Red Privada Virtual: Descripción General: Internetworks Públicas. Asimismo, Este Documento Incluye El Soporte Nativo

Red privada virtual: Descripcin general
Resumen
Este documento proporciona una descripcin general de las redes privadas
virtuales (VPN), describe sus requerimientos bsicos y analiza algunas de
las tecnologas clave que permiten la operacin en red privada a travs de
internetworks pblicas. Asimismo, este documento incluye el soporte nativo
para la operacin en red privada virtual disponible en el Windows NT Server.
Introduccin
Una Red privada virtual (VPN) conecta los componentes y recursos de una
red a otra. Las VPN logran lo anterior permitiendo al usuario conectarse a
travs de Internet u otra red pblica en forma tal que los participantes de
esta conexin pueden disfrutar la misma seguridad y funciones que antes
estaban disponibles nicamente a travs de redes privadas (vea la Figura
1).
# topic1
Documento sobre el Microsoft Windows NT Server
Operacin entre
redes internas
Red privada virtual
Equivalente
lgico
Figura 1. Red privada virtual

Las VPN permiten que los usuarios remotos, como agentes de ventas, o
incluso sucursales, se conecten en forma segura a un servidor corporativo
localizado al final de una Red de rea local corporativa (LAN) utilizando la
infraestructura de enrutamiento proporcionada por una red interna pblica
(como Internet). Desde la perspectiva del usuario, la VPN es una conexin
de punto a punto entre la computadora del usuario y el servidor corporativo.
La naturaleza de la red intermedia no es importante para el usuario porque
parece como si los datos se enviaran a travs de un enlace privada
dedicado.
Como se mencion anteriormente, la tecnologa VPN tambin permite que
una corporacin se conecte a sus sucursales u otras compaas (redes
externas) a travs de una red interna pblica (como Internet), al tiempo que
las comunicaciones se mantienen seguras. La conexin VPN a travs de
Documento del Microsoft Windows NT Server 2
Internet lgicamente opera como un enlace de red de rea amplia entre los
sitios.
En ambos casos, la conexin segura a travs de la red interna aparece ante
el usuario como una comunicacin de red privada, a pesar del hecho de que
esta comunicacin se hace a travs de una internetwork pblica, de ah se
origina el nombre de Red privada virtual.
La tecnologa VPN est diseada para cubrir aspectos relacionados a la
tendencia actual comercial hacia el aumento de comunicaciones remotas,
operaciones globales distribuidas ampliamente y operaciones con colegas
altamente interdependientes, donde los empleados deben poder conectarse
a recursos centrales, comunicarse unos con otros y las empresas necesitan
administrar eficientemente inventarios para lograr una produccin justo a
tiempo.
La capacidad de conectarse a recursos corporativos de computacin sin
importar el lugar donde se encuentre, una corporacin debe instalar una
solucin de acceso remoto confiable y escalable. Tpicamente, las
corporaciones eligen:
1. Una solucin dirigida al departamento de administracin de sistemas de
cmputo, donde un departamento interno de sistemas de informacin se
encarga de comprar, instalar y dar mantenimiento a las agrupaciones de
mdem corporativos y a una infraestructura de red privada.
2. Soluciones de Red con valor agregado (VAN), donde pagan a una
compaa externa para comprar, instalar y dar mantenimiento a las
agrupaciones de mdem y a la infraestructura de telecomunicaciones.
Ninguna de estas soluciones proporciona la confiabilidad o escalabilidad

ptimas en trminos de costos, seguridad, administracin y manejo flexibles,
y satisfaccin a la demanda por conexiones. Por lo tanto, es lgico tratar de
encontrar un punto medio donde la organizacin complemente o reemplace
sus inversiones actuales en agrupaciones de mdem y su infraestructura de
red privada con una solucin menos costosa que se base en tecnologa de
Internet. En esta forma, las empresas pueden enfocarse en sus actividades
base, con la certeza de que nunca se comprometer la accesibilidad, y de
que se ha instalado la solucin menos costosa. La disponibilidad de una
solucin de Internet permite unas cuantas conexiones de Internet (va los
proveedores de servicio independientes o ISP); as como la instalacin de
varias computadoras de servidor final de red VPN para que den servicio a
las necesidades remotas de operacin en red de cientos e incluso miles de
clientes remotos y sucursales, como se describe a continuacin.
Usos comunes de las VPN

Las siguientes subsecciones describen ms detalladamente los usos
comunes de las VPN.
Acceso de usuario remoto a travs de Internet

Las VPN proporcionan acceso remoto a los recursos corporativos a travs
de la Internet pblica, al tiempo que conservan la confidencialidad de la
informacin. La Figura 2 muestra una VPN que se utiliza para conectar un
usuario remoto a una intranet corporativa.
# Topic1
Red privada virtual
Internet
ISP
Central
corporativa
Enlace dedicado a ISP
Figura 2. Uso de una VPN para conectar a un cliente remoto a una LAN
privada.
En lugar de utilizar una lnea arrendada, de hacer una llamada de larga
distancia (o 1-800) a un servidor de acceso a red corporativo o externo
(NAS), el usuario primero llama a un nmero telefnico NAS de ISP.
Utilizando la conexin local al ISP, el software de la VPN crea una red
privada virtual entre el usuario que marca y el servidor corporativo de VPN a
travs de Internet.
Conexin de redes a travs de Internet

Existen dos mtodos para utilizar las VPN y permitir conectar redes de rea
local a sitios remotos:
Uso de lneas dedicadas para conectar una sucursal LAN

corporativa. En lugar de utilizar un circuito costoso dedicado de largo
alcance entre la sucursal corporativa, tanto los enrutadores de la
sucursal como los de la central corporativa pueden utilizar un circuito
dedicado local y el ISP local para conectarse a Internet. El software de la
VPN utiliza las conexiones de ISP locales e Internet pblica para crear
una red privada virtual entre el enrutador de la sucursal y el enrutador
corporativo.
Uso de una lnea de marcacin para conectar una sucursal a una

LAN corporativa. En lugar de hacer que un enrutador en la sucursal
utilice una lnea arrendada, haga una llamada de larga distancia o
(1-
800) llame a un NAS corporativo o externo, el enrutador en la sucursal

puede llamar al ISP local. El software de la VPN utiliza la conexin al
ISP local para crear una red privada virtual entre el enrutador de la
sucursal y el enrutador de la central corporativa a travs de Internet.
Red privada virtual
Internet
Central
corporativa
Sucursal
Enlace dedicado o de
marcacin a ISP
Figura 3. Uso de una VPN para conectar dos sitios remotos

Note que en ambos casos, las facilidades que conectan a la sucursal y a las
oficinas corporativas a Internet son locales. Los ahorros en costos de una
VPN cliente-servidor y de servidor-servidor se anuncia ampliamente con
base en el uso de un nmero telefnico de acceso local para lograr una
conexin. Se recomienda que un enrutador de central corporativa que acta
como un servidor de VPN se conecte a un ISP local con una lnea dedicada.
Este servidor de VPN debe estar al pendiente 24 horas al da del trfico de
entrada de la VPN.
Conexin de computadoras a travs de una Intranet

En algunas redes internas corporativas, los datos de los diferentes
departamentos son tan sensibles que la LAN del departamento se encuentra
fsicamente desconectada del resto de las redes internas corporativas. A
pesar de que esto protege la informacin confidencial del departamento, a
su vez crea
problemas de accesibilidad a la informacin para aquellos
usuarios que no estn conectados fsicamente a una LAN separada.

