Está en la página 1de 41

PRÁCTICA 2 - REDES VPN

Administración de la seguridad
Dr. Eduardo de la Cruz Gámez

Ali Miguel Díaz Salgado
Guillermo Arellanes García
Eduardo Ortiz Galeana

08320079
07320298
06320041

15/11/2011

1

ÍNDICE
INTRODUCCIÓN…………………………………………………………………………………………...3
MARCO TEÓRICO…………………………………………………………………………………………6
ANTEDECEDENTES…………………………………………………………………………………….7
EVOLUCIÓN DE LAS REDES PRIVADAS VIRTUALES……………………………………….…...7
METODOLOGÍA……………………………………………………………………………………………8
PPTP………………………………………………………………………………………………………...9
OBSERVACIONES……………………………………………………………………………………….18
IPSEC………………………………………………………………………………………………………19
DESARROLLO…………………………………………………………………………………………….21
CONCLUSIÓN……………………………………………………………………………………………...40
LINKOFGRAFÍA……………………………………………………………………………………………41

INTRODUCCION
2

Actualmente el término VPN o red privada virtual puede aplicarse a varios conceptos, ya
que dependiendo del contexto, una VPN puede ser entendida como una red empresarial o
una simple conexión entre PCs. Si bien este término entonces puede ser utilizado con
diversos significados, este documento utiliza el término VPN definiéndolo como una “red
privada” que utiliza “virtualmente” los “recursos compartidos o públicos” de los
proveedores de servicios.
Entonces una red privada (red dedicada, accedida y administrada por sus propietarios),
está constituida por recursos compartidos o públicos (enlaces dedicados, circuitos
virtuales y VPNs IP) de los proveedores de servicios, por lo que estos últimos entienden a
esa red privada como virtual por utilizar recursos compartidos.
Los proveedores de servicios (Service Providers) han brindado sus productos de redes
privadas virtuales (VPN: Virtual Prívate Network) a sus empresas clientes desde la
introducción de redes basadas en TDM y redes de conmutación de paquetes de datos
X.25. Más recientemente, las redes basadas en Frame Relay y ATM con múltiples clases
de servicios han remplazado al X.25 y líneas dedicadas como TDM. Los proveedores de
servicios contaban entonces con productos de VPN con redes fijas o basadas en la tasa
de utilización de sus vínculos.
El término de VPN ha sido utilizado por los proveedores de servicios para identificar
circuitos virtuales de un grupo de usuarios desde la creación y desarrollo de los servicios
por X.25, Frame-Relay y ATM.
Recientemente, el término comenzó a utilizarse por administradores de redes de
empresas para identificar un grupo cerrado de usuarios con IP privadas. Por otro lado los
clientes buscan unificar sus servicios de datos, voz y video. Ellos quieren servicios de
administración de IP con servicios de nivel agregado (SLAs: Service-Level Agreements) y
una calidad de servicio garantizada (QoS: Quality of Service).
La VPN basada en IP es rápidamente adoptada por la facilidad de consolidar servicios de
datos, voz y video. Muchos proveedores de servicios están ofreciendo aplicaciones de
valor agregado sobre la basedel transporte de sus redes VPNs. Servicios emergentes
como e-commerce, hosting, Voz sobre IP y aplicaciones de multimedia podríanpermitir a
los proveedores de servicios generar nuevas ganancias y mantener una ventaja
competitiva por un largo tiempo. Solamente dos arquitecturas de VPNs han evolucionado
IP Security (IPSec) y Multiprotocol Label Switching (MPLS), estas tecnologías son
diferentes pero complementarias.
La VPN IP es la base que las compañías pueden utilizar para desarrollar o administrar
servicios de
Valor agregado, incluyendo aplicaciones y almacenamiento de datos de redes
comerciales y servicios de telefonía. En redes empresariales, las redes internas basadas
en IP (Intranets) han cambiado fundamentalmente la forma en que las compañías
conducen sus negocios. Las compañías están cambiando sus aplicaciones de negocio a
sus Intranets para extenderse sobre redes de mayor alcance (WAN: Wide-Area Network).
Las compañías están también adoptando la necesidad de sus clientes, proveedores, y
socios utilizando Extranets (una Intranet que agrupa múltiples negocios). Con las
Extranets, las compañías reducen los costos de de los procesos de negocios facilitando la
automatización de los procesos. Para tomar ventaja Tesinas Transmisión de voz, video y
datos en Redes Privadas Virtuales VPN/MPLS de sus oportunidades de negocio, los
proveedores de servicios deben contar con una infraestructura de IP VPN que permita
ofrecer servicios de redes privadas sobre una infraestructura compartida.
Este documento desarrolla el último concepto en redes privadas virtuales utilizadas por
los proveedores de servicios VPN/MPLS, la tecnología en constante evolución que
permite desarrollar redes privadas virtuales sobre redes IP en forma sencilla, con la
3

ventaja de integrar todos los servicios IP y asegurar niveles de acuerdo de servicios con
los clientes.
Servicios existentes
Los métodos para soportar los requerimientos de redes de datos privadas, consistieron
por un largo tiempo de tecnologías como líneas privadas y frame relay. Los servicios
brindados por estas tecnologías tienen sus ventajas y desventajas, detalladas en la
siguiente tabla:

