INDICE

Introduccin
Dedicatoria
A. Que es una VPN? .....1
B. Qu ofrecen las VPN? 2
C. Requerimientos bsicos de una VPN 2
D. Tipos de VPN ...3
E. Protocolos usados en VPN ..5
F. Diagramas .7
G. Fases de una conexin VPN.8
H. Usos de una VPN 9
I. Ventajas 10
J. Desventajas.10
K. Implementacin de una VPN en Windows server 2012.11
Conclusiones

INTRODUCCION
La nueva economa exige, no como un lujo sino ms bien como una necesidad, una
cobertura global entre oficinas locales y remotas de una misma organizacin. Una
red privada virtual (RPV o VPN, Virtual Private Network) es la interconexin de
varias redes locales (LAN, Local Area Network) que estn separadas fsicamente
(remotas) y que realizan una transmisin de datos entre ellas de un volumen
considerable. De forma habitual, lo que se pretende es que dicho grupo de redes
locales se comporten como si se trataran de una nica red local, aunque por diversos
motivos, fundamentalmente de ndole econmica, la interconexin entre dichas
redes LAN se efecta a travs de medios potencialmente hostiles o inseguros
(Internet, Red telefnica conmutada o RTC a travs de mdem, Lneas alquiladas,
RDSI o ISDN, X.25, Frame Relay, ATM,...), de forma que hay que articular diversos
mecanismos, especialmente de encriptacin y de firma digital, para garantizar la
seguridad de los sistemas.
El principal elemento que subyace bajo el establecimiento de una VPN son las
pasarelas (gateways) entre la red privada y la red pblica. Sean estas basadas en
software, hardware o una combinacin de ambos, estos elementos se encargan de
trabajar al servicio de la red privada que estn protegiendo. Cuando un host local
enva informacin a un host remoto que pertenece a la misma VPN, los datos tienen
que atravesar el primer gateway protector antes de salir a la red pblica, y luego a
travs del segundo gateway a la entrada de la red local remota en la que est el host
receptor de la informacin. El sistema protege dicha informacin de forma
automtica encriptndola, hacindola de tal forma incomprensible a terceras partes.
Los gateways pueden asimismo hacer una doble funcin, al actuar tambin como
firewalls o cortafuegos que deneguen el acceso de datos dainos o maliciosos a
nuestra red.

DEDICATORIA
Este presente trabajo est dedicado a nuestros
familiares,

ellos

son

nuestros

pilares

fundamentales en nuestras vidas. Sin ellos,

jams hubisemos podido conseguir lo que
hemos logrado hasta ahora. Su tenacidad y
lucha insaciable han hecho de ellos el gran
ejemplo a seguir y destacar, no solo para
nosotros, sino para nuestros hermanos. Ellos
representaron gran esfuerzo y apoyo en
momentos de decline y cansancio. A ellos este
trabajo que, sin ellos, no hubiese sido posible.

A. QU ES UNA VPN?
Consideraciones generales:
VPN (Virtual Private Network) es una extensin de una red local y privada que
utiliza como medio de enlace una red pblica como, por ejemplo, Internet. Tambin
es posible utilizar otras infraestructuras WAN tales como Frame Relay, ATM, etc.
Este mtodo permite enlazar dos o ms redes simulando una nica red privada
permitiendo as la comunicacin entre computadoras como si fuera punto a punto.
Tambin un usuario remoto se puede conectar individualmente a una LAN
utilizando una conexin VPN, y de esta manera utilizar aplicaciones, enviar datos,
etc. de manera segura. Las Redes Privadas Virtuales utilizan tecnologa de tnel
(tunneling) para la transmisin de datos mediante un proceso de encapsulacin y
en su defecto de encriptacin, esto es importante a la hora de diferenciar Redes
Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas telefnicas
dedicadas para formar la red. Ms adelante explicare ms en profundidad el
funcionamiento del tnel.
Una de las principales ventajas de una VPN es la seguridad, los paquetes viajan a
travs de infraestructuras pblicas(Internet) en forma encriptada y a travs del
tnel de manera que sea prcticamente ilegible para quien intercepte estos
paquetes. Esta tecnologa es muy til para establecer redes que se extienden sobre
reas geogrficas extensas, por ejemplo, diferentes ciudades y a veces hasta piases
y continentes. Por ejemplo, empresas que tienen oficinas remotas en puntos
distantes, la idea de implementar una VPN hara reducir notablemente los costos de
comunicacin, dado que las llamadas telefnicas (en caso de usar dial-up) seran
locales (al proveedor de Internet) o bien utilizar conexiones DSL, en tanto que de
otra manera habra que utilizar lneas dedicadas las cuales son muy costosas o hacer
tendidos de cables que seran ms costosos an.

