Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Red Privada Virtual: Descripción General: Internetworks Públicas. Asimismo, Este Documento Incluye El Soporte Nativo
Red Privada Virtual: Descripción General: Internetworks Públicas. Asimismo, Este Documento Incluye El Soporte Nativo
Resumen
Este documento proporciona una descripcin general de las redes privadas
virtuales (VPN), describe sus requerimientos bsicos y analiza algunas de
las tecnologas clave que permiten la operacin en red privada a travs de
internetworks pblicas. Asimismo, este documento incluye el soporte nativo
para la operacin en red privada virtual disponible en el Windows NT Server.
Introduccin
Una Red privada virtual (VPN) conecta los componentes y recursos de una
red a otra. Las VPN logran lo anterior permitiendo al usuario conectarse a
travs de Internet u otra red pblica en forma tal que los participantes de
esta conexin pueden disfrutar la misma seguridad y funciones que antes
estaban disponibles nicamente a travs de redes privadas (vea la Figura
1).
# topic1
Operacin entre
redes internas
Equivalente
lgico
Internet lgicamente opera como un enlace de red de rea amplia entre los
sitios.
En ambos casos, la conexin segura a travs de la red interna aparece ante
el usuario como una comunicacin de red privada, a pesar del hecho de que
esta comunicacin se hace a travs de una internetwork pblica, de ah se
origina el nombre de Red privada virtual.
La tecnologa VPN est diseada para cubrir aspectos relacionados a la
tendencia actual comercial hacia el aumento de comunicaciones remotas,
operaciones globales distribuidas ampliamente y operaciones con colegas
altamente interdependientes, donde los empleados deben poder conectarse
a recursos centrales, comunicarse unos con otros y las empresas necesitan
administrar eficientemente inventarios para lograr una produccin justo a
tiempo.
La capacidad de conectarse a recursos corporativos de computacin sin
importar el lugar donde se encuentre, una corporacin debe instalar una
solucin de acceso remoto confiable y escalable. Tpicamente, las
corporaciones eligen:
1. Una solucin dirigida al departamento de administracin de sistemas de
cmputo, donde un departamento interno de sistemas de informacin se
encarga de comprar, instalar y dar mantenimiento a las agrupaciones de
mdem corporativos y a una infraestructura de red privada.
2. Soluciones de Red con valor agregado (VAN), donde pagan a una
compaa externa para comprar, instalar y dar mantenimiento a las
agrupaciones de mdem y a la infraestructura de telecomunicaciones.
# Topic1
Internet
ISP
Central
corporativa
Figura 2. Uso de una VPN para conectar a un cliente remoto a una LAN
privada.
En lugar de utilizar una lnea arrendada, de hacer una llamada de larga
distancia (o 1-800) a un servidor de acceso a red corporativo o externo
(NAS), el usuario primero llama a un nmero telefnico NAS de ISP.
Utilizando la conexin local al ISP, el software de la VPN crea una red
privada virtual entre el usuario que marca y el servidor corporativo de VPN a
travs de Internet.
VPN utiliza las conexiones de ISP locales e Internet pblica para crear
una red privada virtual entre el enrutador de la sucursal y el enrutador
corporativo.
(1-
Internet
Central
corporativa
Sucursal
Enlace dedicado o de
marcacin a ISP
# Topic2
de
seguridad
IP
(IPSec),
cumplen
algunos
de
estos
# topic2a
En el tnel
Internetwork
Header
Carga de
pago
Carga de pago
Figura 5. Tnel
Considere que la red interna de trnsito puede ser cualquier red interna,
Internet es una red interna pblica, y es el ejemplo real ms conocido.
Existen muchos ejemplos de tneles que pasan por las redes internas
corporativas. A pesar de que Internet proporciona una de las redes internas
ms adecuadas y de costos ms accesibles, las referencias que este
documento hace a Internet pueden reemplazarse por referencias a cualquier
otra red interna pblica o privada que acte como una red interna de
trnsito.
11
Protocolos de tunneling
Para que se pueda establecer un tnel, tanto el cliente del tnel como el
servidor de tnel deben utilizar el mismo protocolo de tunneling.
La tecnologa de tnel puede basarse en un protocolo de tunneling nivel 2 o
nivel
de
13
El IPSec negocio
15
reconocimiento
(CHAP),
el
Microsoft
Challenge
Handshake
Protocolo
de
autenticacin
de
intercambio
de
seales
de
17
Dispositivo de
autenticacin
Cliente
w
Reto
Respuesta
clientes
remotos
al
enviar
impredeciblemente
seales
de
Microsoft
Challenge-Handshake
Authentication
Protocol
(MS-
CHAP).