Servidor
De VPN
Red privada virtual
Red interna corporativa

Red segura
o
escondida
Figura 4. Uso de una VPN para conectar dos computadoras en la

misma LAN
Las VPN permiten que la LAN del departamento est fsicamente conectada
a la red interna corporativa, pero separada por un servidor de VPN.
Observe que el servidor de VPN NO acta como un enrutador entre la red
interna corporativa y la LAN del departamento. Un enrutador interconectara
las dos redes permitiendo que todos tuvieran acceso a la LAN sensible. Al
utilizar una VPN, el administrador de la red puede asegurar que slo
aquellos usuarios en la red interna corporativa que tengan las credenciales
adecuadas (con base en una poltica que todos deben saber dentro de la
compaa), pueden establecer una VPN con el servidor de VPN, y lograr
acceso a los recursos protegidos del departamento.
Adems, todas las
comunicaciones a travs de la VPN pueden codificarse para lograr

confidencialidad de los datos. Aquellos usuarios que no tengan las
credenciales adecuadas no podrn visualizar los datos de la LAN del

departamento.
Requerimientos bsicos de VPN

Normalmente, cuando se instala una solucin de conexin en red remota,
una empresa desea facilitar el acceso controlado a los recursos y a la
informacin corporativos. La solucin debe dar libertad a los clientes
remotos autorizados para que puedan conectarse a los recursos de una red
de rea local (LAN), y la solucin tambin debe permitir que las oficinas
remotas se conecten entre ellas para compartir recursos e informacin
(conexiones de LAN a LAN).
Por ltimo, la solucin debe asegurar la
confidencialidad e integridad de los datos a medida que viajan a travs de la

Internet pblica. Los mismos factores aplican en el caso de datos sensibles
que viajan a travs de una red interna corporativa.
Por lo tanto, por lo menos, una solucin de VPN debe proporcionar todo lo
siguiente:
Autenticacin del usuario. La solucin debe verificar la identidad de

los usuarios y restringir el acceso a VPN a los usuarios autorizados.
Adems, la solucin debe proporcionar registros de auditora y
contabilidad que muestren quin acceso, qu informacin y cundo.
Administracin de direcciones. La solucin debe asignar una

direccin de cliente en la red privada y asegurar que las direcciones
privadas se conserven as.
Codificacin de datos. Los datos que se transmiten a travs de la red

pblica deben ser ilegibles a los clientes no autorizados en la red.
# Topic2
Administracin de claves. La solucin debe generar y actualizar las

claves de codificacin para el cliente y el servidor.
Soporte a protocolos mltiples. La solucin debe ser capaz de

manejar los protocolos comunes que se utilizan en la red pblica. Estos
incluyen el protocolo de Internet (IP), el intercambio de paquete de
Internet (IPX), etc.
Una solucin de VPN de Internet basada en el protocolo de conexin de

punto a punto (PPTP) o en el protocolo de conexin de nivel 2 (L2TP)
cumple con todos estos requerimientos bsicos y aprovecha la amplia
disponibilidad de la Internet global. Otras soluciones, incluyendo el nuevo
protocolo
de
seguridad
IP
(IPSec),
cumplen
algunos
de
estos
requerimientos, pero no sirven en situaciones especficas.

El resto de este documento analiza los conceptos, protocolos y componentes
de la VPN ms detalladamente.
Aspectos bsicos de la conexin de punto a

punto
La conexin de punto a punto es un mtodo donde se utiliza la
infraestructura de una red interna para transferir datos de una red a travs
de otra red. Los datos que van a transferirse (o carga de pagos) pueden ser
las tramas (o paquetes) de otro protocolo. En lugar de enviar una trama tal y
como es producida por el nodo de origen, el protocolo de conexin de punto
a punto encapsula la trama en una encabezado adicional. El encabezado
# topic2a
adicional proporciona informacin de enrutamiento para que la carga de

pago encapsulada pueda pasar a travs de la red interna intermedia.
Despus, los paquetes encapsulados son enrutados a travs de puntos
finales de conexin a travs de la red interna. La trayectoria lgica a travs
de la cual los paquetes encapsulados viajan va la red interna se denomina
un tunnel (tnel). Una vez que las tramas encapsuladas llegan a su destino
en la red interna, se desencapsulan y se transmiten a su destino final.
Considere que la conexin de punto a punto incluye todo este proceso
(encapsulacin, transmisin y desencapsulacin de paquetes).
Puntos finales del tnel
En el tnel
Internetwork
Header
Carga de
pago
Carga de pago
Red interna de trnsito

Tnel
Carga de pago
en el tnel
Figura 5. Tnel
Considere que la red interna de trnsito puede ser cualquier red interna,
Internet es una red interna pblica, y es el ejemplo real ms conocido.
Existen muchos ejemplos de tneles que pasan por las redes internas
corporativas. A pesar de que Internet proporciona una de las redes internas
ms adecuadas y de costos ms accesibles, las referencias que este
documento hace a Internet pueden reemplazarse por referencias a cualquier
otra red interna pblica o privada que acte como una red interna de
trnsito.
Las tecnologas de tunneling ya tienen tiempo de existir. Algunos ejemplos

de tecnologas antiguas incluyen:
Tnel de SNA a travs de redes internas de IP. Cuando se enva

trfico de arquitectura de red de sistemas (SNA) a travs de una red
interna de IP corporativa, la trama de SNA se encapsula en un UDP y
encabezado de IP.
Conexin de IPX para NetWare de Novell a travs de redes internas

de IP. Cuando un paquete de IPX enva a un servidor NetWare o a un
enrutador de IPX, el servidor o enrutador toma el paquete de IPX en un
UDP y encabezado de IP, y despus lo enva a travs de una red interna
de IP. El enrutador de destino de IP-a-IPX elimina el UDP y el
encabezado de IP, y transmite el paquete al destino de IPX.
Adems, en los aos recientes se han introducido nuevas tecnologas de

tunneling. Estas tecnologas ms recientes, que son el enfoque principal de
este documento, incluyen:
Protocolo de conexin en tnel de punto a punto (PPTP). El PPTP

permite que el trfico de IP, IPX, o NetBEUI pueda codificarse y despus
encapsularse en un encabezado de IP para ser enviado a travs de una
red interna de IP corporativa o de una red de IP pblica como Internet.
Protocolo de conexin en tnel de nivel 2 (L2TP). El L2TP permite

que el trfico de IP, IPX, o NetBEUI pueda codificarse y despus
enviarse a travs de cualquier medio que soporte la entrega de datos de
punto a punto, como el IP, X.25, Rel de trama, o ATM.
Modo de tnel de seguridad de IP (IPSec). El modo de IPSec permite

que las cargas de pago de IP puedan codificarse y despus
encapsularse en un encabezado de IP para ser enviadas a travs de una
11
red interna corporativa de IP o una red interna pblica de IP, como

Internet.
Protocolos de tunneling
Para que se pueda establecer un tnel, tanto el cliente del tnel como el
servidor de tnel deben utilizar el mismo protocolo de tunneling.
La tecnologa de tnel puede basarse en un protocolo de tunneling nivel 2 o
nivel
3. Estos niveles corresponden al modelo de referencia
de
interconexin de sistemas abiertos (OSI). Los protocolos de nivel 2

corresponden al nivel de enlace de datos, y utilizan tramas como su unidad
de intercambio.
El PPTP, L2TP y la transmisin de nivel 2 (L2F) son
protocolos de conexin en tnel de nivel 2; todos encapsulan la carga de

pago en una trama de protocolo de punto a punto (PPP) que se enva a
travs de una red interna. Los protocolos de nivel 3 corresponden al nivel de
red, y utilizan paquetes. El IP a travs del IP y el modo de tnel de
seguridad de IP (IPSec) son ejemplos de los protocolos de tunneling de nivel
3. Estos protocolos encapsulan los paquetes de IP en un encabezado
adicional de IP antes de enviarlos a travs de una red interna de IP.
Cmo funciona el tunneling