B. QU OFRECEN LAS VPN?

VPN ofrece una solucin de bajo costo para implementar la red a larga distancia al
basarse sobre Internet, adems de ofrecer autenticacin de usuarios o equipos a
travs de cifrados, firmas digitales o claves de acceso para una identificacin
inequvoca; ofrece tambin integridad, garantizando que los datos enviados por el
emisor sean exactos a los que se reciben, y confidencialidad, el cifrado hace posible
que nada de lo transmitido sea interceptado o interpretada por nadie ms que
emisor y destino.

C. REQUERIMIENTOS BSICOS DE UNA VPN

Las redes privadas virtuales deben contar con ciertas bases antes de su
implementacin, tales son un set de polticas de seguridad para la codificacin de
datos, pues no deben ser visibles por clientes no autorizados en la red;
administracin de claves, para asegurar la codificacin entre clientes y servidor;
compartir datos, aplicaciones y recursos; un servidor de acceso y autenticacin, para
que en la red se tenga control de quines ingresan, verificar su identidad y tener
registro estadstico sobre accesos; administracin de direcciones, pues la VPN debe
establecer una direccin para el cliente dentro de la red privada y debe asegurar que
estas direcciones privadas se mantengan as; y finalmente soporte para mltiples
protocolos, pues debe manejar los protocolos comunes a la red Internet, como IP.

Identificacin de Usuario: debe identificar la identidad de sus usuarios y

restringir el acceso a los no autorizados.

Administracin de claves: debe generar y renovar las claves de codificacin

para el cliente y el servidor.

Administracin de Direcciones: debe establecer una direccin del cliente

en la red privada y debe cerciorarse que las direcciones privadas se
conserven as.

D. TIPOS DE VPN
VPN de acceso remoto: Consiste en usuarios que se conectan a una empresa
desde sitios remotos utilizando Internet como vnculo de acceso. Una vez
autenticados tienen un nivel de acceso similar a estar dentro de la red local.

VPN punto a punto: Este esquema es el empleado para conectar oficinas

remotas con una sede central. El servidor VPN est conectado
permanentemente a Internet, acepta conexiones entrantes desde los sitios y
establece el tnel VPN. Los servidores de las oficinas remotas se conectan a
Internet y a travs de sta al tnel VPN de la oficina central. Se utiliza para
eliminar las conexiones punto a punto tradicionales.

 VPN interna (over LAN): Funciona tal cual una red VPN normal, salvo que
dentro de la misma red local LAN en lugar de a travs de Internet. Sirve para
aislar zonas y servicios de la misma red interna. Sirve tambin para mejorar
las caractersticas de seguridad de una red inalmbrica WiFi.

E. PROTOCOLOS USADOS EN VPN

Dentro de la multiplicidad de protocolos disponibles para su uso en las VPN, el
conjunto estndar es IPSec, encontrndose adems otros protocolos como PPTP,
L2F, SSL/TLS, SSH, etc. IPSec es un conjunto de estndares para incorporar
seguridad en IP, acta a nivel de capa de red, protegiendo y autenticando los
paquetes IP entre los equipos participantes de la red. Proporciona confidencialidad,
integridad y autenticacin a travs de algoritmos de cifrado, hash, llaves pblicas y
certificados digitales. IPSec tiene tres grandes componentes, dos protocolos de
seguridad, como son Autenticacin de cabecera IP (AH) y Carga de seguridad de
encapsulado (ESP); y uno de seguridad de llaves, Intercambio de llaves de Internet
(IKE).
En el protocolo AH es la porcin de datos del mensaje emitido pasa a travs
de un algoritmo de hashing junto a la clave de autenticacin de cabecera y se
anexa como cabecera al paquete IPSec; al llegar a destino los datos tambin
se calculan por el mismo proceso de llave con el hash, y si es igual al que vena
en la cabecera AH, el paquete est autenticado.