Las empresas que mantienen sus redes de datos basadas en estos tipos de tecnologías,
encuentran que estas desventajas señaladas en el cuadro anterior, pueden realmente
estancar su crecimiento, debido a que las actuales tendencias impactan directamente a
sus negocios:
• Presión sobre los costos: Reducción de costos de capacidad y operación; mejorando la
eficiencia e incrementando la performance.
• Utilización de ancho de banda a bajo costo: Creciente demanda de banda a bajo precio,
como son acceso a Internet por banda ancha utilizando tecnología DSL o cable.
• Incremento del desarrollo de aplicaciones de software basadas en IP: Crecimiento en
aplicaciones basadas en IP, como aplicaciones de negocio, Web, e-mail y aquellas que
permiten la implementación de voz y video sobre IP.
• Incremento en la interconexión de empresas: La necesidad de intercambiar información
y aplicativos de software, que permiten el negocio entre empresas “business-to-business”
y además utilizar esta posibilidad como una estrategia de diferenciación.
Estas tendencias son algunas de las tantas que abren un nuevo paradigma en la
implementación
de las redes privadas y por las cuales los proveedores de servicios están trabajando en
ofrecer nuevos servicios.
4

los proveedores de servicios de red están trabajando en soportar los nuevos requerimientos de sus clientes. ya no utilizando redes tradicionales de líneas privadas y Frame Relay/ATM. sino evolucionando a redes VPN-IP y permitiéndoles a las empresas varios MARCO TEÓRICO Antecedentes. video y datos en Redes Privadas Virtuales VPN/MPLS proveedores. Estas nuevas aplicaciones han conducido al incremento de la demanda de ancho de banda 5 . Estos no solo requieren performance para los datos que ellos consideran críticos para su negocio.Nuevos servicios Actualmente. Las redes del tipo MPLS le permitió a los Carriers y proveedores de servicios ofrecer a sus clientes. socios y Tesinas Transmisión de voz. En los últimos años Internet ha evolucionado en una gran red. el transporte de sus redes de datos. Actualmente los clientes quieren todo esto y además reducir costos manteniendo el mismo nivel de seguridad. sino que también quieren soportar aplicaciones de tiempo real como lo son la voz y el video. La red además debe proveer de seguridad para la conectividad de todos los empleados. inspirando además el desarrollo de una variedad de aplicaciones en negocios y mercados de consumo.

Por lo tanto nuevas técnicas son requeridas para contrarrestar los inconvenientes presentados y al mismo tiempo expandir las funcionalidades de la infraestructura de una red basada en protocolo IP. como consecuencia de esto.garantizado en el área principal de las redes (backbone) de los proveedores de servicios (Carriers y services providers). En el esquema de las redes convencionales IP (IP packet forwarding). adicionalmente a los servicios tradicionales de datos provistos por Internet. ruteo basado en QoS y métricas de calidad de servicio. manejo de calidad de servicio (QoS). Los “Carriers” y “services providers” que poseen redes ATM (Asynchronous Transfer Mode) o Frame-Relay no están dispuestos a remplazar por completo su infraestructura. MPLS (Multiprotocol Label Switching) o conmutación de etiquetas de múltiples protocolos es una tecnología emergente apuntando a solucionar las limitaciones presentes en las redes actuales bajo técnicas de “packet forwarding” (redes IP) tales como velocidad. además posee la particularidad de soportar redes de enlaces (Capa 2 del modelo OSI) existentes tales como Modelo de Transferencia Asincrónica (ATM: Asynchronous Transfer Mode) y Frame-relay. MPLS afronta asuntos referentes a la escalabilidad (habilidad para crecer en determinadas proporciones). cualquier implementación de una tecnología de nueva generación deberá tener en cuenta la utilización de equipamiento y tecnologías existentes tales como ATM. ciertas restricciones que han sido detectadas tiempo atrás prevalecen en este método de envío de paquetes (forwarding packet) que disminuye la flexibilidad de la red. las demandas aplicadas a la red en términos de velocidad y ancho de banda debido a las nuevas aplicaciones y servicios. nuevos servicios de voz y multimedia están siendo desarrollados y puestos en producción. Cada router analiza la dirección IP destino independientemente en cada sitio de la red. Frame-Relay e IP. Debido a los aspectos expuestos resulta evidente la necesidad de contar con redes basadas en tecnologías capaces de afrontar los aspectos mencionados y proporcionar resultados ventajosos. Adicionalmente al problema de los recursos. e Internet ha emergido como la red de elección para proveer dichos servicios. se presenta otro desafió relativo al transporte de bits y bytes sobre un “backbone” para proveer clases de servicios diferenciadas a los usuarios (CoS). y manejo de trafico para mejora del rendimiento de la prestación de la red. El desarrollo inicial de Internet está basado en el transporte de datos a través de la red. Los protocolos de ruteo dinámicos o las configuraciones estáticas dentro de los routers construyen la base de datos (tabla de ruteo o “routing table”) necesaria para determinar la dirección destino y consecuentemente su próximo destino o acción a tomar. los routers analizan la dirección IP destino contenida en el encabezado de red de cada paquete a medida que el mismo atraviesa la red desde su origen hasta su destino final. El proceso implementado en el ruteo IP tradicional también se llama ruteo “unicast” salto por salto basado en destino (hop-by-hop destination-based únicas routing). han disminuido abruptamente los recursos existentes de la infraestructura de Internet. 6 . Por el contrario. Los aspectos económicos siempre presentan un papel importante en la selección e implementación de las redes de nueva generación. por otro lado el crecimiento exponencial en el número de usuarios y el volumen de tráfico añade otra dimensión al problema. A pesar de ser exitoso y ampliamente desarrollado. MPLS proporciona manejo de ancho de banda y servicios requeridos para las futuras redes “backbone” (núcleos principales) basadas en Protocolo IP (Internet Protocol). escalabilidad.