Para las tecnologas de tunneling de nivel 2, como el PPTP y el L2TP, un
tnel es similar a una sesin; ambos extremos del tnel deben de estar de
acuerdo con el mismo y deben negociar las variables de configuracin,
como la asignacin de direcciones o los parmetros de codificacin y
compresin. En la mayora de los casos, los datos transferidos a travs del
# Topic3
tnel se envan utilizando un protocolo basado en un datagrama. Un

protocolo de mantenimiento de tnel se utiliza como el mecanismo para
administrarlo.
Generalmente, las tecnologas de tunneling de nivel 3 asumen que todos los
aspectos de configuracin han sido manejados fuera de banda, a menudo
por procesos manuales. Para estos protocolos, no existe fase de
mantenimiento de tnel. Sin embargo, para los protocolos de nivel 2 (PPTP
y L2TP), un tnel debe crearse, mantenerse y despus eliminarse.
Una vez que se establece el tnel, los datos contenidos en el mismo
pueden ser enviados. El cliente o servidor de tnel utiliza un protocolo de
transferencia de datos de tnel para preparar los datos antes de su
transferencia. Por ejemplo, cuando el cliente de tnel enva una carga de
pago a un servidor de tnel, el cliente de tnel primero prepara un
encabezado de protocolo de transferencia de datos de tnel para la carga de
pago. Despus, el cliente enva la carga de pago encapsulada resultante a
travs de la red interna, que a su vez la enruta al servidor de tnel. El
servidor de tnel acepta los paquetes, elimina el encabezado de protocolo
de transferencia de datos de tnel y transfiere la carga de pago a la red
objetivo. La informacin que se enva entre el servidor de tnel y el cliente
de tnel se comporta en forma similar.
Los protocolos y los requerimientos bsicos de tunneling

Debido a que se basan en el protocolo bien definido PPP, los protocolos de
nivel 2 (como el PPTP y L2TP) han heredado una serie de funciones tiles.
Estas funciones y sus contrapartes de nivel 3 cubren los requerimientos
bsicos de VPN, tal como se describe a continuacin.
13
Autenticacin de usuarios. Los protocolos de tunneling nivel 2 heredan

los esquemas de autenticacin de los usuarios del PPP, incluyendo los
mtodos EAP que se analizan a continuacin. Muchos esquemas de
tnel de nivel 3 asumen que los puntos finales eran bien conocidos (y
autentificados) antes de que se estableciera el tnel. Una excepcin a
esto es la negociacin ISAKMP de IPSec, que proporciona autenticacin
mutua de los puntos finales del tnel. (Considere que la mayora de las
implementaciones de IPSec dan soporte nicamente a certificados
basados en mquinas, en lugar de a certificados de usuarios. Como
resultado, cualquier usuario con acceso a una de las mquinas de punto
final puede utilizar el tnel. Esta debilidad potencial de seguridad puede
eliminarse cuando el IPSec se utiliza junto con un protocolo de nivel 2,
como el L2TP.)
Tarjeta de soporte Token. Utilizando el protocolo de autenticacin

extensible (EAP), los protocolos de tunneling de nivel 2 pueden dar
soporte a una gran variedad de mtodos de autenticacin, incluyendo
contraseas de uso nico, calculadores criptogrficos y tarjetas
inteligentes. Los protocolos de tunneling de nivel 3 pueden utilizar
mtodos similares; por ejemplo, el IPSec define la autenticacin de
certificado de clave pblica en su negociacin ISAKMP/Oakley.
Asignacin dinmica de direcciones. Los tneles de nivel 2 dan

soporte a las asignacin dinmica de direcciones de clientes basada en
el mecanismo de negociacin del protocolo de control de red (NCP).
Generalmente, los esquemas de tneles de nivel 3 asumen que una
direccin ya ha sido asignada antes de iniciar el tnel. Los esquemas
para asignar direcciones en el modo de tnel de IPSec se encuentran
actualmente bajo desarrollo y no estn todava disponibles.
Compresin de datos. Los protocolos de tunneling de nivel 2 dan

soporte a los esquemas de compresin basados en PPP. Por ejemplo,
las implementaciones de Microsoft tanto en el PPTP como en el L2TP,
utilizan la Microsoft Point to Ponti Compression (MPPC). La IETF est
investigando mecanismos similares (como la compresin de IP) para los
protocolos de tunneling de nivel 3.
Codificacin de datos. Los protocolos de tunneling de nivel 2 dan

soporte a los mecanismos de codificacin de datos basados en PPP. La
implementacin de Microsoft del PPTP da soporte al uso opcional de la
Microsoft Point to Point Encryption (MPPE), con base en algoritmo
RSA/RC4. Los protocolos de tunneling de nivel 3 pueden utilizar
mtodos similares; por ejemplo, el IPSec define varios mtodos de
codificacin de datos opcionales que se negocian durante el intercambio
ISAKMP/Oakley. La implementacin de Microsoft del protocolo L2TP
utiliza la codificacin de IPSec para proteger la corriente de datos que
viaja del cliente al servidor de tnel.
Administracin de claves. El MPPE, un protocolo de nivel 2, se basa

en la clave inicial generada durante la autenticacin del usuario y
despus, la vuelve a generar peridicamente.
El IPSec negocio
explcitamente una clave comn durante el intercambio ISAKMP y

tambin la vuelve a generar peridicamente.
Soporte de protocolos mltiples. Los tneles de nivel 2 dan soporte a

protocolos mltiples de carga de pago, que facilitan el acceso de los
clientes de tnel a sus redes corporativas utilizando el IP, IPX, NetBEUI,
etc. En contraste, los protocolos de tunneling de nivel 3, como el modo
de tnel IPSec, normalmente dan soporte slo a redes objetivo que
utilizan el protocolo IP.
15
Protocolo de punto a punto (PPP)

Debido a que los protocolos de nivel 2 dependen demasiado de las
funciones originalmente especificadas para el PPP, vale la pena examinar
este protocolo ms a fondo. El PPP fue diseado para enviar datos a travs
de conexiones de punto a punto de marcacin o dedicadas. El PPP
encapsula paquetes de IP, IPX, y NetBEUI dentro de las tramas del PPP, y
despus los transmite a travs de un enlace de punto a punto. El PPP se
utiliza entre un cliente de marcacin y un NAS.
Existen cuatro fases distintas de negociacin en una sesin de marcacin de
PPP. Cada una de estas cuatro fases debe completarse satisfactoriamente
antes de que la conexin de PPP est lista para transferir los datos del
usuario. Estas fases se explican a continuacin.
Fase 1: Establecimiento del enlace de PPP

El PPP utiliza un protocolo de control de enlace (LCP) para establecer,
mantener y terminar la conexin fsica. Durante la fase del LCP, se
seleccionan las opciones de comunicacin bsica. Tome en cuenta que
durante la fase de establecimiento del enlace (fase 1), se seleccionan los
protocolos de autenticacin, pero no se implementan realmente hasta la fase
de autenticacin de conexin (fase 2). En la misma forma, durante el LCP se
toma una decisin como si dos compaeros negociaran el uso de la
compresin y/o codificacin. La seleccin real de los algoritmos de
comprensin/codificacin y otros detalles toma lugar durante la fase 4.
Fase 2: Autenticacin de usuarios

# Topic4
En la segunda fase, la PC de cliente presenta las credenciales del usuario

para el servidor de acceso remoto. Un esquema seguro de autenticacin
proporciona proteccin contra ataques de contestacin e imitacin de
clientes remoto. (Un ataque de reproduccin ocurre cuando una tercera
parte monitorea una conexin exitosa y utiliza los paquetes capturados para
reproducir la respuesta del cliente remoto y lograr as una conexin
autentificada. La imitacin de cliente remoto ocurre cuando una tercera parte
toma control de una conexin autentificada. El intruso espera hasta que la
conexin haya sido autentificada y despus atrapa los parmetros de
conversacin, desconecta al usuario autntico y se apodera de la conexin
autenticada.)
La mayora de las implementaciones del PPP proporcionan mtodos
limitados de autenticacin, normalmente el protocolo de autenticacin de
contraseas (PAP), el protocolo de autenticacin de intercambio de seales
de
reconocimiento
(CHAP),
el
Microsoft
Challenge
Handshake
Authentication Protocol (MSCHAP).
Protocolo de autenticacin de contraseas (PAP). El PAP es un

