VPN

Corporación Unificada Nacional de Educación Superior CUN

Ingeniería de Sistemas
Ingeniería Aplicada

Manuel Alberto Valdés Arredondo

2021
 Capítulo 1

VPN

Una VPN (Virtual Prívate Network) es una red privada que se extiende a través de una

red pública, como Internet, permitiendo que los dispositivos conectados puedan enviar y

recibir datos como si estuvieran conectados a una red local.

Características

Las características principales de una VPN son:

1. Sistemas de control de acceso.

2. Autentificación y Autorización de usuarios.

3. Auditoría y registro de actividades.

4. Integridad.

5. Confidencialidad y privacidad.

6. Control de acceso.

Para que sirve

Existen 5 factores muy importantes que debes tener en cuenta para entender por qué

debes usar una VPN.

1. Extender la conectividad geográficamente: Utilizando una VPN puedes

conectarte a internet como si estuvieras en un país específico. Por ejemplo, si

necesitas ver una película que sólo está disponible en Estados Unidos podrás

conectarte a una red local en este país y consumir el contenido sin problema.
2. Garantizar seguridad en conexiones públicas: Si estás conectado a una red

pública en un aeropuerto, por ejemplo, y debes autenticarte en sitios con una

conexión no segura. Es decir, sitios con el protocolo HTTP, en el que los datos de

navegación pasan sin encriptación a través de la red. Una VPN, en este caso, te

permitirá asegurar tu conexión y garantizar que los datos no sean interceptados

por sniffers.

3. Evadir bloqueos en internet: En algunos países o regiones específicas, o incluso

en algunas empresas, existen ciertos controles de acceso a internet. Es decir, no

puedes visitar ciertas páginas. Con una VPN puedes evadir este tipo de

restricciones.

4. Evadir restricciones de tu ISP: Muchos proveedores de servicios de internet

controlan el tráfico de ciertos servicios en la web.

Es el caso de YouTube, por ejemplo, pueden hacerlo al identificar tus actividades,

ya que tienen acceso a todo tu historial. Conocen los sitios que visitas e, incluso,

los archivos que descargas. La única forma de evitar que tu proveedor de internet

no sea capaz de obtener esta información, es encriptar tus datos.

De esta manera, pueden leerlos de una manera clara, pero no se pueden

interceptar. Con una VPN, todos tus datos transferidos entre un dispositivo e

internet se cifrarán y el ISP no podrá determinar con exactitud cómo restringir

todos esos servicios.

Formas de implementación

Una Virtual Prívate Network (VPN) permite a los trabajadores móviles acceder de

forma segura a los servidores de la empresa y a navegar por internet manteniendo la

confidencialidad e integridad de la información empresarial.

Esta herramienta permite que las comunicaciones se transmitan por medio de una especie

de túnel privado, por lo que toda la información es cifrada. El objetivo es evitar que

ciberdelincuentes intercepten la comunicación ya sea escuchándola, manipulándola o

extrayéndola.

Para implementar una VPN como herramienta de seguridad en tu empresa tienes dos

opciones: la primera es de forma a nivel privado a través de personal capacitado en la

materia; y la segunda, con la contratación de servicios de terceros.

IPSEC

La norma IPsec se utiliza normalmente para establecer una VPN IPsec a través de

Internet entre terminales fijos y también para crear una conexión cliente-servidor VPN

cifrada entre dispositivos remotos y una red fija. Las VPN IPsec han sido sustituidas en

gran medida por las VPN SSL, como la VPN SSL FirePass de F5, porque refuerzan la

seguridad de los terminales, no requieren ninguna configuración en la máquina remota y

aplican la seguridad en la capa de aplicación en lugar de en la capa de red. La seguridad

en la capa de aplicación soluciona los típicos fallos de configuración e implementación

IPsec, que por diseño refuerza la seguridad en la capa de red y se limita funcionalmente

al uso en redes conocidas y controladas.

Configuración VPN IPsec

Existen dos tipos de conexiones VPN:

 Roadwarrior

 Site-to-site

El VPN Roadwarrior es aquel que un nodo llamado cliente, por ejemplo, una laptop,

establece una conexión con un gateway VPN. Los paquetes IP enviados entre la laptop y

el gateway VPN son enviados de manera segura utilizando algoritmos de cifrado.

Por ejemplo, un grupo de programadores que trabajan remoto requieren de una conexión

VPN para poder conectarse a los repositorios de la empresa para subir y descargar

código.

Un VPN site-to-site es cuando dos o más concentradores VPN (gateways) establecen un

enlace para transmitir información de manera segura. Este tipo de conexión VPN conecta

dos o más redes LAN.

