sal i ent e que debe ser asegur ado, si bi en
t odo el t r f i co es pr ocesado por el mot or I PSec. La segunda cont i ene
par met r os r el aci onados con cada asoci aci n de segur i dad act i va, que i ndi can
cmo pr ocesar y que ser vi ci o de segur i dad apl i car .
94

Cuando un cl i ent e r emot o se conect a debe r eci bi r i nf or maci n de
conf i gur aci n de r ed r ef er ent e a l a r ed de l a or gani zaci n dest i no de l a
conexi n. Est o se puede l ogr ar medi ant e l a encapsul aci n L2TP sobr e I PSec,
donde l os mecani smos PPP per mi t e obt ener l a di r ecci n I P l ocal par a el host
r emot o( PPP I PCP) , si n embar go l a i nf or maci n di nmi ca of r eci da es muy escasa
y no es un mecani smo i nt egr ado a I PSec. Exi st e ot r o mt odo que i mpl ement a
I PSec, def i ni do en l a RFC 3456 que per mi t e el i nt er cambi o de mensaj es DHCP v4
l uego de l a f ase dos de I KE o quick mode en modo t nel . Par a est o el cl i ent e
def i ne una asoci aci n de segur i dad DHCP ( DHCP SA) l a cual sol o es ut i l i zada
par a el i nt er cambi o de t r f i co DHCP. Di cha SA puede ser el i mi nada o segui r
si endo ut i l i zada ent r e l as par t es.
3.4.3 SSL/TLS
Dent r o de l as VPN SSL de acceso r emot o, ha sur gi do l a t endenci a,
i mpuest o por el mar ket i ng de l os f abr i cant es, de consi der ar l os navegador es
web con sopor t e SSL, como una sol uci n VPN SSL si n cl i ent e ( clientless) ,
r ef i r i endo a que no es necesar i a l a pr esenci a de software cl i ent e VPN
espec f i co par a l a conexi n. En r eal i dad est e esquema no r epr esent a r eal ment e
una VPN. Se t r at a de un si st ema que i mpl ement a t ant o un web proxy o un
mecani smo de t r aducci n de pr ot ocol os de apl i caci n ( Application Traslation) .
En el pr i mer caso, exi st e un di sposi t i vo ser vi dor que act a como
i nt er medi ar i o ent r e l os ser vi ci os dest i no y el cl i ent e r emot o. El proxy
r eci be l a pet i ci n del cl i ent e, l a r escr i be por compl et o y l a env a al
ser vi dor dest i no. Ant es del r eenv o, el proxy puede anal i zar l a cor r ect i t ud
del r equer i mi ent o en busca de sol i ci t udes mal f or madas cr eadas con l a
i nt enci n de un at aque. La r espuest a del ser vi dor dest i no r ecor r e el cami no
i nver so, haci a el proxy pr i mer o y de al l al cl i ent e. Toda l a conexi n se
r eal i za en segur o baj o SSL. Est e f unci onami ent o r equi er e que el proxy sopor t e
l os pr ot ocol os par a l os cual es va a oper ar .
En el segundo caso, un pr ot ocol o de apl i caci n se adapt a o se
t r aduce a HTTP y HTML par a poder ser vi sual i zado en un navegador . Est e mt odo
se apl i ca sobr e l a base de pr ot ocol os i ndi vi dual es y es necesar i o un
t r aduct or por cada uno de est os, si n embar go est e mecani smo no es apl i cabl e a
cual qui er pr ot ocol o.
Una VPN SSL ver dader a i mpl i ca l a pr esenci a de un software cl i ent e en
el di sposi t i vo que i nt er act e con el ser vi dor par a l a cr eaci n de un t nel
por el cual se t r ansmi t e t r f i co I P en f or ma segur a. Los mecani smos
ant er i or es no pr oveen est a cl ase de conect i vi dad.
Exi st en sol uci ones VPN SSL ver dader as, donde el t nel cr eado per mi t e
l a comuni caci n segur a i ndependi ent ement e del pr ot ocol o de apl i caci n que se
ej ecut e. Est o per mi t e, si l as pol t i cas de segur i dad l o di sponen, acceso
compl et o a l a r ed dest i no. Si n embar go el mer cado ha i mpuest o l as sol uci ones
clientless o semi-clientless como sol uci ones baj o l a et i quet a de VPN SSL.
3.4.4 Comparativa de las tecnologas de acceso remoto
Est e cuadr o pr esent a una compar aci n ent r e l as t ecnol og as VPN de
acceso r emot o de mayor uso en l a act ual i dad. Cuando se consi der a i mpl ement ar
el ser vi ci o de acceso r emot o l as t ecnol og as a consi der ar son I PSec y
SSL/ TLS.
95

En par t i cul ar l a ut i l i zaci n de I PSec es ant er i or a l a apl i caci n de
SSL/ TLS como pr ot ocol o par a VPNs, pr i nci pal ment e en el cont ext o de un
escenar i o si t i o a si t i o. I PSec se comenz a ut i l i zar par a el acceso r emot o,
per o est aba l i mi t ado a l a ut i l i zaci n de di sposi t i vos baj o el cont r ol de l a
or gani zaci n. SSL/ TLS per mi t i sal var est as l i mi t aci ones de I PSec.
Los cr i t er i os ut i l i zados descr i ben en gener al l as car act er st i cas
( l i mi t aci ones y vent aj as) pr esent es en est as t ecnol og as VPN, i ndependi ent e
de al guna sol uci n par t i cul ar .
Tabla 3-1 Comparativa de Tecnologas de Acceso Remoto

Criterios VPNs IPSec VPNs SSL/TLS
Escal abi l i dad Li mi t ada Buena a Muy buena
I nt er oper abi l i dad Buena
Muy Buena consi der ando
el uso de navegador es
web como cl i ent es
Funci onal i dad
Acceso compl et o a l a r ed
o r est r i ngi do
Apl i caci ones Web,
Apl i caci ones
cl i ent e/ ser vi dor
o r est r i ngi do,
Segur i dad en l a t r ansmi si n Muy Buena Muy Buena
Mt odos de aut ent i caci n
Cl ave pr ecompar t i da,
Cl aves RSA, Cer t i f i cados
di gi t al es
Dobl e aut ent i caci n
nat i va con I KEv2
Cl ave pr ecompar t i da,
Cer t i f i cados Di gi t al es,
Cl aves RSA Dobl e
aut ent i caci n
Ti pos de Di sposi t i vos cl i ent es
sopor t ados
Admi ni st r ados por l a
or gani zaci n
No admi ni st r ados -
Admi ni st r ados
Sopor t e Mul t i pr ot ocol o Nat i vo No, sol o dat agr amas I P
No, sol o sopor t a
apl i caci ones basadas en
SSL
Capa de Oper aci n Ser vi ci o de capa de Red
Ser vi ci o de capa de
t r anspor t e
Mecani smo de Acceso
Tnel I P a ni vel de capa
de r ed
Proxy r ever so con
Encapsul ami ent o HTTP,
Tr aduct or de pr ot ocol o,
Tnel I P en capa de r ed
Ni vel de Sopor t e r equer i do
Medi o a Al t o, segn el
nmer o de usuar i os
r emot os
Baj o ( consi der ando
navegador es web como
cl i ent es) a Al t o
Sol uci ones Abi er t as Si Si
96