MS-CHAP es un mecanismo de autenticacin codificado muy similar al
CHAP. Como en el CHAP, el NAS enva al cliente remoto una seal de
reconocimiento, que consiste de una ID de sesin y de una cadena de
reconocimiento arbitraria. El cliente remoto debe regresar el nombre del
usuario y un hash MD4 de la cadena de reconocimiento, la ID de sesin
y de la contrasea con hash MD4. Este diseo, que manipula un hash
del hash MD4 de la contrasea, proporciona un nivel adicional de
seguridad porque permite que el servidor almacene contraseas con
hash en lugar de contraseas de texto claro. MS-CHAP tambin
proporciona cdigos de error adicionales, incluyendo un cdigo de
expiracin de contrasea, y mensajes adicionales codificados de clienteservidor que permiten que los usuarios cambien sus contraseas. En la
implementacin de Microsoft del MS-CHAP, el cliente y el NAS generan
independientemente una clave inicial para lograr una codificacin
subsecuente de los datos a travs del MPPE. El ltimo punto es muy
importante, ya que explica por qu la autenticacin de MS-CHAP se
requiere a fin de lograr la codificacin de datos basados en el MPPE.
Durante la fase 2 de la configuracin del enlace del PPP, el NAS rene los
datos de autenticacin y despus los valida con base en su propia base de
datos de usuarios o basndose en un servidor central de base de datos de
autenticacin, como el que mantiene el Windows NT Primary Domain
Controller (PDC) o un servidor de servicio de autenticacin remota de
usuario de marcacin (RADIUS).
19
# Topic5
21
Cliente remoto
R e m o t e C lie n t
Aplicacin
A p p lic a t io n
U s e r D a ta
Pila de
TCP/IP
T C P /IP
S ta c k
TCP
UDP
G R E
PPP
U s e r D a ta
Software de
PPTP
PPTP
S o ftw a re
Pila de
TCP/IP
T C P /IP
S ta c k
Opcionalmente comprimidos
T C P y codificados
IP
IP
UDP
PPP
Controlador de
Dispositivo de PPP
PPP
D e v ic e
D r iv e r
U DP
U s e r D a ta
O p tio n a lly c o m p r e s s e d a n d e n c r y p t e d
Opcionalmente comprimidos
y codificados
TCP
IP
U s e r D a ta
UDP
O p tio n a lly c o m p r e s s e d a n d e n c r y p t e d
PPP
IP
UDP
PPP
Opcionalmente comprimidos
y codificados
TCP
IP
UDP
U s e r D a ta
O p t io n a lly c o m p r e s s e d a n d e n c r y p t e d
Servidor de tnel
T u n n e l S e rv e r
Red objetivo
T a rg e t N e tw o rk
# Topic6
# Topic7
23
Nota:
R e mremoto
o te C lie n t
Cliente
Aplicacin
Datos del
usuario
U s e r D a ta
A p p lic a t io n
Pila de TCP/IP
T C P /IP
S ta c k
Software de
L2TP
L2TP
S o ftw a re
IP
TCP
UD P
U DP
PPP
Datos del
usuario
U s e r D a ta
IP
TCP
U DP
Pila de
T C P /IP
TCP/IP
IP
S ta c k
UD P
PPP
TCP
UD P
IP
Controlador
P PdeP
dispositivo
D ede
v i cPPP
e
D r iv e r
PPP
IP
UDP
PPP
IP
TCP
UDP
Servidor
N e t w ode
r k Aacceso
c c e s s S ae r red
ver
T u n n e l In te r n e tw o r k
Servidor de tnel
T u n n e l S e rv e r
Red objetivo
T a rg e t N e tw o rk
25
Sin
El PPTP requiere que la red interna sea una red interna de IP. El L2TP
requiere nicamente que el medio de tnel proporcione conectividad de
punto a punto orientada a paquetes. El L2TP puede utilizarse a travs
del IP (utilizando el UDP), de circuitos virtuales permanentes de Rel de
trama (PVC), circuitos virtuales X.25 (VC), o VC de ATM.
El PPTP slo puede dar soporte a un solo tnel entre puntos finales.