Los protocolos de VPN más utilizados son:

 IPSEC

 SSL

 PPTP

IPSEC es el protocolo de VPN más popular en la industria. El protocolo TCP/IP es

inseguro. IPSEC fue un addendum que se le aplicó al protocolo IP para agregarle las

funciones de seguridad.

IPSEC provee las siguientes funciones de seguridad:

1. Confidencialidad

IPSEC garantiza que el tráfico entre dos nodos no podrá ser leído por un tercero

debido a que los paquetes IP transmitidos viajan por la red de manera encriptada.

Para el cifrado de paquetes IPSEC utiliza los algoritmos 3DES y AES.

2. Integridad

Integridad significa que un paquete enviado llegará intacto a su destino. En otras

palabras, IPSEC garantiza que el contenido de los paquetes IP que viajan por la

red no podrá ser modificado mientras estén en tránsito. En la práctica la función

de integridad se logra utilizando algoritmos de hashing. El hashing es una función

matemática que no tiene inversa. Por lo tanto, a partir del resultado de la función

no es posible derivar el contenido original.

La función de hashing toma como entrada una cantidad arbitraria de bits y

produce como salida uba canridad fija de bits. Los algoritmos de hashing más

utilizados son MD5, SHA1 y SHA2.

Para entender mejor el concepto de hashing veamos el siguiente ejemplo:

Var1 = “Alicia y Pedro se quieren mucho” Si aplicamos la función de hashing

utilizando el algoritmo SHA1 a la variable Var1 obtenemos el siguiente resultado:

ae04843d261d7a7a58d10ef059f6de0f827ae341

Si realizamos una modificación al contenido de Var1, automáticamente el

resultado de la función hash será diferente:

Var2 = “Alicia y Pedro se quieren mucho”

78fabdd34e2fc167671a0cf57809ef92be00cbb4
 Cuando un nodo IPSEC recibe un paquete IP éste calcula el hash. Si el resultado

no corresponde con el valor del hash original significa que el paquete no llegó

íntegro y es descartado inmediatamente.

3. Autenticación

La función de autenticación significa que ambos nodos en una conexión IPSEC

deben validarse antes de establecer una conexión. IPSEC utiliza dos tipos de

mecanismos de autenticación:

 Pre shared key

 Digital signature

El mecanismo de pre-shared key es el más común y utilizado. Ambos nodos IPSEC

deben conocer a priori e intercambiar una contraseña con el objetivo de establecer una

conexión.

Un VPN IPSEC requiere del establecimiento de dos túneles. El primero denominado IKE

Phase 1 (Internet Key Exchange phase 1). Este túnel no es utilizado para la transmisión

de paquetes IP sino más bien para la autenticación de los nodos e intercambio de

información de control.

Para que el túnel IKE Phase 1 pueda establecerse con éxito la configuración de ambos

nodos debe coincidir en las siguientes variables:

 Hash algorithm

 Encryption algorithm

 Diffie-Hellman DH group

 Authentication method
  Lifetime

Luego que el túnel IKE Phase 1 es establecido con éxito, entonces, viene la parte IKE

Phase 2. Este túnel es utilizado para la transmisión de paquetes IP de manera segura

utilizando las funciones negociadas durante IKE Phase 1.

A continuación, veremos el procedimiento para la configuración de un VPN IPSEC site-

to-site utilizando dos routers Cisco.

Hemos dividido el procedimiento de configuración en dos etapas:

 ISAKMP 1

 ISAKMP 2

Los túneles IKE también son denominados ISAKMP.

IKE ISAKMP Phase 1

#Paso 1: Configuración de ISAKMP Policy.

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2

R1(config-isakmp)#lifetime 86400

#Paso 2: Definir contraseña utilizada entre R1 y R2.

R1(config)#crypto isakmp key cisco address 1.1.1.2

#Paso 3: Configuración de ACL

R1(config)# ip access-list extended VPN-TRAFFIC

R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

IKE ISAKMP Phase 2

#Paso 4: Configurando IPSec Transform

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

#Paso 5: Configuración de CRYPTO MAP

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)#set peer 1.1.1.2

R1(config-crypto-map)#set transform-set TS

R1(config-crypto-map)#match address VPN-TRAFFIC

#Paso 6: aplicando Crypto MAP en interfaz pública

R1(config)# interface Fastethernet 0/1

R1(config-if)#crypto map CMAP

El mismo procedimiento de configuración es aplicado en R2.

IKE ISAKMP Phase 1

#Paso 1: Configuración de ISAKMP Policy.