esquema simple de autenticacin de texto claro. El NAS solicita el
nombre y contrasea del usuario, y el PAP los regresa en texto claro (no
codificado). Obviamente, este esquema de autenticacin no es seguro
porque una tercera parte puede capturar el nombre y la contrasea del
usuario, y utilizarlos para obtener acceso subsecuente al NAS y a todos
los recursos proporcionados por el mismo. El PAP no proporciona
proteccin contra los ataques de reproduccin o las imitaciones de
cliente remoto, una vez que la contrasea del usuario ha sido violada.
Protocolo
de
autenticacin
de
intercambio
de
seales
de
reconocimiento (CHAP). El CHAP es un mecanismo de autenticacin
17
codificado que evita la transmisin de la contrasea real a travs de la

conexin. El NAS enva una seal de reconocimiento al cliente remoto,
que consiste de una ID de sesin y de una cadena de reconocimiento
arbitraria. El cliente remoto debe utilizar el algoritmo unidireccional de
hashing MD5 para regresar el nombre del usuario y una codificacin de
la seal de reconocimiento, ID de sesin y de la contrasea del cliente.
El nombre del usuario se enva sin hashing.
Dispositivo de
autenticacin
Cliente
w
Reto
Respuesta
Seal de reconocimiento = ID de sesin, cadena de reconocimiento

spuesta = MD5 Hash(ID de Session, cadena de reconocimiento, contrasea del usuario
Figura 6. El proceso CHAP

CHAP es una mejora del PAP ya que la contrasea del texto claro no se
enva a travs del enlace. En lugar de eso, la contrasea se utiliza para
crear un hash codificado a partir de la seal de reconocimiento original.
El servidor sabe la contrasea del texto claro del cliente y, por lo tanto,
replica la operacin y compara el resultado con la contrasea enviada
en la respuesta del cliente. CHAP protege en contra de los ataques de
reproduccin utilizando una cadena de reconocimiento arbitraria para
cada intento de autenticacin. CHAP protege en contra del la imitacin
de
clientes
remotos
al
enviar
impredeciblemente
seales
reconocimiento repetidas al cliente remoto durante la conexin.
de
Microsoft
Challenge-Handshake
Authentication
Protocol
(MS-
CHAP).
MS-CHAP es un mecanismo de autenticacin codificado muy similar al
CHAP. Como en el CHAP, el NAS enva al cliente remoto una seal de
reconocimiento, que consiste de una ID de sesin y de una cadena de
reconocimiento arbitraria. El cliente remoto debe regresar el nombre del
usuario y un hash MD4 de la cadena de reconocimiento, la ID de sesin
y de la contrasea con hash MD4. Este diseo, que manipula un hash
del hash MD4 de la contrasea, proporciona un nivel adicional de
seguridad porque permite que el servidor almacene contraseas con
hash en lugar de contraseas de texto claro. MS-CHAP tambin
proporciona cdigos de error adicionales, incluyendo un cdigo de
expiracin de contrasea, y mensajes adicionales codificados de clienteservidor que permiten que los usuarios cambien sus contraseas. En la
implementacin de Microsoft del MS-CHAP, el cliente y el NAS generan
independientemente una clave inicial para lograr una codificacin
subsecuente de los datos a travs del MPPE. El ltimo punto es muy
importante, ya que explica por qu la autenticacin de MS-CHAP se
requiere a fin de lograr la codificacin de datos basados en el MPPE.
Durante la fase 2 de la configuracin del enlace del PPP, el NAS rene los
datos de autenticacin y despus los valida con base en su propia base de
datos de usuarios o basndose en un servidor central de base de datos de
autenticacin, como el que mantiene el Windows NT Primary Domain
Controller (PDC) o un servidor de servicio de autenticacin remota de
usuario de marcacin (RADIUS).
Fase 3: Control de retorno de llamada de PPP
19
La implementacin de Microsoft del PPP incluye una fase opcional de

control de retorno de llamada. Esta fase utiliza el protocolo de control de
retorno de llamada (CBCP) inmediatamente despus de la fase de
autenticacin. Si la configuracin es para retorno de llamada, despus de la
autenticacin el cliente remoto y el NAS se desconectan. Despus, el NAS
llama otra vez al cliente remoto a un nmero telefnico especificado. Esto
proporciona un nivel adicional de seguridad para las redes de marcacin. El
NAS permitir conexiones de clientes remotos que residen fsicamente slo
en nmeros telefnicos especficos.
Fase 4: Invocacin de protocolos de nivel de red

Una vez que se han completado las fases anteriores, el PPP invoca los
numerosos protocolos de control de red (NCP) que fueron seleccionados
durante la fase de establecimiento del enlace (fase 1) para configurar los
protocolos utilizados por el cliente remoto. Por ejemplo, durante esta fase el
protocolo de control de IP (IPCP) puede asignar una direccin dinmica a un
usuario de marcacin. En la implementacin de Microsoft del PPP, el
protocolo de control de compresin se utiliza para negociar la compresin de
datos (utilizando el MPPC) y la codificacin de datos (utilizando el MPPE)
por la simple razn de que ambas se implementan en la misma rutina.
Fase de transferencia de datos

Una vez que se han completado las cuatro fases de negociacin, el PPP
empieza a transmitir los datos para y desde las dos partes. Cada paquete de
datos transmitido se encapsula en un encabezado de PPP que es eliminado
por el sistema receptor. Si la compresin de datos se seleccion en la fase 1
y se negoci en la fase 4, los datos sern comprimidos antes de la
transmisin. Si la codificacin de datos se seleccion y negoci en forma

similar, los datos se abrirn (comprimidos opcionalmente) sern codificados
antes de la transmisin.
Protocolo de tunneling de punto a punto (PPTP)

PPTP es un protocolo de nivel 2 que encapsula las tramas de PPP en
datagramas de IP para transmitirlas a travs de una red interna de IP, como
Internet. As mismo, el PPTP puede utilizarse en operaciones en red privada
de LAN a LAN.
PPTP se documenta en el borrador RFC, Protocolo de tnel de punto a
punto (pptp-draft-ietf - ppext - pptp - 02.txt) . Este borrador fue presentado a
la IETF en junio de 1996 por las compaas pertenecientes al foro PPTP,
incluyendo a Microsoft Corporation, Ascend Communications, 3Com/Primary
Access, ECI Telematics, y US Robotics (ahora 3Com).
Nota: Los documentos preliminares sobre Internet debern considerarse
como trabajos en desarrollo. Para obtener copias de los documentos
preliminares sobre Internet, vea http://www.ietf.org.
El protocolo de tnel de punto a punto (PPTP) utiliza una conexin de TCP
para el mantenimiento del tnel y las tramas de PPP encapsuladas con
encapsulacin de enrutamiento genrico (GRE) destinadas a los datos en el
tnel. Las cargas de pago de las tramas de PPP encapsuladas pueden
codificarse y/o comprimirse. La figura 7 muestra como un paquete de PPTP
se ensambla antes de su transmisin. La figura muestra el cliente de
marcacin que crea un tnel a travs de una red interna. El esquema final
# Topic5
21
de la trama muestra la encapsulacin para un cliente de marcacin

(controlador de dispositivo de PPP).
Cliente remoto
R e m o t e C lie n t
Aplicacin
Datos del usuario
A p p lic a t io n
U s e r D a ta
Pila de
TCP/IP
T C P /IP
S ta c k
Datos del usuario

IP
TCP
UDP
G R E
PPP
U s e r D a ta
Software de
PPTP
PPTP
S o ftw a re
Datos del usuario
Pila de
TCP/IP
T C P /IP
S ta c k
Opcionalmente comprimidos
T C P y codificados
IP
IP
UDP
PPP
Controlador de
Dispositivo de PPP
PPP
D e v ic e
D r iv e r
U DP
U s e r D a ta
O p tio n a lly c o m p r e s s e d a n d e n c r y p t e d
Datos del usuario
y codificados
TCP
IP
U s e r D a ta
UDP
O p tio n a lly c o m p r e s s e d a n d e n c r y p t e d
PPP
IP
UDP
PPP
Datos del usuario
y codificados
TCP
IP
UDP
U s e r D a ta
O p t io n a lly c o m p r e s s e d a n d e n c r y p t e d
Servidor de acceso a red