Más recientemente. Al mismo tiempo.. y aplicaciones de multimedia. incluyendo aplicaciones de datos y servicios de telefonía para negocios. 7 . El término de VPN ha sido empleado por los proveedores de servicios para identificar a los grupos cerrados de circuitos virtuales de usuario desde la creación de las redes X. intercambio electrónico de la información (EDI). FrameRelay. Al mismo tiempo. datos y video. solicitan la administración de dichos servicios IP con acuerdos de nivel de servicio Extremo a extremo (SLA: service-level agreements) y calidad de servicio garantizado (QoS). y más recientemente. las compañías están migrando sus aplicaciones comerciales hacia su Intranet para luego extender la misma hacia redes extendidas (WAN). La característica de VPN IP para MPLS permite desarrollar redes backbone de servicios escalables Mediante VPNs de capa de red IPv4.  Instalación de Wiondows server 2003. las compañías facilitan la reducción de costos de procesos de negocios. etc.Evolución de las redes privadas virtuales Los proveedores de servicios han estado ofreciendo servicios de VPN (Virtual Prívate Network) a Sus clientes corporativos desde la concepción de las redes TDM (líneas dedicadas puntoa-punto) y las redes de paquetes X. proveedores y socios por medio de la implementación de “Extranets”. tales como ecommerce.25. dichas redes fueron reemplazadas por redes Frame-Relay y ATM con múltiples clases de servicio. aplicaciones de hosting (almacenamiento). proporcionando cadenas de automatización. etc. Los clientes corporativos han reconocido las ventajas que proporciona la tercerización del servicio “outsourcing” de sus redes de servicios IP y la consolidación de los servicios de voz. permitirán a los proveedores de servicios generar una nueva ganancia incremental y mantener una ventaja competitiva a largo plazo. Dos tecnologías únicas y complementarias de arquitecturas de VPN tales como IPSec (IP Security) y MPLS (Multiprotocol Level Switching) forman la base predominante para la provisión de servicios consolidados. La VPN IP ha estado convirtiéndose en la base de la provisión de servicios de voz. datos y video. mediante las cuales. Muchos proveedores de servicios se encuentran ofreciendo aplicaciones de valor agregado sobre sus redes VPN de transporte. el término ha sido usado para identificar grupos de usuarios IP privados. METODOLOGÍA Para desarrollar la práctica utilizamos las siguientes herramientas algunas las tuvimos que instalar:  Instalación de VWware Workstation. Para tomar ventaja de esta oportunidad de negocio. Los servicios emergentes. Mediante una VPN IP una compañía puede desarrollar y administrar servicios de valor agregado. En las redes corporativas las “Intranets” basadas en IP han cambiado la manera de conducir los negocios empresariales.25. los proveedores de servicios deberán poseer una infraestructura de VPN IP capaz de proporcionar servicios a redes probadas sobre una red compartida. las compañías unifican las necesidades de sus clientes.

La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP. Instalación de Windows xp sp1. que luego son tratados como cualquier otro paquete IP. 8 . como Internet.  Uso del internet Explorer. PPTP encapsula datagramas de cualquier protocolo de red en datagramas IP. PPPT Como protocolo de túnel.  Instalación de wireshark.  Uso de cables de red.  Uso de un modem.

el datagrama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP. encriptación y los mismos accesos de LAN como si discaran directamente al servidor. MS-CHAP o PAP (Password Autenthication Protocol). como ser. MS-CHAP y aceptar cualquier tipo. los usuarios se conectan a su proveedor y luego “llaman” al servidor RAS a través de Internet utilizando PPTP. frame relay. como secreto. para cualquiera de los dos casos. La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE). El header de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja. se utiliza la contraseña de Windows NT. En vez de discar a un modem conectado al servidor RAS. El paquete PPTP está compuesto por un header de envío. que puede ser usado para realizar túneles para protocolos a través de Internet. el servidor RAS aceptará CHAP. el usuario remoto estable una conexión PPP con el ISP. longitud del datagrama enviado. un header Ip. standard en el que se intercambia un “secreto” y se comprueba ambos extremos de la conexión coincidan en el mismo. Para la autenticación. entre otros. La versión PPTP. IPX. PPP. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción. El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. direcciones de origen y destino. PPTP tiene tres opciones de uso: CHAP. Para el segundo escenario. Para el primero de los escenarios. PPTP utiliza el sistema RC4 de RSA. denominada GREv2. en el caso de PPP. el usuario remoto se conecta a un ISP que no provee el servicio de PPTP hacia el servidor RAS y. etc. Por último. Existen dos escenarios comunes para este tipo de VPN:   el usuario remoto se conecta a un ISP que provee el servicio de PPTP hacia el servidor RAS. el usuario remoto tendrá acceso a la red corporativa como si estuviera conectado directamente a la misma. NetBEUI. que no encripta las contraseñas. por lo tanto. Para la encriptación. un header GREv2 y el paquete de carga. debe iniciar la conexión PPTP desde su propia máquina cliente. en el caso de usar este sistema operativo. El header IP contiene información relativa al paquete IP. inclusive texto plano. con una clave de sesión de 40 bits. que. Si se utiliza CHAP. que luego establece la conexión PPTP con el servidor RAS. añade extensiones para temas específicos como Call Id y velocidad de conexión. 9 . el usuario remoto se conecta al ISP mediante PPP y luego “llama” al servidor RAS mediante PPTP.PPTP fue diseñado para permitir a los usuarios conectarse a un servidor RAS desde cualquier punto en Internet para tener la misma autenticación. el paquete de carga es el paquete encapsulado. Luego de establecida la conexión PPTP. ya sea Ethernet.