Escalabilidad
Cuando l a cant i dad de usuar i os r emot os aument a, se r equi er e mayor
capaci dad en el ser vi dor VPN en cuant o al pr ocesami ent o par a el manej o de ms
t nel es y f unci ones de des/ encr i pt aci n. En est e caso ambas t ecnol og as se
pueden val er de har dwar e especi al par a est as t ar eas.
En el l ado de l os cl i ent es se i ncr ement a el cost o de admi ni st r aci n
del software cl i ent e VPN si l a sol uci n l o ut i l i za. Desde esa per spect i va, l a
escal abi l i dad de I PSec es l i mi t ada. Las sol uci ones SSL/ TLS basados en
cl i ent es web no poseen car ga de mant eni mi ent o y admi ni st r aci n del software
cl i ent e. Teni endo en cuent a est o SSL/ TLS posee mej or escal abi l i dad que I PSec.
Si n embar go aquel l as sol uci ones que posean cl i ent es VPN par a el acceso,
t endr n una car ga si mi l ar a I PSec.
Interoperabilidad
Las sol uci ones que i mpl ement an el mi smo pr ot ocol o deber an poder
comuni car se si n pr obl emas, de l o cont r ar i o, st as no podr n i nt er oper ar . Est o
ha sucedi do con sol uci ones VPN I PSec, en par t i cul ar con l a el ecci n del
mecani smo de aut ent i caci n de l as par t es. Si n embar go el consor ci o VPN
29
ha
est abl eci do pr uebas de i nt er oper abi l i dad, t ant o par a sol uci ones basadas en
I PSec como en SSL, que per mi t en una mej or i nt er acci n ent r e sol uci ones de
di st i nt os f abr i cant es.
Las sol uci ones SSL/ TLS no poseen est as l i mi t aci ones consi der ando l a
ut i l i zaci n de cl i ent es web con sopor t e SSL
Funcionalidad
Est e cr i t er i o se r ef i er e a l os r ecur sos a l os que puede t ener acceso
un usuar i o en f or ma r emot a. Las VPN I PSec pueden br i ndar acceso compl et o a
ni vel de r ed, except o que se est abl ezcan r est r i cci ones. En cambi o, l as VPN
SSL/ TLS per mi t en un acceso di f er enci ado segn el modo de acceso. Se puede
t ener acceso sol o a apl i caci ones Web, o a apl i caci ones cl i ent e- ser vi dor o
bi en a t oda l a r ed como I PSec.
Seguridad en la transmisin
Ambas t ecnol og as per mi t en un excel ent e ni vel de segur i dad en l a
t r ansmi si n de l os dat os. El ser vi ci o de conf i denci al i dad se basa en una
f uer t e sui t e de al gor i t mos de encr i pt aci n, bi en pr obados, ut i l i zando
pr ot ocol os como 3DES, AES, I DEA, al gor i t mos de hash y f i r ma di gi t al como RC4,
SHA.
La aut ent i caci n puede est ar basada en cr i pt ogr af a de cl ave pbl i ca
medi ant e el uso de cer t i f i cados di gi t al es. En est e caso I PSec se dest aca por
ser ms est r i ct o, ya que r equi er e que ambas par t es posean un cer t i f i cado que
demuest r e su i dent i dad par a poder usar el mt odo. El di seo de SSL/ TLS, en
cambi o, es ms f l exi bl e en est e punt o, per mi t i endo que sol o el ser vi dor se
aut ent i que. De est a maner a no cumpl e l a car act er st i ca de no r epudi o y es
vul ner abl e a un at aque del t i po hombr e del medi o. Si n embar go, una buena
sol uci n VPN SSL/ TLS, deber a r equer i r l a aut ent i caci n medi ant e
cer t i f i cados, de ambas par t es.

29
http://www.vpnc.org
97

Ot r a car act er st i ca es que ambos pr ot ocol os per mi t en def i ni r una
conf i gur aci n a ni vel cr i pt ogr f i ca ( al gor i t mos cr i pt ogr f i cos per mi t i dos,
t amaos de cl aves, r egener aci n de cl aves, t i empos de vi da de l as cl aves,
et c. ) que se apl i can como pol t i cas a l as conexi ones segn el ni vel se
segur i dad r equer i do par a cada caso.
Mtodos de Autenticacin
En gener al ambos pr ot ocol os br i ndan l os mi smos mt odos de
aut ent i caci n par a l os ext r emos o host. Est o es, el uso de cer t i f i cados
di gi t al es, cl aves pr e compar t i das, cl aves RSA. Si n embar go en un escenar i o de
acceso r emot o, cobr a i mpor t anci a l a aut ent i caci n del usuar i o que cont r ol a el
di sposi t i vo que se conect a, l ogr ando una aut ent i caci n dobl e: di sposi t i vo y
usuar i o.
El di seo de SSL/ TLS per mi t e est o medi ant e el mecani smo ms si mpl e,
per o menos segur o, de usuar i o/ cont r asea hast a mt odos ms compl ej os como OTP
( One Time Password) o una i nf r aest r uct ur a PKI que val i de cer t i f i cados de
usuar i o. Por supuest o est a oper aci n se r eal i za post er i or al est abl eci mi ent o
de un canal segur o.
I PSec of r eci l a posi bi l i dad de l a dobl e aut ent i caci n l uego de l a
i ncor por aci n de l as ext ensi ones al pr ot ocol o I KE por par t e de Ci sco ( XAUTH,
HYBRI D AUTH) l uego de est abl ecer el canal segur o. La nueva ver si n de I KE
I KEv2 i ncor por a el sopor t e nat i vo de aut ent i caci n de usuar i o medi ant e EAP.
Lament abl ement e l a nueva ver si n de I KE no es i nt er oper abl e con su
ant ecesor a.
Tipos de dispositivos soportados
Aqu se mar ca una di f er enci a ent r e ambas t ecnol og as. El uso de
I PSec r equi er e l a i nst al aci n de un cl i ent e VPN en el di sposi t i vo mvi l . Par a
est o es necesar i o i nst al ar el software cl i ent e, l o que si gni f i ca hacer l o
sobr e un di sposi t i vo conf i abl e y segur o, de maner a que su uso post er i or par a
l a conexi n no r epr esent e una amenaza. Por l o t ant o l as VPN I PSec de acceso
r emot o r equi er en usar di sposi t i vos baj o el cont r ol de l a or gani zaci n. Es
i mpensabl e i nt ent ar est a oper aci n sobe un equi po aj eno a l a or gani zaci n y
por l o t ant o no conf i abl e.
Las VPN SSL/ TLS mar car on su di f er enci a al i ncl ui r el uso de l os
di sposi t i vos no conf i abl es, l i mi t ando el acceso desde el l os haci a l a r ed
cor por at i va sol o a apl i caci ones web, medi ant e el uso de navegador es web con
sopor t e SSL/ TLS, encapsul ando HTTP. Si n embar go si se r equi er e un acceso
compl et o a l a r ed es necesar i o, al i gual que I PSec, i nst al ar un software
cl i ent e y de i gual maner a, est o sol o es posi bl e sobr e di sposi t i vos
conf i abl es.
Soporte multiprotocolo nativo
Ni nguno de l os dos pr ot ocol os t i enen sopor t e mul t i pr ocol o. Si n
embar go est a capaci dad se puede l ogr ar , encapsul ando ot r o pr ot ocol o como L2TP
o PPP.