N e tw o rk A c c e s s S e rv e r
Red interna de tnel

T u n n e l In te r n e tw o r k
Servidor de tnel
T u n n e l S e rv e r
Red objetivo
T a rg e t N e tw o rk
Figura 7. Construccin de un paquete de PPTP
Transmisin de nivel 2 (L2F)
# Topic6
L2F, una tecnologa propuesta por Cisco, es un protocolo de transmisin que

permite a los servidores de acceso por marcacin estructurar el trfico de
marcacin en un PPP y transmitirlo a travs de enlaces WAN a un servidor
L2F (un enrutador). Despus, el servidor L2F abre los paquetes y los
transmite a travs de la red. A diferencia del PPTP y del L2TP, el L2F no
tiene un cliente definido. Asimismo, recuerde que el L2F slo funciona en
tneles obligatorios. (Para un anlisis detallado de tneles voluntarios y
obligatorios, vea la seccin, Tipos de tneles ms adelante en este
documento.)
Protocolo de tunneling de nivel 2 (L2TP)

L2TP es una combinacin del PPTP y del L2F. Sus diseadores esperan que
el L2TP represente las mejores caractersticas del PPTP y del L2F.
L2TP es un protocolo de red que encapsula las tramas de PPP para
enviarlas a travs de redes de IP, X.25, Rel de trama o de modo de
transferencia asncrona (ATM). Cuando se configura para utilizar el IP y su
transporte de datagrama, el L2TP puede utilizarse como un protocolo de
tnel a travs de Internet. L2TP tambin puede utilizarse directamente a
travs de varios medios de WAN media (como el rel de trama) sin un nivel
de transporte de IP.
El 2TP se documenta en el borrador RFC, protocolo de tunneling de nivel 2
L2TP (draft-ietf-pppext-l2tp-09.txt). Este documento fue presentado a la
IETF en enero de 1998.
# Topic7
23
Nota:
Los documentos preliminares sobre Internet debern considerarse
como trabajos en desarrollo. Para obtener copias de los documentos

preliminares sobre Internet, vea http://www.ietf.org.
El L2TP a travs de redes internas de IP utiliza el UDP y una serie de
mensajes L2TP para mantener el tnel. El L2TP tambin utiliza al UDP para
enviar tramas de PPP encapsuladas L2TP como los datos en el tnel. Las
cargas de pago de las tramas de PPP encapsuladas pueden codificarse y/o
comprimirse. La figura 8 muestra como un paquete de L2TP se ensambla
antes de su transmisin. La figura muestra un cliente de marcacin que
crea un tnel a travs de una red interna. El esquema final de la trama
muestra la encapsulacin para un cliente de marcacin (controlador de
dispositivo de PPP). La encapsulacin asume que el L2TP se transmite a
travs del IP.
R e mremoto
o te C lie n t
Cliente
Aplicacin
Datos del
usuario
U s e r D a ta
A p p lic a t io n
Pila de TCP/IP
T C P /IP
S ta c k
Software de
L2TP
L2TP
S o ftw a re
IP
TCP
UD P
U DP
PPP
Datos del
usuario
U s e r D a ta
IP
TCP
U DP
Datos del usuario

U s e r D a ta
Opcionalmente comprimidos y codificados

O p t io n a lly c o m p r e s s e d a n d e n c r y p t e d
Pila de
T C P /IP
TCP/IP
IP
S ta c k
UD P
PPP
TCP
UD P
IP
Datos del usuario

U s e r D a ta

O p tio n a l ly c o m p r e s s e d a n d e n c r y p t e d
Controlador
P PdeP
dispositivo
D ede
v i cPPP
e
D r iv e r
PPP
IP
UDP
PPP
IP
TCP
UDP
Datos del usuario

U s e r D a ta

O p t io n a l l y c o m p r e s s e d a n d e n c r y p t e d
Servidor
N e t w ode
r k Aacceso
c c e s s S ae r red
ver
Red interna de tnel
T u n n e l In te r n e tw o r k
Servidor de tnel
T u n n e l S e rv e r
Red objetivo
T a rg e t N e tw o rk
Figura 8. Construccin de un paquete de L2TP
Comparacin del PPTP y del L2TP

El PPTP y el L2TP utilizan el PPP para proporcionar un sobre inicial para
datos, y despus utilizan encabezados adicionales para transmitirlos a
travs de la red interna. Los dos protocolos son muy similares.
embargo, existen diferencias entre el PPTP y el L2TP:
25
Sin
El PPTP requiere que la red interna sea una red interna de IP. El L2TP
requiere nicamente que el medio de tnel proporcione conectividad de
punto a punto orientada a paquetes. El L2TP puede utilizarse a travs
del IP (utilizando el UDP), de circuitos virtuales permanentes de Rel de
trama (PVC), circuitos virtuales X.25 (VC), o VC de ATM.
El PPTP slo puede dar soporte a un solo tnel entre puntos finales.
L2TP permite el uso de tneles mltiples entre puntos finales. Con el
L2TP, usted puede crear diferentes tneles para diferentes calidades de
servicio.
L2TP proporciona compresin de encabezados. Cuando la compresin

de encabezados se habilita, el L2TP opera con 4 bits de sobrecarga en
comparacin con los 6 bits del PPTP.
El L2TP proporciona autenticacin de tnel, mientras el PPTP no. Sin

embargo, cuando se utiliza cualquiera de los protocolos a travs de la
IPSec, este proporciona la autenticacin de tnel para que no sea
necesaria la autenticacin de tnel de nivel 2.
Modo de tnel de seguridad de protocolo de Internet

(IPSec)
La IPSec de protocolo de nivel 3 que da soporte a la transferencia segura de
informacin a travs de una red interna de IP. La IPSec en su totalidad se
describe a detalle en la seccin seguridad avanzada a continuacin. Sin
embargo, existe un aspecto de la IPSec que debe analizarse en el contexto
de protocolos de tunneling. Adems de definir los mecanismos de
codificacin para el trfico de IP, la IPSec define el formato de un paquete
# Topic8
para un IP a travs del modo de tnel de IP, generalmente denominado

como modo de tnel de IPSec. Un tnel de IPSec consta de un cliente de
tnel y de un servidor de tnel, los cuales se configuran para utilizar la
transmisin en tnel de IPSec y un mecanismo de codificacin negociado.
El modo de tnel de IPSec utiliza el mtodo de seguridad negociada (si es
que hay alguna) para encapsular y codificar todos los paquetes de IP con el
fin de lograr una transferencia segura a travs de las redes internas de IP
pblicas o privadas. Despus, la carga de pago codificada se encapsula de
nuevo en un encabezado de IP de texto plano, y se enva a travs de la red
interna para que lo reciba el servidor de tnel. Despus de recibir este
datagrama, el servidor de tnel procesa y descarta el encabezado de IP de
texto plano y despus decodifica su contenido para recuperar el paquete
original de IP de carga de pago. Posteriormente, el paquete de IP de carga
de pago es procesado normalmente y enrutado a su destino en la red
objetivo.
El modo de tnel de IPSec tiene las siguientes funciones y limitaciones:
Slo da soporte a trafico de IP.
Funciona en el nivel inferior de la pila de IP, por lo tanto las aplicaciones

y los protocolos de nivel superior heredan su comportamiento.
Es controlado por una poltica de seguridad un conjunto de reglas de

correspondencia de filtros. Esta poltica de seguridad establece por
orden de preferencia los mecanismos de codificacin y de transmisin
en tnel disponibles, as como los mtodos de autenticacin, tambin
por orden de preferencia. Tan pronto como se genere trfico, las dos
mquinas realizan la autenticacin mutua y despus negocian los
mtodos de codificacin que se utilizarn. Despus, todo el trfico es
27
codificado utilizando el mecanismo de codificacin negociado y despus

se envuelve en un encabezado de tnel.
Para mayor informacin de la IPSec, consulte la seccin, seguridad
avanzada, posteriormente en este documento.
Tipos de tnel
Los tneles pueden crearse en diferentes formas.
Tneles voluntarios. Una computadora de usuario o de cliente puede

emitir una solicitud de VPN para configurar y crear un tnel voluntario.
En este caso, la computadora del usuario es un punto final de tnel y
acta como el cliente de tnel.
Tneles obligatorios. Un servidor de acceso por marcacin capaz de