hay dos sistemas criptográficos básicos: simétrico y asimétrico. Es importante tener presente que la adición del cifrado de tercera persona fuerte a su VPN puede retrasar velocidades de la transmisión. La combinación del control selectivo del cifrado y de acceso permitiría que el usuario creara una sesión cifrada específica al uso de VPN de la opción. Lo último que un negocio desearía. por ejemplo. la competencia. que entonces es descifrado en el texto legible por el recipiente. utilizan una cierta clase de esquema del cifrado. La criptografía simétrica tiende para ser mucho más rápida desplegar. que se puede ver o robar fácilmente con un succionador de paquete. tecnologías de la estrella de la mañana. para envolver datos en el texto de la cifra. o peor. La mayoría de los dispositivos de VPN. ¿Por qué es importante la seguridad en una VPN? La palabra clave en "redes privadas virtuales" es privada. permitiendo que los administradores decidan a si o que no cifren un subconjunto de tráfico. una vez que autentiquen al usuario. es mantener en extremo riesgo un sistema corporativo de información privada. la información que atraviesa el canal será transmitida en el texto claro. de las compañías confiadas en como el punto de control Software. La mayoría del uso moderno de VPNs utiliza una cierta clase de sistema criptográfico. y se utiliza comúnmente intercambiar los paquetes grandes de datos entre dos partidos que se conozcan. usted puede elegir aplicar un algoritmo más resistente a los paquetes particularmente importantes que salen el servidor. Hay muchos diversos productos para cifrar hace un túnel.CIFRADO DE UNA VPN Asegurarse de que su VPN sea seguro. En algunos casos. y PSINet. si hardware o software-basado. Sin un mecanismo para proporcionar aislamiento de datos. El tipo de cifrado disponible se varía altamente. y utiliza la misma llave privada para tener acceso a los datos. 10 . a pesar de usar redes públicas. Sin embargo. Algunos productos también ofrecen el cifrado selectivo. Afortunadamente. que pudiera caer en las manos de algún hacker adolecente. limitando el acceso de usuario es solamente de una pieza de la ecuación. y pueden variar en coste según la fuerza del sistema usado.. los datos mismos necesitan ser protegidos también. asegurando la seguridad de los datos así como garantizar seguridad de la red. Digital Equipment Corp. basado en los datos que son alcanzados. una VPNs se considera extremadamente segura.

robusta y altamente flexible.Dado el VPNs requiere la configuración de un dispositivo del acceso. Protocolos no estándar: o OpenVPN una solución de código abierto. o cIPe es una solución similar a IPSec más ligera por tener un protocolo más sencillo. Soporta múltiples tipos de cifrado. 11 . o IPsec (la abreviatura de Internet Protocol Security) es una extensión al protocolo IP que añade cifrado fuerte y autenticación. El protocolo al hacer un túnel de Punto-a-Punto (PPTP) o acoda 2 que la expedición (L2F) está también disponible. y que se puede ejecutar sobre múltiples sistemas operativos. Permite realizar un túnel IP tanto sobre un TCP como UDP . al sistema para arriba un canal seguro. asegurando de esta manera las comunicaciones a través de dicho protocolo. incluso si podían capturar de alguna manera una sesión de VPN. VPNs puede evitar que los intrusos authentiquen con éxito a la red. Soporta. Protocolos VPN   Protocolos estándar: o PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red para la encapsulación PPP sobre una capa de Ethernet. software o hardware-basado. y aunque solamente un puñado de vendedores del firewall apoya estos protocolos de la seguridad. PPP. o incluso comenzar un apretón de manos de VPN. que ofrece autenticación. autenticación y certificación a través de la librería OpenSSL. son parte de la razón por la que no hay estándar universal aceptado de la corriente. Cuando está utilizado conjuntamente con la autentificación fuerte. así como compresión mediante la librería LZO. o tinc es una solución que permite realizar una VPN con cifrado. pero no estandarizada. mientras que una cierta información es necesaria permitir un acceso de usuario alejado a la red. túneles IP. entre otros. o L2TP (Layer 2 Tunneling Protocol) fue diseñado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F. Este protocolo no ofrece seguridad. autenticación y compresión (mediante las librerías OpenSSL y LZO). Un usuario al azar no puede abrirse una sesión simplemente a un VPN. o VTun es una solución de fuente abierta que permite crear de forma sencilla túneles a través de redes TCP/IP con compresión y cifrado. para lo que se suele usa en conjunción con L2Sec o IPSEC. SLIP y Ethernet. cifrado y compresión.

Antes de ver la configuración de los protocolos PAP y CHAP tomemos en cuenta que la encapsulación serial predeterminada al conectar dos routers cisco es HDLC. no hay encriptación: el nombre de usuario y la contraseña se envían en texto sin cifrar. esto es muy importante ya que el encapsulamiento HDLC sólo funciona con dispositivos cisco y cuando necesitemos conectar un router que no sea cisco deberemos utilizar el encapsulamiento PPP (Point-to-Point-Protocol). PAP sólo realiza el proceso de autenticaión una sóla vez. la conexión se permite. Configuración de CHAP Ciscoredes# Configure terminal Ciscoredes(config)# username router-vecino password contraseña Ciscoredes(config)# interface serial-id Ciscoredes(config-if)# ppp authentication chap Ciscoredes(config-if)# exit 12 . que sólo autentica una vez. El valor de la contraseña es variable y cambia impredeciblemente mientras el enlace existe. Configuración de PAP. Ciscoredes# Configure terminal Ciscoredes(config)# username router-vecino password contraseña Ciscoredes(config)#interface serial-id Ciscoredes(config-if)# ppp authentication pap Ciscoredes(config-if)# ppp pap sent-username nombre-router password contraseña Ciscoredes(config-if)# exit CHAP A diferencia de PAP. CHAP realiza comprobaciones periódicas para asegurarse de que el nodo remoto todavía posee un valor de contraseña válido. PAP es un proceso muy básico de dos vías. cada uno con sus respectivas características. si esto se acepta. El encapsualmiento PPP se configura en las interfces seriales que se utilizan para conectar dos routers a través de enlace serial. CHaP es el prtocolo que debe usarse siempre que sea posible. Dentro de la encapsulación PPP se encuentran los protocolos de autenticación PAP y CHAP.