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#hash md5

R2(config-isakmp)#authentication pre-share

R2(config-isakmp)#group 2

R2(config-isakmp)#lifetime 86400

#Paso 2: Definir contraseña utilizada en R1 y R2

R2(config)#crypto isakmp key cisco address 1.1.1.1

#Paso 3: Configuración de ACL

R2(config)# ip access-list extended VPN-TRAFFIC

R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

IKE ISAKMP Phase 2

#Paso 4: Configuración de IPSec Transform

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

#Paso 5: Configuración de CRYPTO MAP

R2(config)# crypto map CMAP 10 ipsec-isakmp

R2(config-crypto-map)#set peer 1.1.1.1

R2(config-crypto-map)#set transform-set TS

R2(config-crypto-map)#match address VPN-TRAFFIC

#Paso 6: Aplicando Crypto MAP a una interfaz pública

R2(config)# interface Fastethernet 0/1

R2(config-if)#crypto map CMAP

Si aplicamos el procedimiento anterior a dos router Cisco el establecimiento de un VPN

IPSec debe de funcionar perfectamente.

Para comprobar que los paquetes IP provenientes de ambas redes LAN se envían a través

del VPN ejecutamos los siguientes comandos:

R1#ping 20.20.20.1 source FastEthernet 0/0

R1#show crypto session

R2#ping 10.10.10.1 source FastEthernet 0/0

R2#show crypto session

GRE

La encapsulación de routing genérico (GRE) es un ejemplo de un protocolo de tunneling

de VPN de sitio a sitio básico y no seguro. GRE es un protocolo de tunneling

desarrollado por Cisco que puede encapsular una amplia variedad de tipos de paquete de

protocolo dentro de túneles IP, lo que crea un enlace punto a punto virtual a los routers

Cisco en puntos remotos a través de una internetwork IP.

GRE está diseñada para administrar el transporte del tráfico multiprotocolo y de

multidifusión IP entre dos o más sitios, que probablemente solo tengan conectividad IP.

Puede encapsular varios tipos de paquete de protocolo dentro de un túnel IP.

Configuración túnel GRE

GRE se utiliza para crear un túnel VPN entre dos sitios, como se muestra en la Imagen 3.

Imagen 3: Configuración de túneles GRE

Para implementar un túnel GRE, el administrador de red primero debe descubrir las

direcciones IP de las terminales. Después, se deben seguir cinco pasos para configurar un

túnel GRE:

 Paso 1. Cree una interfaz de túnel con el comando interface tunnel number.

 Paso 2. Especifique la dirección IP de origen del túnel.

 Paso 3. Especifique la dirección IP de destino del túnel.

 Paso 4. Configure una dirección IP para la interfaz de túnel.

 Paso 5. (Optativo) Especifique el modo de túnel GRE como modo de interfaz de

túnel. El modo de túnel GRE es el modo predeterminado de interfaz de túnel para

el software IOS de Cisco.

Comandos de configuración de túneles GRE

Imagen 4: Comandos de configuración de túneles GRE

Se detalla una configuración básica de túnel GRE para el router R1:

R1(config)# interface Tunnel0

R1(config-if)# tunnel mode gre ip

R1(config-if)# ip address 192.168.2.1 255.255.255.0

R1(config-if)# tunnel source 209.165.201.1

R1(config-if)# tunnel destination 198.133.219.87

R1(config-if)# router ospf 1

R1(config-router)# network 192.168.2.0 0.0.0.255 area 0

La configuración del R2 refleja la configuración del R1:

R2(config)# interface Tunnel0

R2(config-if)# tunnel mode gre ip

R2(config-if)# ip address 192.168.2.2 255.255.255.0

R2(config-if)# tunnel source 198.133.219.87

R2(config-if)# tunnel destination 209.165.201.1

R2(config-if)# router ospf 1

R2(config-router)# network 192.168.2.0 0.0.0.255 area 0

La configuración mínima requiere la especificación de las direcciones de origen y destino

del túnel. También se debe configurar la subred IP para proporcionar conectividad IP a

través del enlace de túnel.

Ambas interfaces de túnel tienen el origen del túnel establecido en la interfaz serial local

S0/0/0 y el destino del túnel establecido en la interfaz serial S0/0/0 del router peer. La

dirección IP se asigna a las interfaces de túnel en ambos routers. También se

configuró OSPF para intercambiar rutas a través del túnel GRE.

Descripción de los comandos

Las descripciones de los comandos individuales de túnel GRE se muestran en la figura 4.

Tabla de Comandos de túnel GRE.