L2TP permite el uso de tneles mltiples entre puntos finales. Con el
L2TP, usted puede crear diferentes tneles para diferentes calidades de
servicio.
27
Tipos de tnel
Los tneles pueden crearse en diferentes formas.
Hasta la fecha, los tneles voluntarios estn probando ser el tipo de tnel
ms popular. Las siguientes secciones describen con mayor detalle estos
tipos de tneles.
Tunneling voluntaria
La tunneling voluntaria se presenta cuando una estacin de trabajo o un
servidor de enrutamiento utiliza el software de cliente de tnel para crear
# Topic9
una conexin virtual al servidor de tnel objetivo. A fin de lograr esto, debe
instalarse el protocolo adecuado de tnel en la computadora de cliente. Para
los protocolos que se describen en este documento, los tneles voluntarios
requieren una conexin de IP (ya sea a travs de una LAN o de marcacin).
En una situacin de marcacin, el cliente debe establecer una conexin de
marcacin con la red interna antes de que puede establecer un tnel. Este
es el caso ms comn. El mejor ejemplo de esto es el usuario de Internet
por marcacin, quien debe marcar un ISP y obtener una conexin de
Internet antes de que pueda crearse un tnel a travs de Internet.
Para una PC conectada a una LAN, el cliente ya tiene una conexin con la
red interna que puede proporcionar enrutamiento de cargas de pago
encapsuladas al servidor de tnel de LAN seleccionado. Este sera el caso
para un cliente de una LAN corporativa que inicia un tnel para llegar a una
subred privada o escondida en la misma LAN (como la red de recursos
humanos que se coment anteriormente).
Es un error comn pensar que las VPN requieren una conexin de
marcacin. Slo requieren una red de IP. Algunos clientes (como las PC
centrales) utilizan conexiones de marcacin para Internet, con el fin de
establecer un transporte de IP. Este es un paso preliminar en la preparacin
para crear un tnel, y no es parte del protocolo de tnel en s.
Tunneling obligatorio
Algunos de los distribuidores que venden servidores de acceso de
marcacin han implementado la capacidad de crear un tnel a nombre de un
cliente de marcacin. La computadora o dispositivo de red que proporciona
el tnel para la computadora de cliente se conoce como procesador centra
29
Cliente
de marcacin
Cliente
de tnel
Servidor
de tnel
Internet
Conexin de PPP
ISP
FEP
Tnel
intranet
Codificacin
simtrica
vs.
Codificacin
# topic3a
# Topic10
31
asimtrica
.Las
claves
privada
pblica
estn
matemticamente
Certificados
Con la codificacin simtrica, el transmisor y el receptor tienen una clave
secreta compartida. La distribucin de la clave secreta debe hacerse (con
proteccin adecuada) antes de cualquier comunicacin codificada. Sin
embargo, con la codificacin asimtrica el transmisor utiliza una clave
privada para codificar o firmar digitalmente mensajes, mientras que el
receptor utiliza una clave pblica para descifrar estos mensajes. La clave
pblica puede distribuirse libremente a cualquiera que necesite recibir los
mensajes codificados o con firma digital. El transmisor slo necesita
proteger cuidadosamente la clave privada.
Para asegurar la integridad de la clave pblica, este se publica con un
certificado Un certificado (o certificado de clave pblica) es una estructura
de datos que es firmada digitalmente por una autoridad de certificacin
(CA): una autoridad en que los usuarios del certificado pueden confiar El
certificado contiene una serie de valores, como el nombre y uso del
certificado, informacin que identifica al propietario de la clave pblica, la
clave pblica en s, una fecha de expiracin y el nombre de la utilidad de
certificacin. La CA utiliza su clave privada para firmar el certificado. Si el
receptor conoce la clave pblica de la autoridad de certificacin, entonces
puede verificar que el certificado es en realidad de la CA confiable y, por lo
tanto, contiene informacin segura y una clave pblica vlida. Los
certificados pueden distribuirse electrnicamente (a travs del acceso a la
Web o correo electrnico) en tarjetas pequeas o en discos flexibles.
En resumen, los certificados de clave pblica proporcionan un mtodo
confiable conveniente para verificar la identidad de un transmisor. IPSec
# Topic11
33
En cualquier caso, el
Seguridad de IP (IPSec)
La seguridad de protocolo de Internet (IPSec) fue diseada por la IETF
como un mecanismo de extremo a extremo para asegurar la confiabilidad de
los datos en comunicaciones basadas en IP. IPSec ha sido definida en una
serie de RFC, especialmente, los RFC 1825, 1826, y 1827, que definen la
arquitectura general, un encabezado de autenticacin para verificar la
integridad de los datos, y una carga de pago de seguridad encapsulacin
para la integridad y codificacin de datos.