Los clientes que usan WindowsNT Server o Workstation como S. Los "network access servers" usan el protocolo TCP/IP para el mantenimiento de todo el tráfico. Es la segunda llamada la que crea la conexión VPN a un servidor PPTP en la red privada de la compañía.Una vez conectados. 2000. que se encuentra disponible para los sistemas operativos Win9x. no sirve probar desactivándolo. Los datos enviados usando la segunda conexión son en forma de datagramas IP que contienen paquetes PPP. usaran el Dial-up networking y el protocolo PPP para conectar a su ISP. Si al ejecutar la conexión VPN obtenemos como resultado el error 800 es probable que el problema se deba al firewall de nuestro pc. Para comprobarlo.El protocolo que actualmente se usa para establecer la conexión VPN es el PPTP (Point to Point Tuneling Protocol). Linux. Esto es llamado un TUNEL. NT. Me. el cliente tiene la capacidad de extraer datos de Internet.O. XP así como Mac OS-X. la segunda llamada Dialup es hecha a través de la conexión PPP ya establecida. desactivar el firewall e intentar conectar de nuevo. Este cliente PPTP necesita acceso a la red privada (private network) utilizando un ISP (internet service provider). 13 . En el caso del Antivirus Panda. Después que el cliente ha hecho la conexión PPP inicial al ISP. la prueba con este producto debería consistir en desinstalar completamente el antivirus y volverlo a instalar sin la opcion del firewall COMO FUNCIONA En la práctica general hay normalmente tres ordenadores involucrados en una distribución:   Un cliente PPTP Un servidor de acceso a la red  Un server PPTP n una distribución típica de PPTP comienza por un PC remoto o portátil que será el cliente PPTP.

. Los otros enrutamientos de la otra red no pueden acceder porque esta en la red privada. Como mencionamos antes. El server PPTP hace esto procesando el paquete PPTP para obtener el nombre del ordenador de la red privada o la información de la dirección que esta encapsulada en el paquete PPP.. como un server PPTP .La primera conexión es dial-up usando el protocolo PPP a través del módem a un ISP. La segunda conexión requiere la primera conexión porque el túnel entre el dispositivo VPN es establecido usando el módem y las conexiones PPP a Internet. Cuando el server PPTP recibe un paquete de la red de enrutamiento (Internet) lo envía a través de la red privada hasta el ordenador de destino. NOTA: El paquete PPP encapsulado puede contener datos multi-protocolo como TCP/IP.IPX/SPX o NetBEUI. En este escenario. a la red privada de la compañía y a la red de enrutamiento. Sin embargo.TCP/IP. el cliente esta de hecho conectado a una red y solo usa dial-up networking con un dispositivo VPN para crear la conexión a un server PPTP en la LAN. mientras que el paquete PPTP de la LAN PPTP es puesto en el adaptador de red de medio físico.es capaz de entender Multi-Protocolos. los protocolos soportados por el PPTP. que en este caso es Internet.el cliente PPTP y el server PPTP usan el tunneling para transmitir paquetes de forma segura a un ordenador en la red privada. 14 . son. PPTP encapsula el encriptado y comprimido paquete PPP en datagramas IP para su transmisión a través de Internet. Estos datagramas IP son enrutados a través de Internet como un paquete PPP y después son desencriptados usando el protocolo de red de la red privada. La excepción a estos dos procesos de conexión es usar PPTP para crear una VPN entre ordenadores físicamente conectados a una LAN.Este server PPTP esta conectado a ambas.El Tunneling es el proceso de intercambio de datos de un ordenador en una red privada de trabajo enrutándolos sobre otra red. PPTP Cliente Un ordenador que es capaz de usar el protocolo PPTP puede conectarse a un servidor PPTP de dos maneras diferentes:   Usando un ISP que soporte las conexiones PPP Usando una red con soporte para TCP/IP para conectar a un server PPTP Los clientes PPTP que quieran usar un ISP deben estar perfectamente configurados con un módem y un dispositivo VPN para hacer las pertinentes conexiones al ISP y al server PPTP . Un paquete PPTP de un cliente remoto es puesto en el dispositivo de telecomunicación de medio físico. IPX/SPX y NetBEUI. el tunneling activa el enrutamiento de la red para transmitir el paquete a un ordenador intermediario. Ambos . Los paquetes PPTP remotos de un cliente PPTP y una LAN local PPTP son procesados de diferente manera.Debido a que el servidor PPTP esta configurado para comunicar a través de la red privada usando protocolos de esta red privada .

Muchas de las sesiones PPTP comienzan con la llamada de un cliente y un ISP. Estos mensajes son enviados entre el cliente PPTP y el servidor PPTP. Limpieza de texto. el PPTP crea una conexión controlada del cliente PPTP al server PPTP en Internet. El protocolo PPP usa una secuencia definida en el RFC 1661 para establecer y mantener la conexión entre dos ordenadores remotos 2. Conexión y Comunicación PPTP: Un cliente PPTP utiliza PPP para conectarse a un ISP usando una línea telefónica normal o una línea RDSI. Ahora explicaremos estos procesos y como funcionan: 1. El protocolo PPP es usado para crear la conexión entre el cliente y el servidor de acceso a la red y presenta las siguientes funciones: 1. mantienen y terminan el Tunnel PPTP.Arquitectura PPTP La siguiente área expone la arquitectura del PPTP sobre WindowsNT server 4. Crea datagramas PPP. Establece y termina la conexión física. El PPP encapsula paquetes IP. El PPP es un protocolo de acceso remoto usado por el PPTP para enviar datos a través de redes basadas en TCP/IP. La siguiente sección abarca:   Protocolo PPTP Control de conexión PPTP  Tunneling de datos PPTP a comunicación segura que es establecida usando PPTP involucra tres procesos.0. Que contienen paquetes IPX. Autentifica usuarios. Los clientes PPTP son autentificados usando PPP. Tunneling de datos PPTP: El protocolo PPTP crea datagramas IP conteniendo paquetes PPP encriptados que son enviados a través del Tunnel PPTP al PPTP server. encriptado o MS-CHAP pueden ser usados por el protocolo PPP.NetBEUI o TCP/IP Control de conexion PPTP El protocolo PPTP especifica una serie de mensajes que son usados para la sesión de control. Los mensajes de control establecidos. Esta conexión usa TCP para establecer la comunicación y esta llamada PPTP Tunnel. 2. IPX y NetBEUI entre marcos PPP y envía los paquetes encapsulados creando un link point-to-point entre los ordenadores de origen y destino. El server PPTP desensambla los datagramas IP y desencripta los paquetes PPP. La siguiente lista 15 . y los enrutamientos los paquetes desencriptados a la red privada. 3. Control de Conexión PPTP: Usando la conexión a Internet establecida por el protocolo PPP. Esta conexión usa el protocolo PPP para establecer la conexión y encriptar los paquetes de datos. 3.0 y NT Workstation 4. cada uno de los cuales requiere la completa realización del proceso anterior.