Comando Descripción

tunnel mode gre ip Especifica que el modo de la interfaz de túnel es GRE por IP.

tunnel source ip_address Especifica la dirección de origen del túnel.

tunnel destination ip_address Especifica la dirección de destino del túnel.

ip address ip_address mask Especifica la dirección IP de la interfaz de túnel.

Cuando se configuran los túneles GRE, puede ser difícil recordar cuáles son las redes IP

asociadas a las interfaces físicas y cuáles son las redes IP asociadas a las interfaces de

túnel. Recuerde que antes de que se cree un túnel GRE, ya se configuraron las interfaces

físicas.

Los comandos tunnel source y tunnel destination se refieren a las direcciones IP de las

interfaces físicas configuradas previamente. El comando ip address en las interfaces de

túnel se refiere a una red IP especialmente diseñada para los propósitos del túnel GRE.

Verificación del túnel GRE

Existen varios comandos que se pueden utilizar para controlar los túneles GRE y resolver

los problemas relacionados. Para determinar si la interfaz de túnel está activa o inactiva,

utilice el comando show ip interface brief.

Imagen 5: Verificación del túnel GRE

Para verificar el estado de un túnel GRE, utilice el comando show interface tunnel.

Imagen 6: Verificar que la interfaz de túnel esté activa

El protocolo de línea en una interfaz de túnel GRE permanece activo mientras haya una

ruta al destino del túnel. Antes de implementar un túnel GRE, la conectividad IP ya debe

estar operativa entre las direcciones IP de las interfaces físicas en extremos opuestos del

túnel GRE potencial. El protocolo de transporte de túnel se muestra en el resultado.

SNMP

Funcionamiento y Configuración

Si también se configuró OSPF para intercambiar rutas a través del túnel GRE, verifique

que se haya establecido una adyacencia OSPF a través de la interfaz de túnel con el

comando show ip ospf neighbor. En la figura 2, observe que la dirección de

interconexión para el vecino OSPF está en la red IP creada para el túnel GRE.
Diferencia entre IPSEC y GRE
Tabla comparativa
PARÁMETRO GRE
Encapsulación de
Forma completa
enrutamiento genérico
GRE es un protocolo que
encapsula paquetes para
Objetivo
enrutar otros protocolos a
través de redes IP.
GRE se utiliza cuando los
paquetes IP deben enviarse
de una red a otra, sin ser
Uso
analizados ni tratados como
paquetes IP por ningún
enrutador interviniente.
Modos Modo único - Túnel GRE
Privacidad, integridad
y autenticidad de la No soportado
información
Encapsulación de la carga
Encapsulamiento
útil
GRE se define en el estándar
Estándar
RFC 2784
GRE usa el protocolo IP
Protocolo y puerto
número 47
IPSec
Seguridad IP
El protocolo de seguridad IP
(IPsec) es un método basado en
estándares para brindar
privacidad, integridad y
autenticidad a la información
transferida a través de redes IP.
IPsec ESP se utiliza cuando los
paquetes IP deben
intercambiarse entre dos
sistemas mientras están
protegidos contra escuchas o
modificaciones en el camino.
Dos modos: modo de túnel y
modo de transporte
Soportado
Modo de túnel: todo el paquete
está encapsulado.
Modo de transporte: solo la
carga útil está protegida.
IPSEC ESP se define en
RFC2406
IPSec utiliza ESP (protocolo IP
número 50) y AH (protocolo IP
número 51). Además, IPSec
utiliza IKE para las
 negociaciones (puerto UDP
número 500).
Encabezado IP adicional de Bytes adicionales no
Encabezado de IP
4 bytes utilizados.
Compatibilidad con
multidifusión, protocolo
Soportado No soportado
de enrutamiento y
protocolo enrutado
Sencillez Más simple y rápido Complejo
 Capítulo 2

Figuras

VPN
GRE
 Cibergrafía

https://ipwithease.com/gre-vs-ipsec/

https://platzi.com/blog/como-usar-una-
vpn/?utm_source=google&utm_medium=cpc&utm_campaign=12915366154&utm_adgr
oup=&utm_content=&gclid=Cj0KCQjwv5uKBhD6ARIsAGv9a-
wG9f_n8OMCDt_Ej2tFm4rDpzJPkgYS_reKQLSVdLUgfPE9PzgRtzUaArI2EALw_wc
B&gclsrc=aw.ds

https://www.locurainformaticadigital.com/2018/04/05/que-es-vpn-definicion-tipos-
caracteristicas/

https://ccnadesdecero.es/tuneles-gre-caracteristicas-y-configuracion/
 Apéndice

Introduce aquí tablas y figuras. También puedes poner algunos datos que consideres

necesarios o complementarios en tu trabajo académico.