VPN configura y crea un tnel obligatorio. Con un tnel obligatorio, la
computadora del usuario no es un punto final de tnel. Otro dispositivo,
el servidor de acceso remoto entre la computadora del usuario y el
servidor de tnel, es el punto final de tnel y acta como el cliente de
tnel.
Hasta la fecha, los tneles voluntarios estn probando ser el tipo de tnel
ms popular. Las siguientes secciones describen con mayor detalle estos
tipos de tneles.
Tunneling voluntaria
La tunneling voluntaria se presenta cuando una estacin de trabajo o un
servidor de enrutamiento utiliza el software de cliente de tnel para crear
# Topic9
una conexin virtual al servidor de tnel objetivo. A fin de lograr esto, debe
instalarse el protocolo adecuado de tnel en la computadora de cliente. Para
los protocolos que se describen en este documento, los tneles voluntarios
requieren una conexin de IP (ya sea a travs de una LAN o de marcacin).
En una situacin de marcacin, el cliente debe establecer una conexin de
marcacin con la red interna antes de que puede establecer un tnel. Este
es el caso ms comn. El mejor ejemplo de esto es el usuario de Internet
por marcacin, quien debe marcar un ISP y obtener una conexin de
Internet antes de que pueda crearse un tnel a travs de Internet.
Para una PC conectada a una LAN, el cliente ya tiene una conexin con la
red interna que puede proporcionar enrutamiento de cargas de pago
encapsuladas al servidor de tnel de LAN seleccionado. Este sera el caso
para un cliente de una LAN corporativa que inicia un tnel para llegar a una
subred privada o escondida en la misma LAN (como la red de recursos
humanos que se coment anteriormente).
Es un error comn pensar que las VPN requieren una conexin de
marcacin. Slo requieren una red de IP. Algunos clientes (como las PC
centrales) utilizan conexiones de marcacin para Internet, con el fin de
establecer un transporte de IP. Este es un paso preliminar en la preparacin
para crear un tnel, y no es parte del protocolo de tnel en s.
Tunneling obligatorio
Algunos de los distribuidores que venden servidores de acceso de
marcacin han implementado la capacidad de crear un tnel a nombre de un
cliente de marcacin. La computadora o dispositivo de red que proporciona
el tnel para la computadora de cliente se conoce como procesador centra
29
(FEP) en PPTP, un concentrador de acceso L2TP (LAC) en L2TP, o una

central internacional de seguridad de IP en IPSec. Para los fines de este
documento, el trmino FEP se utilizar para describir esta funcionalidad, sin
importar el protocolo de tunneling. Para llevar a cabo su funcin, el FEP
debe tener instalado el protocolo adecuado de tunneling y ser capaz de
establecerlo cuando se conecte la computadora de cliente.
Cliente
de marcacin
Cliente
de tnel
Servidor
de tnel
Internet
Conexin de PPP
ISP
FEP
Tnel
intranet
Figura 9. Tunneling obligatoria
En el ejemplo de Internet, la computadora de cliente realiza una llamada de

marcacin a un NAS con una tunneling habilitada en el ISP. Por ejemplo,
una corporacin pudo haber contratado un ISP para instalar un conjunto
nacional de FEP. Estos FEP pueden establecer tneles a travs de Internet a
un servidor de tnel conectado a la red privada de la corporacin, por lo
tanto, consolidando las llamadas de zonas geogrficas diversas en una sola
conexin a Internet en la red corporativa.
Esta configuracin se conoce como tunneling obligatoria porque el cliente
est obligado a utilizar el tnel creado por el FEP. Una vez que se hace la
conexin inicial, todo el trfico de red que entra y sale del cliente se enva
automticamente a travs del tnel. Con la tunneling obligatoria, la
computadora de cliente hace una sola conexin de PPP, y cuando un cliente
marca al NAS, se crea un tnel y todo el trfico se enruta automticamente

a travs del mismo. Un FEP puede configurarse para todos los clientes de
marcacin de tnel a un servidor de tnel especfico. En forma alterna, el
FEP podra conectar un tnel a clientes individuales con base en su nombre
de usuario o destino.
A diferencia de los tneles separados creados para cada cliente voluntario,
un tnel entre el FEP y el servidor de tnel puede ser compartido por
clientes mltiples de marcacin. Cuando un segundo cliente marca al
servidor de acceso (FEP) con el fin de llegar a un destino para el cual ya
existe un tnel, no hay necesidad de crear una nueva instancia del tnel
entre el FEP y el servidor de tnel. En lugar de ello, el trfico de datos para
el nuevo cliente se transmite a travs del tnel existente. Ya que puede
haber clientes mltiples en un solo tnel, el tnel no termina hasta que el
ltimo usuario del tnel se desconecte.
Funciones de seguridad avanzada

Debido a que Internet facilita la atraccin de VPN desde cualquier lugar, las
redes necesitan funciones de alta seguridad para evitar el acceso indebido a
las redes privadas y proteger los datos privados a medida que pasan por
Codificacin
simtrica
vs.
Codificacin
(claves privadas vs. Claves pblicas)
# topic3a
# Topic10
31
asimtrica
La codificacin simtrica, o claves privadas (tambin conocida como

codificacin convencional, se basa en una clave secreta que es compartida
por ambas partes de la comunicacin. La parte que enva utiliza la clave
secreta como parte de la operacin matemtica para codificar (o cifrar) texto
plano en texto codificado. La parte receptora utiliza la misma clave secreta
para decodificar (o descifrar) el texto codificado en texto plano. Ejemplos de
esquemas de codificacin simtrica son el algoritmo RC4 de RSA (que
proporciona la base para la Microsoft Point-to-Point Encryption (MPPE), el
estndar de codificacin de datos (DES), el algoritmo internacional de
codificacin de datos (IDEA), y la tecnologa de codificacin Skipjack
propuesta por el gobierno de los Estados Unidos (e implementada en el chip
Clipper).
La codificacin asimtrica o claves pblicas utilizan dos diferentes claves
para cada usuario: una es una clave privada conocida slo para un usuario.
La otra es una clave pblica correspondiente, que es accesible a
cualquiera
.Las
claves
privada
pblica
estn
matemticamente
relacionadas por el algoritmo de codificacin. Una clave se utiliza para

codificacin y la otra para decodificar, dependiendo de la naturaleza del
servicio de comunicaciones que se est implementando.
Adems, las tecnologas de codificacin de claves pblicas permiten que
firmas digitales se coloquen en los mensajes. Una firma digital utiliza la
clave privada del que enva el mensaje para codificar parte del mismo.
Cuando el mensaje es recibido, el receptor utiliza la clave pblica del
transmisor para descifrar la firma digital como una forma de verificar la
identidad del transmisor.
Certificados
Con la codificacin simtrica, el transmisor y el receptor tienen una clave
secreta compartida. La distribucin de la clave secreta debe hacerse (con
proteccin adecuada) antes de cualquier comunicacin codificada. Sin
embargo, con la codificacin asimtrica el transmisor utiliza una clave
privada para codificar o firmar digitalmente mensajes, mientras que el
receptor utiliza una clave pblica para descifrar estos mensajes. La clave
pblica puede distribuirse libremente a cualquiera que necesite recibir los
mensajes codificados o con firma digital. El transmisor slo necesita
proteger cuidadosamente la clave privada.
Para asegurar la integridad de la clave pblica, este se publica con un
certificado Un certificado (o certificado de clave pblica) es una estructura
de datos que es firmada digitalmente por una autoridad de certificacin
(CA): una autoridad en que los usuarios del certificado pueden confiar El
certificado contiene una serie de valores, como el nombre y uso del
certificado, informacin que identifica al propietario de la clave pblica, la
clave pblica en s, una fecha de expiracin y el nombre de la utilidad de
certificacin. La CA utiliza su clave privada para firmar el certificado. Si el
receptor conoce la clave pblica de la autoridad de certificacin, entonces
puede verificar que el certificado es en realidad de la CA confiable y, por lo
tanto, contiene informacin segura y una clave pblica vlida. Los
certificados pueden distribuirse electrnicamente (a travs del acceso a la
Web o correo electrnico) en tarjetas pequeas o en discos flexibles.
En resumen, los certificados de clave pblica proporcionan un mtodo
confiable conveniente para verificar la identidad de un transmisor. IPSec
# Topic11
33
puede utilizar opcionalmente este mtodo para autenticacin de extremo a

extremo. Los servidores de acceso remoto pueden utilizar los certificados de
clave pblica para la autenticacin de usuarios, tal y como se describe en la
siguiente seccin, Seguridad de nivel de operaciones (EAP-TLS).
Protocolo de autenticacin extensible (EAP)