una TCP. La estructura de datagrama IP es: PPP Delivery Header IP Header GRE Header PPP Header IP Header TCP Header Data Prestando atención a la construcción del paquete. La 16 . El datagrama contiene una cabecera PPP.presenta el control primario de mensajes usados para establecer y mantener la sesión PPTP: Message Type Purpose PPTP_START_SESSION_REQUEST Starts Session PPTP_START_SESSION_REPLY Replies to Start Session Request PPTP_ECHO_REQUEST Maintains Session PPTP_ECHO_REPLY Replies to Maintain Session Request PPTP_WAN_ERROR_NOTIFY Reports an error in the PPP connection PPTP_SET_LINK_INFO Configures PPTP Client/Server Connection PPTP_STOP_SESSION_REQUEST Ends Session PPTP_STOP_SESSION_REPLY Replies to End Session Request Los mensajes de control son enviados dentro de los paquetes de control en un datagrama TCP. Los datos son enviados en datagramas IP conteniendo paquetes PPP. El datagrama IP es creado usando una versión modificada de la versión de Generic Routing Encapsulation (GRE) protocol (RFC1701-2). los datos del usuario son trasmitidos entre el cliente y el server PPTP. Este path es usado para enviar y recibir mensajes de control. un mensaje de control PPTP y sus apropiadas reglas. podrás ver como es capaz de ser transmitido a través de Internet desmenuzando las cabeceras. La construcción es como sigue: PPP Delivery Header IP Header PPTP Control Message Trailers Transmisión de datos PPTP Después de que el Tunnel PPTP ha sido creado. Una conexión TCP es activada entre el cliente PPTP y el server. La cabecera de envío del PPP proporciona información necesaria para el datagrama para atravesar Internet.

y necesita la base estándar de "login" de WindowsNT. el PPTP usa el proceso de encriptación RAS "shared secret". el secreto "shared" es el pass del usuario (Otros métodos incluyen llave pública de encriptación. El RSA RC4 standard es usado para crear estos 40 bits (128 dentro de EEUU y Canada) de llave de sesión basada en el passwd de un cliente. soporta completamente MS-CHAP. Una llave de encriptación es generada usando una mínima parte del passwd situados en cliente y server. Autentificación: La autentificación inicial en la llamada puede ser requerida por un ISP de servidor de acceso a la red. Bajo la implentanción del RAS de MS. Porque esto.El PPTP puede también proteger el server PPTP y la red privada ignorando todo excepto el trafico PPTP. Es referido a un "shared-secret" porque ambos terminan la conexión "sharing" the encryption key. Esta llave es después usada para encriptar y desencriptar todos los datos intercambiados entre el server PPTP y el cliente. será ilegible. El nombre de usuario y el passwd esta disponible al server y sustituida por el cliente. 17 . Los datos en los paquetes PPP son encriptados. El PPTP usa la encriptación PPP y los métodos de compresión PPP. Entendiendo la seguridad PPTP El PPTP usa la estricta autentificación y encriptacion de seguridad disponible por los ordenadores que corren RAS bajo WindowsNT Server v4. El paquete PPP que contiene un bloque de datos encriptados es después metido en un largo datagrama IP para su ruteo. Control de acceso: Después del "auth".0. El acceso a recursos en devices NTFS o otros recursos de la red requieren los permisos correctos. tal como si estuvieses conectado dentro de la LAN. El paquete PPP es creado por RAS. el login de acceso remoto usando un PC bajo NT server o Workstation es tan seguro como hacer un login en un PC conectado a una LAN (teóricamente). El CCP (Compression Control Protocol es usado para negociar la encriptación usada.cabecera GRE es usada para encapsular el paquete PPP sin el datagrama IP. todo el acceso a la LAN privada continúa usando las estructuras de seguridad basadas en NT. Todos los clientes PPTP deben proporcionar un login y password. La autentificación de los clientes remotos PPTP es hecha usando los mismos métodos de autentificación PPP usados para cualquier cliente RAS llamando directamente en un NT Server. El paquete PPP es encriptado y si es interceptado. Un servidor PPTP es un gateway a tu red. De todas formas. Encriptacion de los datos: Para la encriptación de datos. A pesar de esta seguridad es fácil configurar un firewall para permitir al PPTP acceder a la red interna.

18 .OBSERVACIONES No puede utilizar Cifrado punto a punto de Microsoft (MPPE) si se emplea CHAP para autenticar la conexión. Si mandamos una petición de inicio de sesión de PPTP con una longitud de paquete invalida en la cabecera del paquete PPTP dejara colgado una maquina y causara un "CoreDump" osea un volcado la memoria ram al server. la cuenta de usuario del cliente debe estar configurada para permitir el almacenamiento de la contraseña en un formato cifrado reversible. Si está utilizA CHAP para autenticar una conexión a un servidor de acceso remoto que ejecuta Windows 2000 y el servicio Enrutamiento y acceso remoto.