98

Mecanismos de accesos
Est os son l os mecani smos que per mi t en el acceso de f or ma segur a a l a
r ed cor por at i va. I PSec ut i l i za su pr ot ocol o ESP en modo t nel par a encapsul ar
dat agr amas I P. Est e t nel I P es el medi o de acceso. En el caso de SSL/ TLS
exi st en var i as f or mas de acceder a l a r ed. Ut i l i zando un proxy HTTP r ever so,
par a acceder a apl i caci ones web, medi ant e t r aducci n de pr ot ocol os per mi t e
acceder a ser vi ci os cuyos pr ot ocol os pueden t r aduci r se y adapt ar se a HTTP y
l ogr ar t unel i zar l os, f i nal ment e a t r avs de un t nel I P al i gual que I PSec.
Est o per mi t e un cont r ol de acceso ms gr anul ar par a SSL/ TL, es deci r
per mi t e mecani smos de aut or i zaci n ms var i ados y no sol o basar se en
par met r os a ni vel de r ed ( I P or i gen, puer t o dest i no et c. )
Nivel de soporte requerido
En el caso de I PSec es de medi o a al t o en f unci n de l a cant i dad de
usuar i os r emot os. Se t i ene en cuent a l a car ga que r epr esent a l a
admi ni st r aci n y mant eni mi ent o de l os cl i ent es, l as pol t i cas de acceso y
conj unt os de t r ansf or maci n. Est o es si mi l ar par a SSL/ TLS, per o a di f er enci a
de I PSec, l a posi bi l i dad de i mpl ement ar esquemas donde se ut i l i ce un
navegador web como cl i ent e de acceso, mi ni mi za en gr an medi da l a car ga en l a
admi ni st r aci n de l os cl i ent es.
Soluciones Abiertas
Ambas t ecnol og as han si do i mpl ement adas medi ant e sol uci ones
abi er t as y l i br es per o de gr an cal i dad l as cual es se desar r ol l ar on par a
pl at af or mas UNI X aunque al gunas han si do por t adas par a su uso con Wi ndows.
Ent r e l as ms conoci das est n:
OpenVPN: sol uci n VPN SSL/ TLS que per mi t e acceso compl et o a l a
r ed, desar r ol l ada par a LI NUX. Exi st e l a ver si n par a WI NDOWS.
Ipsec-tools
30
: conj unt o de ut i l i dades par a el manej o de l a
i mpl ement aci n de I PSec par a el kernel de LI NUX. Se basa en el
pr oyect o KAME el cual t i ene cumpl e con el mi smo obj et i vo per o
par a FreeBSD. Ent r e l as ut i l i dades se encuent r a el demoni o I KE
denomi nado Racoon y setkey una her r ami ent a par a el manej o de l a
base de pol t i cas de segur i dad y l a base de asoci aci ones de
segur i dad.
StrongSwan
31
: Sol uci n VPN basada en I PSec desar r ol l ada par a
pl at af or ma LI NUX. I mpl ement a el demoni o I KE ver si n 2, adems
de l a ver si n i ni ci al .

30
http://ipsec-tools.sourceforge.net/
31
http://www.strongswan.org/
99

3.5 SOLUCIONES VPNs DE ACCESO REMOTO
El mer cado de sol uci ones VPN de acceso r emot o pr esent a una gr an
var i edad de al t er nat i vas en gener al pr oveni ent es de f abr i cant es muy
r el aci onados con el mbi t o de l as r edes y comuni caci ones de dat os, est o es:
Cisco System, Check Point, Juniper Networks, Nortel, Sonic Wall, et c.
Muchas de est as pr opuest as son en r eal i dad compl et as sol uci ones de
al t a compl ej i dad par a acceso r emot o, l o cual i mpl i ca el equi pami ent o de
ser vi dor es VPN, el software de cl i ent e VPN, software de admi ni st r aci n del
ser vi ci o y moni t or eo, di sposi t i vos mvi l es con cl i ent e embebi do et c. Si n
embar go, exi st e un cost o econmi co i mpor t ant e a l a hor a de el egi r al guna de
el l as, ya sea en l a adqui si ci n de l a i nf r aest r uct ur a como en l a capaci t aci n
del per sonal .
Adems de est as sol uci ones pr opi et ar i as, exi st en al t er nat i vas
abi er t as y gr at ui t as, en par t i cul ar or i ent adas a pl at af or mas LI NUX y Fr eeBSD
aunque hay casos donde l a sol uci n se puede ej ecut ar t ambi n en Wi ndows.
Tambi n exi st en si st emas basados en una sol uci n abi er t a per o embebi das o
como una i magen de di sco que se puede vi r t ual i zar o bi en i nst al ar en har dwar e
dedi cado con software de admi ni st r aci n t odo en uno, per o est as no son
gr at ui t as
32
.
Una car act er st i ca de l as sol uci ones pr opi et ar i as es l a
i mpl ement aci n como firmware de l a l gi ca t ant o del ser vi dor VPN como de l os
cl i ent es en un hardware dedi cado par a l a t ar ea. Est o per mi t e al canzar buenos
ni vel es de per f omance. Por el cont r ar i o l as sol uci ones abi er t as, en gener al ,
se basan en software.
La si gui ent e t abl a muest r a un conj unt o de car act er st i cas bsi cas
deseabl e que deber an poseer l as sol uci ones VPNs de acceso r emot o segn l a
t ecnol og a en l a cual se basan. Est e cuadr o es una r ef er enci a que i ncl uye
r equer i mi ent os est abl eci do por el consor ci o VPN o VPNC ( VPN Consortium) par a
al canzar buenos ni vel es de i nt er oper abi l i dad ent r e sol uci ones de di st i nt os
f abr i cant es.

32
http://www.endian.com, http://www.arrowdot.com
100

3.5.1 IPSEC

Cl i ent e par a
Wi ndows/ Maci nt osh
Software I PSec Cl i ent e par a ej ecut ar se sobr e un
si st ema monousuar i o WI NDOWS/ MACI NTOSH.
Ecapsul ami ent o L2TP Ej ecut ar L2TP par a aut ent i caci n y enr ut ami ent o
sobr e un t nel I PSec
Sopor t e de cer t i f i cados X. 509
dur ant e I KE
Uso de cer t i f i cados de cl ave pbl i ca par a
aut ent i caci n.
Sopor t e de encr i pt aci n 3DES Sopor t e par a f uer t e encr i pt aci n
Sopor t e Failover Sopor t e par a l a her enci a de sesi ones en f or ma
t r anspar ent e par a el usuar i o r emot o , ant e el f al l o
de al gunos de l os di sposi t i vos f unci onando como
gateway VPN ( di sponi bi l i dad)
Sopor t e de Clustering Habi l i dad par a bal ancear l a car ga t ot al de l a VPN
sobr e var i os nodos en un esquema de clustering
pr esent ando una ni ca i dent i dad par a l os usuar i os
r emot os.
Sopor t e par a I pv6 Sopor t e par a di r ecci onami ent o I pv6.
VPNC i nt er oper abi l i dad bsi ca Cr eaci n de un t nel I P con encr i pt aci n 3DES, SHA-
1 par a hash, i nt er cambi o de cl aves de 1024 bi t s y
PSK par a aut ent i caci n.
VPNC i nt er oper abi l i dad AES Uso de al gor i t mo AES con cl aves de 128 bi t s par a
encr i pt aci n.
VPNC i nt er oper abi l i dad bsi ca
par a I KEv2
Cr eaci n de un t nel I P medi ant e I KEv2 con AES par a
encr i pt aci n, SHA- 1 par a hash, i nt er cambi o de
cl aves de 1024 bi t s y PSK par a aut ent i caci n. La
compat i bi l i dad debe ser t ot al con ot r as sol uci ones.
VPNC i nt er oper abi l i dad I pv6 Los si st emas deben i nt er oper ar si n pr obl emas
ut i l i zando di r ecci ones I Pv6 con r edes ext er nas e
i nt er nas
I nt er f az de Admi ni st r aci n y
moni t or eo
Her r ami ent as y ut i l i dades par a f aci l i t ar l a
admi ni st r aci n del ser vi ci o
Compr esi n I PPCP Uso de compr esi n est ndar par a el t r f i co I PSec
Tabla 3-2 Caractersticas de soluciones IPSec
101