La IPSec define dos funciones que aseguran la confidencialidad: la
codificacin e integridad de datos. Tal y como define la fuerza de ingeniera
de Internet, la IPSec utiliza un encabezado de autenticacin (AH) para
proporcionar autenticacin de fuentes e integridad sin codificacin, y la
# Topic13
35
Encabezado de autenticacin
La integridad y autenticacin de datos para las cargas de pago de IP pueden
proporcionarse por un encabezado de autenticacin localizado entre el
encabezado de IP y el encabezado de transporte. El encabezado de
autenticacin incluye datos de autenticacin y un nmero de secuencia, que
en conjunto se utilizan para verificar al transmisor, asegurar que el mensaje
no ha sido modificado mientras que transmita y evitar un ataque de
reproduccin.
El encabezado de autenticacin de IPSec no proporciona codificacin de
datos codificacin de datos; mensajes de texto claro pueden enviarse y el
encabezado de autenticacin asegura que se originen de un usuario
especfico y que no se modifiquen mientras se transmiten.
Administracin de usuarios
Al seleccionar una tecnologa de VPN es importante considerar los aspectos
administrativos. Las redes grandes necesitan almacenar informacin de
# topic4a
37
la
mayora
de los
Soporte en el RAS
El Microsoft Remote Access Server (RAS) est diseado para funcionar con
informacin individual de usuario almacenada en el controlador de dominio
o en un servidor de RADIUS. Utilizar un controlador de dominio simplifica la
administracin del sistema porque los permisos de marcacin son un
subconjunto de la informacin por usuario que el administrador ya
administra en una sola base de datos.
Microsoft RAS se dise originalmente como un servidor de acceso para los
usuarios de marcacin.
# Topic14
El LDAP es un
Escalabilidad
La redundancia y el equilibrio de carga se logra utilizando un DNS de
redondo para dividir las solicitudes entre un nmero de servidores de tnel
de VPN que comparten un permetro de seguridad comn. Un permetro de
seguridad tiene un nombre de DNS externo, por ejemplo, vpnx.support
bigcompany.com, sin embargo numerosas direcciones de IP y cargas se
distribuyen aleatoriamente a travs de todas las direcciones de IP. Todos los
servidores pueden autenticar las solicitudes de acceso con base en una
base de datos compartida, como el Windows NT Domain Controller.
Recuerde que las bases de datos de dominio Windows NT se replican por
diseo.
RADIUS
# Topic15
# Topic16
39
Un servidor de contabilidad
entonces puede reunir registros para cada conexin de VPN con fines de
planeacin de capacidad, auditora, facturacin y anlisis. Un nmero de
terceras partes ya han desarrollado paquetes de facturacin y auditora que
leen estos registros de contabilidad de RADIUS y producen mltiples
reportes tiles.
41
Conclusin
Como se explic en este documento, los servicios nativos de VPN Windows
permiten a los usuarios o a las corporaciones conectarse en forma segura y
confiable a los servidores remotos, a las sucursales o a otras compaas a
travs de redes pblicas y privadas. En todos los casos, la conexin segura
cruzada aparece ante el usuario como una comunicacin de red privada, sin
importar el hecho de que esta comunicacin se genere a travs de una red
interna pblica. La tecnologa VPN Windows est diseada para cubrir
aspectos relacionados con la tendencia actual comercial hacia las
comunicaciones remotas y a las operaciones globales ampliamente
distribuidas, donde los empleados deben poder conectarse recursos
centrales y las empresas comunicarse unas con otras en forma eficiente.
Este documento proporciona una descripcin general de las redes privadas
virtuales y describe los requerimientos bsicos de tecnologas tiles de VPN:
autenticacin de usuarios, administracin de direcciones, codificacin de
datos, administracin de claves y soporte a protocolos mltiples. Analiza
cmo los protocolos de nivel 2, especficamente el PPTP y el L2TP, cumplen
estos requerimientos, y cmo la IPSec (un protocolo de nivel 3) los cumplir
en el futuro.
Cada
solucin
de VPN
necesita
cubrir
nuestro
World
Wide
Web
site
# Topic17
43