integridad. por supuesto. AH sigue al header IP y contiene diseminaciones criptográficas tanto en los datos como en la información de identificación. En otras palabras. no garantiza nada sobre el mismo. integridad y protección a repeticiones pero no así confidencialidad. Todo el tráfico que fluye a través de un SA es tratado de la misma manera. Paquetes entrantes pueden ser asignados a un SA específico por los tres campos definitorios: la dirección IP de destino. ESP provee autenticación. sólo la carga. IPSec provee confidencialidad. y uno de los extremos de la conexión segura es un gateway. incluyendo el header IP entre los extremos. Grupos de SA son denominados SA Bundles. si es la fuente original o un gateway:   El modo de transporte es utilizado por el host que genera los paquetes. como las direcciones de origen y destino. AH provee autenticación. En este modo.IPsec IPSec trata de remediar algunas falencias de IP. Como no considera los campos del header IP. autenticidad y protección a repeticiones mediante dos protocolos. El SPI puede ser considerado una cookie que es 19 . tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. El header de ESP permite rescribir la carga en una forma encriptada. integridad. pero no incluye ningún campo del header IP. mientras que ESP cubre la encriptación del header TCP y los datos. protegiendo el paquete entero que sigue al header. Si bien estos servicios son distintos. tanto AH como ESP cubren el paquete entero. protección a repeticiones y confidencialidad de los datos. que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP). Por protección a repeticiones se entiende que una sesión no pueda ser grabada y repetida salvo que se tenga autorización para hacerlo. La diferencia más importante con ESP es que AH protege partes del header IP. Una división de la funcionalidad de IPSec es aplicada dependiendo de dónde se realiza la encapsulación de los datos. puede estar a varios saltos del gateway. En este modo. IPSec da soporte a ambos de una manera uniforme. antes de que el header IP sea incorporado al paquete. agregando al paquete un header IP que cubre solamente el salto al otro extremo de la conexión segura. AH cubre el header TCP y algunos campos IP. Por integridad se entiende que los datos no sean modificados en el trayecto de la comunicación. Partes del tráfico puede estar sujeto a varios SA. el índice del parámetro de seguridad y el protocolo de seguridad. El modo de túnel es usado cuando el header IP entre extremos está ya incluido en el paquete. Cada SA está definido para un flujo unidireccional de datos y generalmente de un punto único a otro. Los enlaces seguros de IPSec son definidos en función de Security Associations (SA). Las diseminaciones pueden también cubrir las partes invariantes del header IP. Por autenticidad se entiende por la validación de remitente de los datos. Por confidencialidad se entiende que los datos transferidos sean sólo entendidos por los participantes de la sesión. los headers de seguridad son antepuestos a los de la capa de transporte. cubriendo tráfico distinguible por un selector único. cada uno de los cuales aplica cierta transformación. que.

repartido por el receptor del SA cuando los parámetros de la conexión son negociados. Cuando un header AH y ESP son directamente aplicados como en esta manera. Como la dirección IP de destino es parte de la tripleta antes mencionada. se garantiza que este valor sea único. Es posible. 20 . el orden de los header debe ser el indicado. hacer una encapsulación arbitrariamente recursiva para que el orden no sea el especificado. en el modo de túnel. La versión de entunelamiento sería: Sin embargo. no es mencionado en las RFC que definen estos protocolos. esto autenticaría el paquete completo salvo algunos pocos campos del header IP y también encriptaría la carga. Un ejemplo de paquete AH en modo túnel es: Un ejemplo de paquete AH en modo transporte es: Como ESP no puede autentificar el header IP más exterior. El protocolo de seguridad debe ser AH o ESP. es muy útil combinar un header AH y ESP para obtener lo siguiente: Este tipo de paquete se denomina Transport Adjacency. Como en Transport Adjacency.

Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6 (permite cerca de 34 trillones de ips). también se han definido ciertos algoritmos estándar que soportan todas las implementaciones para garantizar la interoperabilidad en Internet. IPsec es un marco de estándares que permite que cualquier nuevo algoritmo sea introducido sin necesitar cambiar los estándares. 21 . aseguramos las comunicaciones a través de dicho protocolo. de esta manera. 3DES. o  Carga de seguridad de encapsulado (ESP) Un protocolo de seguridad de claves: o Intercambio de llaves de internet. Blowfish). tecnología de claves o algoritmos de seguridad específico. usando:  Algoritmos de cifrado (DES. SHA-1). IPsec proporciona:   Confidencialidad Integridad  Autenticación.Añade cifrado fuerte para permitir servicios de autenticación y cifrado y.  Tecnologías de clave pública (RSA).  Algoritmos de hash (MD5. Dentro de IPSec encontramos los siguientes componentes:  Dos protocolos de seguridad: o Autentificación de cabecera IP (AH). que alcanza 4 billones de ips). Pese a esto. No está ligado a ningún algoritmo de encriptación o autenticación. IDEA. protegiendo y autenticando los paquetes IP entre los equipos participantes en la comunidad IPsec. Es más. IPsec actúa a nivel de capa de red.  Certificados digitales. Fue creado de forma modular para permitir seleccionar el conjunto de algoritmos deseados sin afectar a otras partes de la implementación. aunque posteriormente se adaptó a IPv4 (el actualmente usado.

22 . pero requiere que ambos extremos entiendan el protocolo IPSec. la cabecera IPSec se inserta inmediatamente a continuación de la cabecera IP y antes de los datos de los niveles superiores que se desean proteger.El funcionamiento del protocolo AH es el siguiente: Funcionamiento del protocolo ESP es el siguiente EXISTEN 2 MODOS DIFERENTES EN QUE TRABAJA IPSEC Modo Transporte: en este modo el contenido transportado dentro del datagrama AH o ESP son datos de la capa de transporte (por ejemplo. datos TCP o UDP). Por tanto. El modo transporte tiene la ventaja de que asegura la comunicación extremo a extremo.

incluida la cabecera IP original. posteriormente se añade una nueva cabecera IP que es la que se utiliza para encaminar los paquetes a través de la red. Por sus características es el protocolo estándar para la construcción de redes privadas virtuales. se toma un datagrama IP al cual se añade inicialmente una cabecera AH o ESP. El modo túnel se usa normalmente cuando el destino final de los datos no coincide con el dispositivo que realiza las funciones IPSec. Así. Modo Túnel: en éste el contenido del datagrama AH o ESP es un datagrama IP completo. IKE utiliza el puerto 500 de UDP para establecer el intercambio de mensajes pertinente. El protocolo IKE es importante aquí que se refiere al protocolo para Intercambio de claves en Internet es el encargado en la infraestructura IPSec de proporcionar un entorno previo seguro para la compartición de una clave secreta y autenticación de los extremos. 23 .