3.5.2 SSL/TLS
Sopor t e LDAP Per mi t e comuni car se con un ser vi dor LDAP par a
aut ent i car l os usuar i os r emot os
Sopor t e RADI US Per mi t e comuni car se con un ser vi dor RADI US par a
aut ent i car l os usuar i os r emot os
Sopor t e cer t i f i cados X. 509
par a usuar i os
Per mi t e ut i l i zar cer t i f i cados X. 509 par a aut ent i car
usuar i os r emot os.
Sopor t e Failover Sopor t e par a l a her enci a de sesi ones en f or ma
t r anspar ent e par a el usuar i o r emot o, ant e el f al l o
de al gunos de l os di sposi t i vos f unci onando como
gateway VPN ( di sponi bi l i dad)
Sopor t e de Cl ust er i ng Habi l i dad par a bal ancear l a car ga t ot al de l a VPN
sobr e var i os nodos en un esquema de cl ust er i ng
pr esent ando una ni ca i dent i dad par a l os usuar i os
r emot os.
medi ant e plugin SSL
Per mi t e el acceso t ot al a l a r ed descar gando un
plugin par a SSL que l o per mi t a.
Endpoint Security Checking Sopor t e par a ver i f i caci n del ni vel de segur i dad
del ext r emo r emot o del cl i ent e.
VPNC i nt er oper abi l i dad SSL
Por t al
El gateway debe f unci onar como por t al par a
apl i caci ones web per mi t i endo a l os usuar i os r emot os
el acceso a si t i os web i nt er nos.
File Access
El gateway debe per mi t i r l a l ect ur a y escr i t ur a en
ser vi dor es CI FS
33
/ SMB
34
i nt er nos: Wi ndows 2000 y
2003 Ser ver s.
J AVA Script
El gateway debe f unci onar como Por t al con sopor t e
de J AVA scr i pt par a el acceso a apl i caci ones
i nt er nas.
I nt er f az de Admi ni st r aci n y
moni t or eo
Her r ami ent as y ut i l i dades par a f aci l i t ar l a
admi ni st r aci n del ser vi ci o
Tabla 3-3 caractersticas para soluciones SSL/TLS

El consor ci o VPN r ene como sus mi embr os a i mpor t ant es empr esas
dest acadas en el mbi t o del networking, ent r e el l as est n: AEPNetworks,
Certicom, Cisco Systems, D-Link, Encore Networks, IBM, Juniper Networks,
Microsoft, Nokia, Nortel, SonicWALL, et c.
Una de sus t ar eas es est abl ecer test de i nt er oper abi l i dad par a
l ogr ar un f unci onami ent o si n pr obl emas ent r e sol uci ones de di f er ent es
f abr i cant es. Los cuadr os ant er i or es i ncl uyen al gunas de est as pr uebas como
r equer i mi ent o deseabl e. Si n embar go no se consi der ar on t odas dado que l as
sol uci ones abi er t as y aquel l os si st emas basados en est as no i nt egr an est e
consor ci o. Por ot r o l ado, debi do al car ct er gener al y abar cat i vo de est a
car act er i zaci n apl i cabl e a cual qui er sol uci n VPN.
La sel ecci n de l os cr i t er i os deseabl es f ue def i ni da a par t i r del
anl i si s e i nvest i gaci n r eal i zada par a el desar r ol l o y el abor aci n de est e
cap t ul o y del r est o del t r abaj o en gener al .

33
Common I nt er net Fi l esyst em: Pr ot ocol o de domi ni o pbl i co par a t r ansf er enci a de ar chi vos en
f or ma si mpl e y pot ent e
34
Ser ver Message Bl ock: Pr ot ocol o par a compar t i r ar chi vos, base de l os si st emas de r ed LAN
Manager y Mi cr osof t Net wor ki ng.
102

CAP TULO 4
TRABAJ O PRCTI CO
4

103
4.1 INTRODUCCIN
Si empr e se ha deseado t ener l a posi bi l i dad de acceder a l os
r ecur sos cor por at i vos de i nf or maci n y si st emas desde el hogar u ot r o
punt o geogr f i co de una maner a senci l l a; adems de cont ar con l as
her r ami ent as necesar i as par a el acceso. En el caso de un
admi ni st r ador , est as son l as que per mi t en admi ni st r ar l os equi pos y/ o
l os si st emas de f or ma r emot a. En el caso de un usuar i o cor r i ent e,
poder acceder a sus ar chi vos o a su cor r eo.
Act ual ment e est o se l ogr a medi ant e l as VPNs de acceso r emot o,
l as cual es r equi er en l a i nst al aci n de cl i ent es VPNs en l os equi pos
pr ovi st os a l os usuar i os mvi l es o t el e t r abaj ador es. Est e pr oceso
r equi er e una dependenci a del software VPN cl i ent e con el si st ema
oper at i vo anf i t r i n.
La i nt enci n de est e t r abaj o es l ogr ar i ndependi zar el
cl i ent e VPN del si st ema oper at i vo anf i t r i n, no sol o r espect o de
aspect os de compat i bi l i dad ent r e s si no t ambi n de l os pr i vi l egi os
necesar i os par a l a i nst al aci n de est a cl ase de apl i caci n.
A par t i r de est a i dea l a sol uci n debe cumpl i r con l as
si gui ent es car act er st i cas:
Ser por t abl e es deci r que se pueda t r asl adar en un pendrive o
una memor i a f l ash convenci onal .
No r equer i r l a i nst al aci n de software en el equi po anf i t r i n y
no ut i l i zar l o par a guar dar i nf or maci n.
No r equer i r per mi sos admi ni st r at i vos en el host anf i t r i n.
Poder ej ecut ar l a sol uci n sobr e l a pl at af or ma Wi ndows por ser
l a ms popul ar .
Tener acceso a l a r ed si n r est r i cci ones, per o poder
est abl ecer l as en f or ma di nmi ca si es necesar i o.
Poder descar gar un ar chi vo ubi cado en l a r ed cor por at i va al
pendrive.
Ut i l i zar her r ami ent as y ut i l i dades Open Source.
Par a cumpl i r est os r equer i mi ent os se pr opuso una sol uci n
medi ant e vi r t ual i zaci n, adems de br i ndar l as her r ami ent as necesar i as
par a ef ect uar l a conexi n y el software espec f i co par a r eal i zar l as
t ar eas. La Fi gur a 4- 1 muest r a el di seo de l a sol uci n pr opuest a,
donde se apr eci a el t nel desde l a apl i caci n vi r t ual i zada hast a el
gateway VPN. Par a est o se ut i l i za l a conexi n a Internet del equi po
anf i t r i n. El ext r emo r emot o del t nel t er mi na en el gateway VPN el
cual per mi t e el acceso a l a r ed l ocal cor por at i va a l os ser vi ci os
di sponi bl es.
104

Figura 4-1 Diseo de la solucin
4.2 ALCANCES
La sol uci n pr opuest a est or i ent ada pr i nci pal ment e a su uso
sobr e equi pos que est n baj o cont r ol y admi ni st r aci n de l a
or gani zaci n, l o cual est abl ezca ci er t o ni vel de segur i dad r espect o a
l a pr esenci a de software mal i ci oso.
No es una sol uci n pensada par a uso masi vo por par t e de l os
usuar i os. El si st ema oper at i vo anf i t r i n donde se ej ecut ar l a
sol uci n ser Mi cr osof t WI NDOWS 2000, XP o Vi st a.
Es necesar i o har dwar e adecuado par a ej ecut ar una
vi r t ual i zaci n en el host anf i t r i n. En par t i cul ar capaci dad de
pr ocesami ent o. El pendrive o memor i a f l ash deber t ener una capaci dad
de al menos 2GB.
Es necesar i o software par a vi r t ual i zaci n, es deci r una
mqui na vi r t ual que pueda ej ecut ar se en l as ver si ones de WI NDOWS
menci onadas ant er i or ment e.
La sol uci n se i mpl ement ar en l a pl at af or ma LI NUX y
ut i l i zar el si st ema OpenVPN
35
par a est abl ecer l a VPN.
La sol uci n i ncl ui r una apl i caci n ext er na a l a
vi r t ual i zaci n que t endr como comet i do, t r ansf er i r l os ar chi vos
descar gados en l a apl i caci n vi r t ual i zada al pendrive, donde quedar n
di sponi bl es par a su pr ocesami ent o post er i or .