El protocolo ESP tiene un funcionamiento similar, cuya principal diferencia

con AH es que el mensaje es ahora cifrado a travs de un proceso

criptogrfico con la llave ESP, por lo que solo puede ser descifrado luego por
un receptor que conozca de la llave.

El protocolo IKE tiene dos modos de funcionamiento, uno en modo trasporte

y uno en modo tnel. En modo transporte, el contenido dentro de un
datagrama AH o ESP son datos de la capa de transporte, por lo tanto la
cabecera IPSec se inserta luego de la cabecera IP y antes de los datos que se
desean proteger; asegura la comunicacin extremo a extremo, pero
entendiendo ambos el protocolo IPSec. En cambio, en modo tnel, son
datagramas IP completos, incluyendo la cabecera IP original. Al datagrama IP
se le adjunta la cabecera AH o ESP y luego otra cabecera IP para dirigir los
paquetes a travs de la red. Es el protocolo IKE el estndar para la
configuracin de las VPN por sus caractersticas.

F. DIAGRAMAS
Hay varias posibilidades de conexiones VPN, esto ser definido segn los
requerimientos de la organizacin, por eso es aconsejable hacer un buen
relevamiento a fin de obtener datos como por ejemplo si lo que se desea enlazar son
dos o ms redes, o si solo se conectaran usuarios remotos.
Las posibilidades son:
DE CLIENTE A SERVIDOR (Cliente to Server): Un usuario remoto que solo
necesita servicios o aplicaciones que corren en el mismo servidor VPN.

DE CLIENTE A RED INTERNA (Client to LAN): Un usuario remoto que

utilizara servicios o aplicaciones que se encuentran en uno o ms equipos
dentro de la red interna.

 DE RED INTERNA A RED INTERNA (LAN to LAN): Esta forma supone la

posibilidad de unir dos intranets a travs de dos enrutadores, el servidor VPN
en una de las intranets y el cliente VPN en la otra. Aqu entran en juego el
mantenimiento de tablas de ruteo y enmascaramiento.

G. FASES DE UNA CONEXIN VPN

1. Autenticacin: En esta fase, los datos de los paquetes son primeramente
encapsulados, bsicamente envueltos dentro de otros paquetes en procesos
que van aadiendo nueva informacin y aumentando el tamao del paquete
enviado. Estos datos son informacin sobre la mquina emisora, bits de CRC
(para garantizar la integridad del paquete), la propia informacin enviada y
otros datos.

Ahora, tu dispositivo inicia la negociacin con el servidor VPN -saludo- y este

responde con una respuesta acorde (ACK o Acknowledgement). Entonces, el
servidor pide las credenciales del usuario para comprobar su identidad real.
2. Tunelizacin: despus de la fase de autenticacin, podemos imaginar la
creacin un tnel que proporciona un camino seguro para la informacin
entre dos puntos. Cualquier dato que enviemos mediante dicho tnel estar
protegido del resto de paquetes de la red mediante cifrado, pero no an.
3. Cifrado: despus de haber creado nuestro tnel con xito, podemos enviar
cualquier informacin a travs de l, pero no podemos dar la informacin por
segura si estamos conectados a un servicio de VPN gratuito, que estar
utilizado por ms usuarios.
Por eso, debemos cifrar los paquetes transmitidos por nuestra mquina
ANTES de que alcancen el tnel, impidiendo as que el resto de usuarios del
tnel pueda acceder a nuestra informacin (pues siguen el mismo camino de
red que nuestros paquetes).
H. USOS DE UNA VPN
Mencion brevemente el caso de una organizacin teniendo empleados
trabajando de forma remota, sin embargo, existen muchos ms usos de una
VPN, por ejemplo:

Privacidad/seguridad. Una VPN te ayuda a mantener segura tu

informacin, ya que el trfico en la VPN est codificado y alguien
escuchando en el alambre no puede identificar el contenido del
trfico. Esto pudiera resultarte particularmente til si empleas de
forma regular servicios pblicos de Wi-Fi, por ejemplo los de
aeropuertos, cafs, hoteles, etc.