Como se mencion anteriormente en este documento, la mayora de las
implementaciones del PPP proporcionan mtodos de autenticacin muy
limitados. EAP es una extensin propuesta por la IETF para el PPP que
permite que los mecanismos de autenticacin arbitraria se utilicen para la
validacin de una conexin de PPP. EAP fue diseado para permitir la
adicin dinmica de mdulos de conexin de autenticacin en ambos
extremos de clientes y de servidor de una conexin. Esto permite que los
distribuidores provean un nuevo esquema de autenticacin en cualquier
momento. EAP proporciona la flexibilidad ms alta en particularidad y
variacin de autenticacin.
EAP ser implementado en Microsoft Windows NT 5.0.
Seguridad de nivel de operaciones (EAP-TLS)

EAP-TLS ha sido presentada a la IETF como una propuesta preliminar para
un mtodo slido de autenticacin basado en certificados de claves
pblicas. Con la EAP-TLS, un cliente presenta un certificado de usuario al
servidor de marcacin, al tiempo que el servidor presenta un certificado de
servidor al cliente. El primero proporciona autenticacin slida de usuario al
servidor y el segundo certeza de que el usuario ha contactado el servidor
# Topic12
que esperaba. Ambos sistemas se basan en una cadena de autoridades

confiables para verificar la validez del certificado ofrecido.
El certificado el usuario puede almacenarse en la PC de cliente de
marcacin o en una tarjeta inteligente externa
En cualquier caso, el
certificado no puede ser accesado sin alguna forma de identificacin de

usuario (nmero de PIN o intercambio de nombre/contrasea) entre el
usuario y la PC del cliente. Este enfoque cumple con los criterios algo que
se sabe ms algo que se tiene recomendados por la mayora de los
expertos de seguridad.
La EAP-TLS es el mtodo especfico de EAP que ser implementado en
Windows NT 5.0. Como el MS-CHAP, la EAP-TLS regresar una clave de
codificacin para permitir que el MPPE codifique datos subsecuentes.
Seguridad de IP (IPSec)
La seguridad de protocolo de Internet (IPSec) fue diseada por la IETF
como un mecanismo de extremo a extremo para asegurar la confiabilidad de
los datos en comunicaciones basadas en IP. IPSec ha sido definida en una
serie de RFC, especialmente, los RFC 1825, 1826, y 1827, que definen la
arquitectura general, un encabezado de autenticacin para verificar la
integridad de los datos, y una carga de pago de seguridad encapsulacin
para la integridad y codificacin de datos.
La IPSec define dos funciones que aseguran la confidencialidad: la
codificacin e integridad de datos. Tal y como define la fuerza de ingeniera
de Internet, la IPSec utiliza un encabezado de autenticacin (AH) para
proporcionar autenticacin de fuentes e integridad sin codificacin, y la
# Topic13
35
carga de pago de seguridad encapsulada (ESP) para autentificar e integrar

junto con codificacin. Con la seguridad de IP slo el transmisor y el
receptor saben la clave de seguridad. Si los datos de autenticacin son
vlidos, el receptor sabe que las comunicaciones provienen del transmisor, y
que no hubo cambio alguno en su transferencia.
La IPSec puede considerarse como un nivel debajo de la pila de TCP/IP.
Este nivel es controlado por una poltica de seguridad en cada mquina y en
una asociacin de seguridad negociada entre el transmisor y el receptor. La
poltica consta de un conjunto de filtros y comportamientos de seguridad
asociados. Si la direccin de IP, protocolo y nmero de puerto de un paquete
concuerda con un filtro, entonces el paquete es sujeto al comportamiento de
seguridad asociado.
Asociacin de seguridad negociada

El primer paquete activa una negociacin de una asociacin de seguridad
entre el transmisor y el receptor. ISAKMP/Oakley es el protocolo estndar
para esta negociacin. Durante un intercambio de ISAKMP/Oakley, las dos
mquinas acuerdan los mtodos de autenticacin y seguridad de datos,
realizan una autenticacin mutua y despus generan una clave compartida
para la codificacin de datos subsecuente.
Despus de que la asociacin de seguridad ha sido establecida, la

transmisin de datos puede proceder para cada mquina aplicando
tratamiento de seguridad de datos a los paquetes que transmite al receptor
remoto. El tratamiento puede simplemente asegurar la integridad de los
datos transmitidos o puede codificarlos tambin. Estas opciones se analizan
a continuacin.
Encabezado de autenticacin
La integridad y autenticacin de datos para las cargas de pago de IP pueden
proporcionarse por un encabezado de autenticacin localizado entre el
encabezado de IP y el encabezado de transporte. El encabezado de
autenticacin incluye datos de autenticacin y un nmero de secuencia, que
en conjunto se utilizan para verificar al transmisor, asegurar que el mensaje
no ha sido modificado mientras que transmita y evitar un ataque de
reproduccin.
El encabezado de autenticacin de IPSec no proporciona codificacin de
datos codificacin de datos; mensajes de texto claro pueden enviarse y el
encabezado de autenticacin asegura que se originen de un usuario
especfico y que no se modifiquen mientras se transmiten.
Encabezado de seguridad de encapsulacin

Para la confiabilidad de los datos y su proteccin contra captura de terceras
partes, la carga de pago de seguridad de encapsulacin (ESP) proporciona
un mecanismo para codificar la carga de pago de IP. ESP tambin
proporciona servicios de autenticacin e integridad de datos; por lo tanto, los
encabezados de EPS son una alternativa para los encabezados de AH en
los paquetes de IPSec.
Administracin de usuarios
Al seleccionar una tecnologa de VPN es importante considerar los aspectos
administrativos. Las redes grandes necesitan almacenar informacin de
# topic4a
37
directorio por usuario en un almacn de datos centralizado, o servicio de

directorio, para que los administradores y las aplicaciones puedan
agregarse, modificarse o solicitar esta informacin. Cada acceso o servidor
de tnel debera mantener su propia base de datos interna de propiedades
por usuario, como nombres, contraseas y atributos de autorizaciones de
marcacin. Sin embargo, debido a que administrativamente no se puede dar
soporte para mantener cuentas mltiples de usuario en servidores mltiples,
y mantenerlos simultneamente actualizados ,
la
mayora
de los
administradores establecen una base de datos de cuentas maestras en el

servidor de directorio o controlador de dominio principal, o en servidor de
RADIUS.
Soporte en el RAS
El Microsoft Remote Access Server (RAS) est diseado para funcionar con
informacin individual de usuario almacenada en el controlador de dominio
o en un servidor de RADIUS. Utilizar un controlador de dominio simplifica la
administracin del sistema porque los permisos de marcacin son un
subconjunto de la informacin por usuario que el administrador ya
administra en una sola base de datos.
Microsoft RAS se dise originalmente como un servidor de acceso para los
usuarios de marcacin.
As mismo, el RAS es un servidor para las
conexiones de PPTP y L2TP. (El L2TP soporte a se agregar en el Windows