35
http://www.openvpn.org
105
Del l ado del ser vi dor , st e ej ecut ar el si st ema OpenVPN en
modo ser vi dor y at ender l as conexi ones de l os usuar i os. De acuer do a
el l o est abl ecer en f or ma di nmi ca l as r est r i cci ones par a el acceso a
l a r ed.
4.3 FUNCIONAMIENTO
La sol uci n pr opuest a per mi t e l a conexi n segur a a l a r ed
cor por at i va medi ant e un t nel SSL/ TLS. La mi sma es ef ect uada por un
usuar i o, el cual deber aut ent i car se pr evi ament e en f or ma l ocal ,
medi ant e un nombr e de usuar i o y cont r asea. Una vez aut ent i cado
ej ecut ar l a apl i caci n que l e per mi t i r est abl ecer l a conexi n,
habi l i t ando el acceso a l as apl i caci ones segn su r ol o per f i l .
4.3.1 Perfiles de usuarios
Se i mpl ement an dos per f i l es de usuar i os, uno es el per f i l del
usuar i o est ndar que puede r eal i zar ci er t as t ar eas y ot r o es el de
admi ni st r ador . Est e t endr acceso t ot al al r est o de l as apl i caci ones,
l a mayor a de l as cual es son de nat ur al eza admi ni st r at i vas. El gateway
VPN que r eci be l a conexi n gener a l as r egl as en f or ma di nmi ca l as
cual es est abl ecen l as r est r i cci ones par a ambos per f i l es de usuar i o.
4.3.2 Esquema de validacin
Se def i nen dos et apas de aut ent i caci n. En l a pr i mer a se
aut ent i ca el usuar i o l ocal ment e a t r avs del si st ema de val i daci n de
LI NUX. Est o l e per mi t e i ngr esar al ent or no de t r abaj o de l a sol uci n.
La segunda et apa consi st e en l a val i daci n del usuar i o r espect o del
Gateway VPN medi ant e cer t i f i cado par a est abl ecer el t nel . Est o l e
per mi t e el acceso a l a r ed cor por at i va.
4.3.3 Servicios
Los ser vi ci os que el usuar i o t endr di sponi bl e una vez
aut ent i cado y aut or i zado son l os si gui ent es de acuer do a su per f i l :
Per f i l Usuar i o:
Mai l
Mensaj er a
SMB ( Cr edenci al es de sesi n Wi ndows)
FTP
Per f i l Admi ni st r ador :
Todas l as ant er i or es
SSH
Escr i t or i o Remot o ( RDP/ VNC)

106
4.3.4 Gateway VPN
El ser vi dor VPN i mpl ement ado a t r avs del si st ema OpenVPN,
est abl ecer en f or ma di nmi ca l as r est r i cci ones segn el usuar i o que
se conect e. Est o se l ogr a medi ant e una opci n en el ar chi vo de
conf i gur aci n del ser vi dor . Adems es necesar i o cr ear un script par a
cada per f i l donde se def i nen l as r est r i cci ones a ni vel de puer t os
TCP/ UDP y a ni vel de l a di r ecci n or i gen asi gnada al usuar i o.
4.4 TECNOLOGAS DE LA SOLUCIN
El desar r ol l o de l a sol uci n r equi r i det er mi nar que
her r ami ent as er an necesar i as par a cumpl i r con l as car act er st i cas
est abl eci das. El component e ms i mpor t ant e de l a sol uci n es l a
mqui na vi r t ual que per mi t e l a ej ecuci n del cl i ent e VPN.
Dado que el cl i ent e se ej ecut a en una pl at af or ma LI NUX, se
anal i z al t er nat i vas de di st r i buci ones exi st ent es adems de consi der ar
l a cr eaci n de una pr opi a. Lo si gui ent e f ue consi der ar el desar r ol l o
de l a apl i caci n que cont r ol a l a l gi ca del cl i ent e y l as apl i caci ones
necesar i as par a acceder a l os ser vi ci os di sponi bl es, adems de l a
apl i caci n par a l a t r ansf er enci as de ar chi vos de l a maqui na vi r t ual al
pendrive. Par a est o se eval uar on l enguaj es de pr ogr amaci n,
di st r i buci ones LI NUX y ent or nos de vi r t ual i zaci n.
4.4.1 Lenguajes de programacin
Las car act er st i cas deseabl es anal i zadas f uer on:
Desar r ol l o r pi do de ent or nos gr f i cos.
Sopor t e par a el desar r ol l o de apl i caci ones par a networking.
Cur va de apr endi zaj e de cr eci mi ent o r pi do.
Conf i abi l i dad ( Ant ecedent es en l a ut i l i zaci n en casos
compr obabl es) .
Sopor t e mul t i pl at af or ma ( LI NUX, WI NDOWS) .
Per f omance.
Alternativas consideradas
Los l enguaj es consi der ados f uer on:
J AVA
PYTHON
RUBY
El l enguaj e el egi do f ue PYTHON. Ent r e l os mot i vos de l a
el ecci n se consi der ar on l a per f omance r espect o de l os dems, l a
posi bi l i dad de cor r er apl i caci ones si n r equer i r un ent or no de
ej ecuci n, ni l a i nst al aci n en el equi po anf i t r i n de bi bl i ot ecas o
dependenci as. Tambi n i nci di l a cur va de apr endi zaj e r pi do.

107
4.4.2 Entorno de virtualizacin
Se t uvi er on en cuent a l as si gui ent es al t er nat i vas:
VI RTUALBOX
QEMU
36

VMWARE
VI RTUALPC
VMWARE y VI RTUALPC no t i enen una di st r i buci n que se pueda
ej ecut ar desde un pendrive. Por su par t e VI RTUALBOX est a basado en
QEMU, posee un mej or r endi mi ent o y exi st e una ver si n par a ser
ej ecut ada en un pendrive que no es of i ci al , per o es necesar i o cont ar
con per mi sos admi ni st r at i vos par a poder i nst al ar una bi bl i ot eca de
enl ace di nmi co y un pr oceso que l e per mi t a a l a maqui na vi r t ual t ener
un mej or r endi mi ent o.
La car act er st i ca pr i nci pal que det er mi n l a el ecci n de l a
mqui na vi r t ual QEMU es que se puede ej ecut ar en un pendrive si n el
r equer i mi ent o de t ener per mi sos de admi ni st r ador sobr e el equi po
anf i t r i n. La l i mi t aci n que pr esent a est a opci n es su r endi mi ent o ya
que par a mej or ar l o, al i gual que l as dems sol uci ones, es necesar i a l a
i nst al aci n de un mdul o par a opt i mi zaci n en el si st ema oper at i vo
anf i t r i n y poseer pr i vi l egi os de admi ni st r ador par a hacer l o.
Si n embar go, l a per f omance de QEMU, l ogr ada si n el mdul o
opt i mi zador , en equi pos con buena capaci dad de pr ocesami ent o es
acept abl e per mi t i endo cumpl i r con l a f unci onal i dad deseada.
4.4.3 Distribucin LINUX
La pl at af or ma de ej ecuci n de l a apl i caci n es el si st ema
LI NUX. Est a el ecci n se basa en sus car act er st i cas f avor abl es en
cuant o a l a segur i dad, est abi l i dad, r obust ez, di sponi bi l i dad del
kernel del si st ema oper at i vo par a adapt ar l o a l os r equer i mi ent os de l a
sol uci n y f i nal ment e por ser una base pt i ma par a apl i caci ones
or i ent adas a l as comuni caci ones. Si bi en el pr opsi t o no f ue cr ear una
mi ni di st r i buci n, se t r at de mi ni mi zar , dent r o de l as posi bi l i dades,
l as i nst al aci ones r eal i zadas.
Se eval u l a ut i l i zaci n de ver si ones bsi cas de
di st r i buci ones conoci das: DEBI AN y FEDORA. Dado que l a sol uci n se
basa en una vi r t ual i zaci n y adems l a al t er nat i va el egi da par a est a
t ar ea no posee un per f omance dest acada, se deci di cr ear una
di st r i buci n pr opi a. Encar ar est a t ar ea asegur a l a i nst al aci n de l as
her r ami ent as m ni mas par a l a f unci onal i dad deseada y sobr e t odo poseer
un cont r ol ms est r i ct o sobr e est e pr oceso.
El mt odo el egi do par a l a cr eaci n se bas en el pr oyect o
LI NUX desde cer o o LFS
37
( LINUX From Scratch) . Est e consi st e en cumpl i r
una ser i e de et apas hast a l ogr ar l a di st r i buci n f i nal . La ver si n de
LFS ut i l i zada f ue l a 6. 3. Act ual ment e l a ver si n est abl e es l a 6. 4.