A continuación aparecerá la ventana del asistente. presionar siguiente. 24 . presionar siguiente.DESARROLLO CONFIGURACIÓN DEL SERVIDOR El primer paso para configurar la VPN en Windows server 2003 es entrar al “asistente para la configurar su servidor”. Nos indicara los pasos preliminares de configuración.

Presionar siguiente. tardara unos segundos. 25 .El pantallazo siguiente se refiere a la detección de la red.

Seleccionar configuración personalizada. 26 . presionar siguiente. En la opción de función del servidor marcar “VPN” y presionar siguiente.

La siguiente imagen nos muestra que está aplicando la función al servidor.A continuación aparecerá el resumen de la conexión. 27 . presionar siguiente.

presionar siguiente. 28 . Seleccionar acceso remoto (VPN).De manera paralela a la imagen anterior nos aparece el asistente.

presionar siguiente. La siguiente imagen es muy importante. 29 . cabe destacar que si no se cuenta mínimo con 2 conexiones distintas (WLAN Y LAN) no se podrá seguir.En la ventana de acceso remoto seleccionar VPN. ya que es donde se selecciona la conexión que va a utilizar para la VPN.

A continuación seleccionamos la red. seleccionamos automáticamente. En la siguiente imagen se muestra la asignación de ip´s. 30 .

Presionamos finalizar. A continuación nos notifica de la configuración. 31 .

Nos vamos a conexiones de red y seleccionamos nueva conexión. 32 . Posteriormente seleccionamos “conectar a mi lugar de trabajo”.CONFIGURACIÓN DEL CLIENTE: En esta práctica se utilizaron maquinas virtuales para hacer la función del cliente y del snnifer.

Asignamos el nombre que se le dará a la conexión.Seleccionamos conexión VPN. 33 .

34 . Presionar finalizar y crear un icono de acceso directo.Introducimos la ip del servidor (server 2003).

35 .En la imagen siguiente se introduce el usuario y la contraseña del usuario remoto.

una vez establecida la conexión VPN 36 .En esta imagen se muestra la conexión VPN en la ventana y también se indica en la parte inferior derecha. Ipconfig del servidor.

una vez establecida la conexión VPN Estado de la VPN en el cliente: 37 .Ipconfig del cliente.

38 .

mantienen y terminan el Tunnel PPTP.. El protocolo PPTP especifica una serie de mensajes que son usados para la sesión de control.Utilizamos el analizador de protocolos “wireshark” para indicar el inicio y el final de la comunicación entre el cliente y el servidor..PPTP_START_SESSION_REQUEST Starts Session 2.PPTP_START_SESSION_REPLY Replies to Start Session Request 3.PPTP_STOP_SESSION_REPLY Replies to End Session Request 1 2 3 4 6 7 8 39 . Estos mensajes son enviados entre el cliente PPTP y el servidor PPTP....PPTP_ECHO_REPLY Replies to Maintain Session Request 5.PPTP_STOP_SESSION_REQUEST Ends Session 8.PPTP_WAN_ERROR_NOTIFY Reports an error in the PPP connection 6.... La siguiente lista presenta el control primario de mensajes usados para establecer y mantener la sesión PPTP: 1. Los mensajes de control establecidos.PPTP_SET_LINK_INFO Configures PPTP Client/Server Connection 7.PPTP_ECHO_REQUEST Maintains Session 4.

lo cual nos provoco un retraso en la actividad. LINKOFGRAFÍA 40 . Es por eso que decidimos hacer el Windows server de inicio. El firewall y el antivirus son otros de los factores a tomar en cuenta durante la elaboración de esta práctica. ya que el más minimo error en algún número o dirección errónea es causa de falla en la conexión.CONCLUSIÓN En el desarrollo de esta práctica aprendimos a elaborar una red vpn entre un servidor (Windows server 2003) y un cliente (Windows xp sp1). En un principio optamos por hacerlo todo en maquinas virtuales. Por igual observamos que él lo PPTP llevan a si mismo algunos otros protocolos dentro del mismo con en este caso se manejan los PPP y en IPsec ahora sabemos que se puedan manejar de dos modos diferentes como de transporte o modo túnel y utilizan los protocolos AH Y ESP. El analizador de protocolos nos indico el inicio y el final de la vpn de manera clara. El manejo de las ip´s es fundamental para la conexión. ya que en la maquina virtual del servidor necesitaríamos más de una conexión de red (alambrico e inalámbrico) y la maquina virtual (VMWare) no detectaba ambas.

py/tai2003/vpn/eleccion.com.co/carrera/tgrado/99-1/redesprivadas.shtml http://campusvirtual.uc.uc.edu.usc.edu.com/doc/34037219/Protocolos-VPN http://www.uc.ub.html http://www.co/dspace/bitstream/10495/69/1/ModeloTeoricoImplementacion VPN.com/trabajos12/monvpn/monvpn.udea.py/tai2003/vpn/integ.dei.monografias.edu.php?id=1883 http://es.es/cala/cala/mod/resource/view.py/tai2003/vpn/config.py/tai2003/vpn/cifrado.pdf http://www.edu.edu.py/tai2003/vpn/segur.edu.html 41 .es/docencia/ASRII/Tema_4html/node20.ac.scribd.html http://www.unex.ar/investigaciones/tesinas/259_rodriguez.edu.uc.html http://www.dei.html http://www.uc.blogspot.html http://www.ar/computer/info/varios/pptnvpn.http://www.uc.dei.com/2011/06/tecnologia-vpn.ciscoredes.edu.PDF http://networkingtools.dei.dei.edu.com/tutoriales/75-pap-y-chap.pablin.dei.html http://www.html http://www.html http://tesis.pdf http://triton.py/tai2003/vpn/protocol.javeriana.html http://www.