Descargas. Mucha gente que emplea programas P2P, como

BitTorrent, tambin emplea una VPN. Esto evita el bloqueo de dichos
programas por parte de tu ISP o que quede algn tipo de registro de
conexiones que hagas al navegar en la red a la que te conectas. Usando

una VPN en realidad ests conectndote a un punto fijo y toda la

informacin te llega a partir de ese mismo punto.

Evitar censura. Otro uso de VPN es para evitar censura, ya sea de

pginas que bloquean contenido por geolocalizacin o por redes que
bloquean ciertas pginas, como suele ocurrid con redes sociales.

Ver Netflix de Estados Unidos. Esta es la forma en la que lo hace la

gente que ve contenido de Netflix de Estados Unidos desde cualquier
parte del mundo. Abres una conexin a un VPN que est en Estados
Unidos y el trfico al punto que te conectas es identificado como
estadounidense, mientras que el trfico a tu computadora es desde
ese punto, logrando as un puente.

I.

VENTAJAS
Redes a un menor costo.
Mejor uso de los recursos de hardware y servicios dentro de la red local.
Mejor uso del personal dentro de las organizaciones.
Accesibilidad a la red local desde cualquier lugar.
Los procesos pesados se corren en la maquina local, y no en una maquina
remota.
Mejor rendimiento y comunicacin en organizaciones con sucursales o de
una magnitud que amerita oficinas remotas.
Permite flexibilidad en redes locales.

J.

DESVENTAJAS
Falta de seguridad en le envi de datos, por el hecho de usar un medio
pblico.
Se necesita un buen acceso a internet para poder hacer un buen uso de la red
local.
Tiempos de respuesta largos por la cantidad de protocolos en los que viaja
los datos.
Una vez establecida la conexin VPN, todo el trfico de la red se empieza a
enviar por el tnel, volviendo el servicio an ms lento.

10

K. IMPLEMENTACION DE VPN EN WINDOWS SERVER 2012

Servidor
Se instala y configura el Rol para tener acceso a la VPN del servidor
WS2k8r2.

Podemos observar en la pantalla anterior que, entre los componentes requeridos, figura el IIS. Esto es
debido a que prevee la utilizacin adems de VPN de DirectAccess.

11

12

13

14

En esta ocasin veremos solamente la implementacin de VPN, sin DirectAccess.

15

De esta forma abrir la conocida consola RRAS para que ejecutemos la configuracin del servidor

No ha modificaciones respecto a versiones anteriores

16

17

Prestemos atencin a seleccionar la interfaz externa, pues configurar filtrado de paquetes

permitiendo solamente los puertos necesarios para VPNs

Como en la infraestructura no estoy utilizando DHCP, utilizar un rango de red

18

19

Y ya nos queda configurado el servidor VPN

20

Lo que har ahora es autorizar a un usuario para que pueda ingresar por VPN. En este caso y por
simplicidad he elegido a la cuenta Administrator, aunque podra haber sido la de cualquier usuario
En el Controlador de Dominio, en Active Directory Users and Computers, sobre las propiedades de
la cuenta, ficha Dial-In

Ahora debemos hacer la conexin de VPN desde el cliente (CL2), que aunque es Windows 8, su
configuracin es muy similar a los sistemas operativos anteriores

21

22

Debemos ingresar la direccin IP de la interfaz externa del servidor VPN

Cuando le digamos que vamos a conectarnos nos abre algo sobre el margen derecho

23

Lo seleccionamos y aparecer la opcin para conectarse

Ingresamos las credenciales

24

Y en pocos segundos, nos dice que est conectada

25

Vemos la configuracin que tenemos del lado del cliente

26

Verifiquemos conectividad con otro equipo de la red, en este caso DC1

La conexin del cliente tambin la podemos verificar desde VPN2

27

Finalmente desconectamos desde el cliente

28

Con esto hemos demostrado, la conectividad por VPN desde un cliente Windows 8 hacia un servidor
VPN Windows Server 2012.

CONCLUSIONES
En definitiva, las redes privadas virtuales resultaron un tema bastante sencillo de
abordar en primera instancia, pues la informacin es relativamente abundante y
fcil de entender, mas lo complejo vino al ir entendiendo y profundizando en el tema.
Estas redes artificiales nacieron para poder abaratar costos a nivel empresarial,
reemplazando las conexiones dedicadas punto a punto por cables fsicos al utilizar
la Internet como su estructura y camino esencial.

29