36
http://www.nongnu.org/qemu/
37
http://www.LINUXfromscratch.org
108
La pr i mer a et apa consi st e en ut i l i zar una di st r i buci n LI NUX
oper at i va como base par a l a cr eaci n del nuevo si st ema, en est e caso
una DEBI AN Et ch. En par t i cul ar se sel ecci on una par t i ci n di sponi bl e
par a l a i nst al aci n del nuevo si st ema. Luego se ut i l i z el LiveCD del
pr oyect o LFS como si st ema anf i t r i n, el cual pr ovee l as her r ami ent as
bsi cas necesar i as y l as f uent es de l os pr ogr amas que f or mar n l a
est r uct ur a del nuevo si st ema.
Una vez el egi da l a par t i ci n, st a se mont a l uego de i ni ci ar
el LiveCD. st e adems mont a su pr opi o si st ema de ar chi vo r a z donde
se encuent r a t odo l o necesar i o par a el pr oceso de cr eaci n.
La segunda et apa consi st e en l a cr eaci n de un si st ema m ni mo
en l a par t i ci n dedi cada, que cont endr una cadena de her r ami ent as
( toolschain) necesar i as par a gener ar el si st ema f i nal . Est a cadena
est ar compuest a por un compi l ador , ensambl ador , enl azador ,
bi bl i ot ecas y al gunas ut i l i dades. En pr i nci pi o se compi l ar cada una
de st as y l uego ser n ut i l i zadas par a compi l ar e i nst al ar el r est o
de l os paquet es.
La t er cer a et apa consi st e en cr ear un ent or no chroot o de
j aul a sobr e l a par t i ci n dedi cada, y a par t i r de l as her r ami ent as
gener adas en l a et apa ant er i or se dar f or ma al si st ema f i nal . Est o se
l ogr a medi ant e l a compi l aci n e i nst al aci n del r est o de l os paquet es
ut i l i zando el compi l ador , ensambl ador , enl azador y bi bl i ot ecas de l a
cadena de her r ami ent as. Tambi n es necesar i o l a cr eaci n de l os
si st emas de ar chi vos vi r t ual es par a el kernel (/dev, /proc, /sys) ,
cr eaci n de l a est r uct ur a de di r ect or i os del si st ema de ar chi vos r a z,
enl aces di nmi cos et c. Es deci r i nst al ar el si st ema bsi co.
Luego de est o es necesar i o que el si st ema pueda i ni ci ar . Par a
est o se ut i l i z l a her r ami ent a mkbimage que per mi t e cr ear una i magen
de boot a par t i r de un si st ema de ar chi vos. En est e caso se apl i c a
l a par t i ci n cont eni da en el chroot donde se compi l e i nst al el
si st ema f i nal . Est a i magen es l a que ut i l i za l a mqui na vi r t ual QEMU
par a ej ecut ar l a sol uci n pr opuest a.
En r eal i dad, el pr oceso es ms ext enso. Lo ant er i or es sol o
un r esumen gener al . Par a ms det al l es y consi der aci ones es mej or
acceder al si t i o www.linuxfromscratch.org, donde LFS es una par t e de
un pr oyect o ms ambi ci oso par a l a cr eaci n y per sonal i zaci n de una
di st r i buci n LI NUX.
Paquetes principales instalados
Luego de l a cr eaci n de l a di st r i buci n pr opi a se f uer on
i nst al ando l as her r ami ent as y apl i caci ones necesar i as y sus
dependenci as r el aci onadas con l a sol uci n. Est e f ue un pr oceso de
descar ga, compi l aci n e i nst al aci n de cada una. Las apl i caci ones
pr i nci pal es son:
Ker nel
Ker nel 2. 28. 5
Desar r ol l o
PYTHON 2. 5
Bi bl i ot ecas QT 4. 4. 3
Gt k+2. 14
PyGTK- 2. 14

109
Ent or no gr f i co
XORG ( X11 R7. 4)
38

Window Manager FLUXBOX 1. 0. 0
39

XDM y XSM ( login y session manager)
Par a el ent or no gr f i co Se el i gi un Windows Manager en l ugar
de un Destktop Manager como GNOME o KDE, consi der ando el r equer i mi ent o
de per f omance debi do a l a vi r t ual i zaci n. Se opt por el Windows
Manager FLUXBOX debi do a que f ue desar r ol l ado par a ser ej ecut ado en
ent or nos de poca capaci dad de pr ocesami ent o y memor i a, br i ndando
adems un ent or no agr adabl e y f unci onal .
4.4.4 Tecnologa VPN
Se opt por una VPN SSL/ TSL en l ugar de una sol uci n basada
en I PSec, pr i nci pal ment e por l a f l exi bi l i dad en l a asi gnaci n de
puer t o de conexi n donde se br i nda el ser vi ci o VPN de acceso r emot o.
Las sol uci ones I PSec r equi er en una asi gnaci n de puer t os bi en
conoci das par a el demoni o I KE el cual gest i ona el i nt er cambi o de
cl aves de sesi n y l as asoci aci ones de segur i dad y par a el pr ot ocol o
ESP par a asegur ar l os dat agr amas en modo t nel ( Puer t o TCP 51 par a ESP
y puer t o UDP 500 par a I KE) . Est o r epr esent a una r est r i cci n que l i mi t a
l a f unci onal i dad y l a movi l i dad de l a sol uci n.
4.5 LA SOLUCIN
El pendrive const a de dos ar chi vos de ext ensi n bat l os
cual es r eal i zan l as si gui ent es f unci ones:
Vmvpn. bat : Ej ecut a l a maqui na vi r t ual
Penvpncl . bat : Ej ecut a el cl i ent e Wi ndows par a baj ar o
subi r ar chi vos a l a maqui na vi r t ual
4.5.1 Funcionamiento de la Mquina Virtual
Al i ni ci al i zar l a maqui na vi r t ual nos encont r amos con el
pedi do de usuar i o y cl ave par a l a aut ent i caci n l ocal como l o muest r a
l a Fi gur a 4- 2:

38
http://www.x.org
39
http://www.fluxbox.org
110

Figura 4-2 Pedido de credenciales locales

Al i ngr esar podemos acceder al men pr i nci pal ( Fi gur a 4- 3)
haci endo cl i ck con el bot n der echo del Mouse sobr e el r ea de l a
pant al l a.