NT Server versin 5.0.) Consecuentemente, estas soluciones de VPN de
nivel 2 heredan toda la infraestructura de administracin que ya existe en las
redes de marcacin.
# Topic14
En Windows NT 5.0, el RAS aprovechar los nuevos servicios de directorio,

una base de datos replicada que abarca a toda una empresa y que se basa
en el protocolo ligero de acceso a directorio (LDAP).
El LDAP es un
protocolo estndar en la industria para accesar servicios de directorio y fue

desarrollado como una alternativa ms simple al protocolo DAP X.500. El
LDAP es extensible, independiente del distribuidor y se basa en los
estndares.
Esta integracin con el DS permitir que un administrador
asigne una variedad de propiedades de conexin para sesiones de

marcacin o de VPN destinadas a usuarios individuales o grupos. Estas
propiedades pueden definir los filtros por usuario, la autenticacin requerida
o los mtodos de codificacin, las limitaciones de hora, del da, etc..
Escalabilidad
La redundancia y el equilibrio de carga se logra utilizando un DNS de
redondo para dividir las solicitudes entre un nmero de servidores de tnel
de VPN que comparten un permetro de seguridad comn. Un permetro de
seguridad tiene un nombre de DNS externo, por ejemplo, vpnx.support
bigcompany.com, sin embargo numerosas direcciones de IP y cargas se
distribuyen aleatoriamente a travs de todas las direcciones de IP. Todos los
servidores pueden autenticar las solicitudes de acceso con base en una
base de datos compartida, como el Windows NT Domain Controller.
Recuerde que las bases de datos de dominio Windows NT se replican por
diseo.
RADIUS
# Topic15
# Topic16
39
El protocolo de servicio de autenticacin de usuario remoto de marcacin

(RADIUS) es un mtodo popular para administrar la autenticacin y
autorizacin de usuarios remotos. RADIUS es un protocolo muy ligero
basado en el UDP.
Los servidores de RADIUS pueden localizarse en
cualquier lugar de Internet y proporcionan autenticacin (incluyendo PPP

PAP, CHAP, MSCHAP y EAP) para su NAS de cliente.
Adems, los servidores de RADIUS pueden proporcionar un servicio proxy
para transmitir las solicitudes de autenticacin a servidores distantes de
RADIUS. Por ejemplo, muchos ISP se han asociado para permitir que los
suscriptores mviles utilicen los servicios locales de el ISP ms cercano con
el fin de obtener acceso por marcacin a Internet y a las redes privadas
virtuales a nivel global. Estas alianzas para usuarios mviles aprovechan
el servicio proxy RADIUS. Si un ISP reconoce un nombre de usuario como
el de un suscriptor a una red remota, el ISP utiliza un proxy de RADIUS para
transmitir la solicitud de acceso a la red apropiada. El resultado e s una
solucin eficiente de recursos externos donde la corporacin conserva sus
derechos de autorizacin al tiempo que se utiliza la infraestructura del
proveedor de servicio para minimizar los costos de infraestructura.
Contabilidad, auditora y alarmas

Para administrar adecuadamente un sistema de VPN, los administradores
de redes deben poder monitorear quin utiliza el sistema y cuntas
conexiones se hacen, las actividades inusuales, las condiciones de error y
situaciones que puedan indicar la falla del equipo o un fraude en la red. La
informacin registrada y de tiempo real puede utilizarse para facturacin,
auditoras y para fines de alarmas o notificacin de errores.
# topic5a
Por ejemplo, un administrador puede necesitar saber quien se conect al

sistema y por cunto tiempo a fin de desarrollar datos de facturacin.
Actividades inusuales pueden indicar un uso indebido del sistema o recursos
inadecuados del mismo. El monitoreo de tiempo real del equipo (por
ejemplo, actividad inusualmente alta en un mdem y no actividad en otro)
puede generar alertas para notificar al administrador de una falla del mdem
o de un abuso del sistema. El servidor de tnel debe proporcionar toda esta
informacin y el sistema proporcionar bitcoras de eventos, reportes y una
facilidad de almacenamiento de datos para manejarlos adecuadamente.
Microsoft Windows NT 4.0 proporciona soporte de contabilidad, auditora y
notificacin de errores en el RAS.
El protocolo de RADIUS define una serie de solicitudes de contabilidad de
llamadas que son independientes de las de autenticacin que hemos
analizado anteriormente. Estos mensajes del RAS al servidor de RADIUS
solicitan a este ltimo generar registros de contabilidad al inicio de una
llamada al final de la misma y a intervalos predeterminados. Windows NT
Server 5.0 generar nativamente estas solicitudes de contabilidad del
RADIUS a partir de las solicitudes de autenticacin de acceso (que podran
ir al controlador de dominio o al servidor de RADIUS). Esto permitir que un
administrador configure un servidor de RADIUS de contabilidad donde el
RADIUS se utilice o no para autenticacin.
Un servidor de contabilidad
entonces puede reunir registros para cada conexin de VPN con fines de
planeacin de capacidad, auditora, facturacin y anlisis. Un nmero de
terceras partes ya han desarrollado paquetes de facturacin y auditora que
leen estos registros de contabilidad de RADIUS y producen mltiples
reportes tiles.
41
Conclusin
Como se explic en este documento, los servicios nativos de VPN Windows
permiten a los usuarios o a las corporaciones conectarse en forma segura y
confiable a los servidores remotos, a las sucursales o a otras compaas a
travs de redes pblicas y privadas. En todos los casos, la conexin segura
cruzada aparece ante el usuario como una comunicacin de red privada, sin
importar el hecho de que esta comunicacin se genere a travs de una red
interna pblica. La tecnologa VPN Windows est diseada para cubrir
aspectos relacionados con la tendencia actual comercial hacia las
comunicaciones remotas y a las operaciones globales ampliamente
distribuidas, donde los empleados deben poder conectarse recursos
centrales y las empresas comunicarse unas con otras en forma eficiente.
Este documento proporciona una descripcin general de las redes privadas
virtuales y describe los requerimientos bsicos de tecnologas tiles de VPN:
autenticacin de usuarios, administracin de direcciones, codificacin de
datos, administracin de claves y soporte a protocolos mltiples. Analiza
cmo los protocolos de nivel 2, especficamente el PPTP y el L2TP, cumplen
estos requerimientos, y cmo la IPSec (un protocolo de nivel 3) los cumplir
en el futuro.
Cada
solucin
de VPN
necesita
cubrir
los aspectos tecnolgicos
mencionados anteriormente y proporcionar la flexibilidad para satisfacer

necesidades empresariales como la interoperabilidad entre redes, la
integracin rica de aplicaciones y la transparencia de infraestructuras. Las
decisiones organizaciones de infraestructura necesitan hacerse en tal forma
que se otorgue acceso al cliente a conexiones locales y se le brinde
# topic6a
utilizacin de la red en una manera transparente para impulsar la economa

y productividad. A utilizar un sistema operativo de red con funciones
completas en sistemas abiertos estndar, las organizaciones pueden
proporcionar comunicaciones confiables en una forma fcil, segura y
econmica, as como brindar una infraestructura de red ms programable
para enfrentarse a los retos del maana.
Para obtener mayores Informes:

Para mayor informacin sobre las soluciones de comunicaciones Windows,
consulte
nuestro
World
Wide
Web
site
http://www.microsoft.com/communications// o el Windows NT Server Forum

en Microsoft Network (GO WORD: MSNTS).
# Topic17
43

Red Privada Virtual: Descripción General: Internetworks Públicas. Asimismo, Este Documento Incluye El Soporte Nativo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Red Privada Virtual: Descripción General: Internetworks Públicas. Asimismo, Este Documento Incluye El Soporte Nativo

Cargado por

Copyright:

Formatos disponibles

Red privada virtual: Descripcin general

Documento sobre el Microsoft Windows NT Server