Figura 4-3 Men principal, sesin local del usuario

Al sel ecci onar l a opci n Cl i ent e VPN, accedemos a l a
apl i caci n. Al i ngr esar l a ni ca opci n habi l i t ada es l a que nos
per mi t e conect ar nos. Al r eal i zar l a conexi n se habi l i t an l as opci ones
de acuer do a nuest r o per f i l de usuar i o ( Admi ni st r ador o usuar i o
nor mal ) per mi t i endo acceder a l os ser vi ci os de nuest r a cor por aci n,
est o se vi sual i za en l a Fi gur a 4- 4:

111

Figura 4-4 Men del Cliente VPN
Las opci ones de i zqui er da a der echa son: conect ar ,
desconect ar , cor r eo el ect r ni co, acceso al ser vi dor de ar chi vos, FTP,
SSH, mensaj er a i nst ant nea, t er mi nal r emot a y cl i ent e VNC.
Por ej empl o l a Fi gur a 4- 5 muest r a l a pant al l a par a acceder a
l os ar chi vos r emot os del usuar i o. Se sol i ci t a l as cr edenci al es vl i das
del usuar i o par a acceder al ser vi dor que cont i ene l os ar chi vos.
Una vez aut ent i cado el usuar i o, l a conexi n con el ser vi dor
se est abl ece mont ando, medi ant e el pr ot ocol o CI FS, el di r ect or i o del
usuar i o en /media/vpnsmb.

Figura 4-5 Acceso a los archivos remotos

112
4.5.2 Aplicacin de gestin de archivos
Par a poder descar gar o subi r de l a maqui na vi r t ual ar chi vos
debemos i ngr esar usuar i o y cont r asea, si endo est as cr edenci al es l as
mi smas que par a i ngr esar a l a sol uci n. La pant al l a de conexi n se
muest r a en l a Fi gur a 4- 6.
Par a comuni car ambas apl i caci ones se est abl ece una
comuni caci n medi ant e SSH. Se ut i l i za l a bi bl i ot eca de PYTHON
PARAMI KO, l a cual i mpl ement a l a ver si n 2 del pr ot ocol o SSH.

Figura 4-6 Pantalla de conexin a la maquina virtual
En l a par t e i nf er i or se i nf or ma sobr e el est ado de l a
apl i caci n. Si se desea baj ar un ar chi vo se opr i me Li st ar Di r ect or i o y
muest r a el cont eni do del di r ect or i o VpnFolder del usuar i o. Al
sel ecci onar un ar chi vo se habi l i t a l a opci n par a Baj ar el Ar chi vo. El
mi smo queda en l a car pet a VpnFolder del pendrive.
Par a i ngr esar el ar chi vo a l a maqui na vi r t ual se opr i me l a
opci n subi r ar chi vo. Se sel ecci ona un ar chi vo, se t i ene l a l i ber t ad
de poder sel ecci onar una car pet a del host si se desea. El ar chi vo se
sube a l a car pet a VpnFolder del usuar i o. Si se desea subi r el ar chi vo
al ser vi dor se puede hacer a t r avs del FTP.

113
4.6 CONCLUSIONES DEL TRABAJO PRCTICO
El obj et i vo i ni ci al del t r abaj o pr ct i co se ha cumpl i do. Se
l ogr o concr et ar el concept o de por t abi l i dad de un cl i ent e VPN de
acceso r emot o. La mot i vaci n pr i nci pal del t r abaj o f ue est a, si n
i mpor t ar en pr i nci pi o que t ecnol og a y pr ot ocol o VPN er a ms
conveni ent e usar .
La compl ej i dad de l a sol uci n est r i ba en l a el ecci n ms
adecuada de sus component es y en l a bsqueda de l a opt i mi zaci n de l os
mi smos en f unci n de l a vi r t ual i zaci n r equer i da. Si n embar go est a
pr opuest a se puede mej or ar par a l ogr ar un r esul t ado an ms pt i mo en
t r mi nos de per f omance y f unci onal i dad.
Ent r e est os aspect os se puede menci onar l a posi bi l i dad de
l ogr ar una di st r i buci n LI NUX an ms compact a, mej or ar l a apl i caci n
pr i nci pal par a que cont r ol e l a conexi n de maner a ms pr eci sa, cr ear
un mecani smo que per mi t a l a act ual i zaci n en f or ma di nmi ca de di cha
apl i caci n adems de un mecani smo de act ual i zaci n de paquet es par a l a
di st r i buci n pr opi a.
Una mej or a en l a segur i dad del cl i ent e VPN ser a l a
ut i l i zaci n de un mecani smo de dobl e aut ent i caci n al moment o de l a
conexi n. Est a consi st i r a en aut ent i car el di sposi t i vo o si st ema
medi ant e un cer t i f i cado y l uego el usuar i o medi ant e el mecani smo OTP
o cl aves de una sol a sesi n. Est e esquema br i ndar a una mayor
segur i dad en cuant o a l a val i daci n del usuar i o. Ot r o component e par a
f l exi bi l i zar an ms est a al t er nat i va ser a un ser vi dor RADI US que
per mi t e que un usuar i o se aut ent i que en f or ma cent r al i zada y segur a
usando var i os esquemas posi bl es medi ant e el pr ot ocol o EAP.
Dur ant e el desar r ol l o del t r abaj o se eval u el uso de un
ser vi dor RADI US en conj unt o con OpenVPN a t r avs de un plugin. J unt o
con un cer t i f i cado par a el di sposi t i vo se l ogr concr et ar una dobl e
aut ent i caci n, per o con el mecani smo ms dbi l que es el par usuar i o y
cont r asea comn. RADI US es una t ecnol og a compl ej a, y debi do a f al t a
de t i empo se deci di no cont i nuar con l a eval uaci n de sus
car act er st i cas par a una posi bl e apl i caci n a l a sol uci n. Si n embar go
se l a eval u como una val i osa al t er nat i va mej or ador a.
El t r abaj o se cent r a en el desar r ol l o de un cl i ent e VPN y
como t al , l as sol uci ones VPN de acceso r emot a basadas en est os
r equi er en de una car ga admi ni st r at i va en r el aci n al mant eni mi ent o e
i nst al aci n de l os mi smos. Por est a r azn se consi der a l i mi t ado el
conj unt o de usuar i os que l a ut i l i zar an. En par t i cul ar puede r esul t ar
t i l par a per sonal del t i po admi ni st r ador , de r edes o de si st emas.
La l i mi t ant e en per f omance de l a vi r t ual i zaci n es posi bl e
mi ni mi zar l a gr aci as al har dwar e exi st ent e de gr an capaci dad de
pr ocesami ent o y vi r t ual i zaci n comunes en l a act ual i dad, t ant o en
equi pos por t t i l es como en equi pos de escr i t or i o. Las t ecnol og as de
dobl e, t r i pl e y hast a cudr upl e ncl eo en l os CPU, y el sopor t e de
vi r t ual i zaci n de l os si st emas oper at i vos act ual es, habi l i t an que est a
sea una sol uci n vi abl e.
Fi nal ment e l a posi bi l i dad de adqui r i r una memor i a f l ash o
di sposi t i vos pendrive de gr an capaci dad de al macenami ent o, descar t an
l as l i mi t ant es de espaci o par a l a i nst al aci n, en est os di sposi t i vos
de l a sol uci n descr i pt a en est e cap t ul o.
114
5

Anexos
115

5.1 NDICES DE FIGURAS

Fi gur a 1- 1 Component es de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Fi gur a 1- 2 VPN Pr ovi st a por el Cl i ent e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Fi gur a 1- 3 VPN Si t i o a Si t i o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Fi gur a 1- 4 VPN de Acceso Remot o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Fi gur a 1- 5 Cl asi f i caci n de l as VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Fi gur a 1- 6 Adyacenci as del Rut eo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Fi gur a 1- 7 I nf r aest r uct ur a del pr oveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Fi gur a 1- 8 VPNs t i po Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Fi gur a 2- 1 Component es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Fi gur a 2- 2 Fi r ewal l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Fi gur a 2- 3 Ser vi dor es de Aut ent i caci n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Fi gur a 2- 4 Basada en l a I mpl ement aci n ( Hi br i da) . . . . . . . . . . . . . . . . . . . 35
Fi gur a 2- 5 Tnel es baj o demanda ( Rout er a Rout er ) . . . . . . . . . . . . . . . . . . 36
Fi gur a 2- 6 Sesi ones encr i pt adas baj o demanda . . . . . . . . . . . . . . . . . . . . . . . 36
Fi gur a 2- 7 Tnel es baj o demanda ( Fi r ewal l a Fi r ewal l ) . . . . . . . . . . . . . . 37
Fi gur a 2- 8 Di r i gi da . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Fi gur a 2- 9 Funci onami ent o de un Tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Fi gur a 2- 10 Mul t i pl exaci n de Tnel es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Fi gur a 2- 11 Funci ones del Pr ot ocol o PPP en PPTP . . . . . . . . . . . . . . . . . . . . 46
Fi gur a 2- 12 Component es en una conexi n PPTP . . . . . . . . . . . . . . . . . . . . . . . 47
Fi gur a 2- 13 Encapsul ami ent o PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Fi gur a 2- 14 Component es en el Pr ot ocol o L2F . . . . . . . . . . . . . . . . . . . . . . . . 48
Fi gur a 2- 15 L2TP Tnel obl i gat or i o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Fi gur a 2- 16 L2TP Tnel vol unt ar i o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Fi gur a 2- 17 Paquet e/ Dat agr ama usando I PSec . . . . . . . . . . . . . . . . . . . . . . . . . 51
Fi gur a 2- 18 Encabezado AH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Fi gur a 2- 19 Modos con pr ot ocol o AH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Fi gur a 2- 20 Modos en ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Fi gur a 2- 21 Encabezado y Col a ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Fi gur a 2- 22 Paquet e GRE encapsul ado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Fi gur a 2- 23 Encapsul ami ent o Mul t i cast con GRE asegur ado con I PSec . . 60
Fi gur a 2- 24 Escenar i o Red a Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Fi gur a 2- 25 Escenar i o Host a Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Fi gur a 2- 26 Punt o a Punt o en VPN VPWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Fi gur a 3- 1 Escenar i o Gener al . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Fi gur a 3- 2 Gat eway VPN sobr e el Fi r ewal l . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Fi gur a 3- 3 Esquema en par al el o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Fi gur a 3- 4 Gat eway VPN con DMZ ni ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Fi gur a 3- 5 Uso de una dobl e DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Fi gur a 3- 6 Al t a di sponi bi l i dad con Fai l over Act i vo . . . . . . . . . . . . . . . . . 85
Fi gur a 3- 7 Al t a di sponi bi l i dad medi ant e un Cl ust er . . . . . . . . . . . . . . . . . 86
Fi gur a 3- 8 SSH Reenv o Local de puer t o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Fi gur a 3- 9 SSH r eenv o Remot o de puer t o . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Fi gur a 4- 1 Di seo de l a sol uci n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Fi gur a 4- 2 Pedi do de cr edenci al es l ocal es . . . . . . . . . . . . . . . . . . . . . . . . . 110
Fi gur a 4- 3 Men pr i nci pal , sesi n l ocal del usuar i o . . . . . . . . . . . . . . . 110
Fi gur a 4- 4 Men del Cl i ent e VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Fi gur a 4- 5 Acceso a l os ar chi vos r emot os . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Fi gur a 4- 6 Pant al l a de conexi n a l a maqui na vi r t ual . . . . . . . . . . . . . . 112

116
5.2 REFERENCIAS BIBLIOGRFICAS

BIBLIOGRAFA
BERKOWITZ, HOWARD C.[1999], Designing Addressing Architectures for
Routing and Switching.
BROWN, STEVEN [2001], Implementacin de Redes Privadas Virtuales
COMER, DOUGLAS E.[2000], Internetworking with TCP/IP Vol.1 Principles,
Protocols, and Architectures.
GUPTA, MEETA [2003], Building a Virtual Private Network
STALLINGS, WILLIAM [Junio 2000], Data & Computer Communications 6ta.
Edicin.
TANENBAUM, ANDREW S.[1996], Computer Networks 3ra. Edicin.
SCOTT, CHARLIE-PAUL WOLFE-MIKE ERWIN [Enero 1999], Virtual Private
Networks, Second edition

PUBLICACIONES
CISCO SYSTEM [Abril 2006], Packet Networking Professionals Magazine.
CISCO SYSTEM [Junio 1998],The Internet Protocol Journal N1 Vol 1
CISCO SYSTEM [Septiembre 1998],The Internet Protocol Journal N2 Vol 1
CISCO SYSTEM [Marzo 2007],The Internet Protocol Journal N1 Vol 10
CISCO SYSTEM [Junio 2007],The Internet Protocol Journal N2 Vol 10
NETXIT SPECIALIST N13, Elementos Bsicos de Criptografa, Algoritmos
de Hash Seguros, El Gran Debate: PASSPHRASES vs. PASSWORDS
NETXIT SPECIALIST N14, Elementos Bsicos de Criptografa, Algoritmos
de Hash Seguros, El Gran Debate: PASSPHRASES vs. PASSWORDS-Parte 2
NETXIT SPECIALIST N27, ABC de VPNs
NETXIT SPECIALIST N30, Virtualizacin
NETXIT SPECIALIST N32, Virtualization Technologies

WHITE PAPERS
FINLAYSON, M. HARRISON, J. SUGARMAN, R.[Febrero 2003], VPN
Technologies A Comparison HTTP://www.dataconnection.com

SEMERIA, CHUCK [Marzo 2001], RFC 2547bis: BGP/MPLS VPN Fundamentals
Juniper Networks
HTTP://ftp.utcluj.ro/pub/users/dadarlat/retele_master/TARC_08_09/MPLS-
VPN/200012.pdf

117
CISCO SYSTEMS [2004], Enterprise guide for selecting an IP VPN
Architecture Comparing MPLS, IPSec, and SSL.
HTTP://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns465/net_
implementation_white_paper0900aecd801b1b0f.pdf

JUNIPER NETWORKS [Junio 2007], VPN Decision Guide IPSec vs. SSL VPN
Decision Criteria.
HTTP://www.juniper.net/us/en/local/pdf/whitepapers/2000232-en.pdf

AVOLIO FREDERICK [2000], Security Review: SSL VPNs Avolio Consulting
HTTP://www.avolio.com/papers/SSLVPN_SecWP.pdf

SCHULTZ, KEITH [Febrero 2005], SSL VPNs Come of Age
HTTP://www.infoworld.com/article/05/02/04/06FEsslvpn_1.html

NCP SECURE COMMUNICATIONS [Abril 2001], Remote Access VPN and IPSec
HTTP://www.symtrex.com/pdfdocs/wp_ipsec.pdf

CARMOUCHE,JAMES H.[Septiembre 2006], Basic VPN Topologies and
Configurations
HTTP://www.ciscopress.com/articles

SAARINEN, MIKKO [Febrero 2004], Legacy User Authentiaction with IPSec
HELSINKI UNIVERSITY OF TECHNOLOGY

MASON, ANDREW [Febrero 2002], IPSec Overview: IKE CiscoPress
HTTP://www.informit.com/articles

JAZIB, F. QIANG, H. [Junio 2008], SSL VPN Design Considerations
HTTP://www.ciscopress.com/articles

SHINDER, DEB [Mayo 2005], Soluction Base: Introduction to SSL VPNs

KOLESNIKOV, OLEG - HATCH, BRIAN DAVIS, CRHIS MONGOL, CRHIS
BUILDING LINUX VPNs, VPN FUNDAMENTALS CAPTULO 2
HTTP://www.buildinglinuxvpns.net/chapter2.pdf

Tesina

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesina

Cargado por

Copyright:

Formatos disponibles

REDES VPNs DE ACCESO REMOTO

Tesi na pr esent ada como t r abaj o f i nal de l os est udi os en l a car r er a de

También podría gustarte