Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO DE CURSO
Santiago de Cuba
RESUMEN
El presente trabajo analiza las diferentes formas que hacen posible crear túneles seguros
de datos entre el usuario y redes de área local a través de Internet. Para ello se analizan
los modelos, la estructura que adopta la información al momento de considerarse listo
para viajar por el medio inseguro. Se da especial énfasis en este documento al protocolo
de seguridad sobre IP llamado IPSec, el cual reúne la mayoría de las características que
hacen que un modelo sea seguro sobre un medio masivo como lo es la Internet. Se
estudian además las diferentes formas de implementación de esta alternativa,
considerándose de gran seguridad la basada en Firewall, la cual contempla la solución
IPSec a los problemas antes mencionados.
Palabras clave:
Abstract
The present work analyzes the different ways to create safe tunnels throught Internet
between users and Local Area Networks. For it examine him models, the structure that he
embraces the information in a minute from considering oneself clever in order to travel by
the uncertain midway. The IPSec gives itself especial emphasis in this document to the
protocol of certainty on so-called IP, which joins together the characteristics that they do
that a model be sure on a mass means the majority ofly as the Internet is it. They study
besides this alternative's different forms of implementation, considering oneself of great
certainty the based in Firewall, which contemplates the solution IPSec to the problems
above-mentioned.
KeyWords:
II
Indice
Índice
Introducción ............................................................................................ 1
Capítulo 1 Fundamentos de las Redes Privadas Virtuales. .................. 3
1.1 Redes Privadas Virtuales (VPN) .......................................................................... 3
1.1.1 ¿Por qué VPN? ............................................................................................. 3
1.1.2 Ventajas de VPN........................................................................................... 4
1.1.3 Direccionamiento y enrutamiento de las VPN ............................................... 5
1.1.4 Clasificación de las VPN ............................................................................... 8
1.1.5 Arquitectura de las VPN ................................................................................ 9
1.2 Protocolos VPN .................................................................................................. 10
1.2.1 IPSec (Internet Protocol Security): .............................................................. 10
1.2.2 L2TP (Layer 2 Tunneling Protocol): ............................................................. 12
1.2.3 PPTP (Point-to-Point Tunneling Protocol): .................................................. 13
1.2.4 L2F (Layer 2 Forwarding): ........................................................................... 16
1.2.5 SSL (Secure Sockets Layer) / TLS (Transport Layer Security): ................... 16
1.2.6 GRE (Generic Routing Encaosulation): ....................................................... 17
1.2.7 SSH (Secure Shell): .................................................................................... 18
1.2.8 PPP (Point-to-Point Protocol): ..................................................................... 21
1.2.9 OpenVPN.................................................................................................... 22
1.2.10 SoftEther: .................................................................................................... 23
1.3 Soluciones que implementan los protocolos de VPN ......................................... 23
1.4 Calidad de servicio (QoS) .................................................................................. 24
1.4.1 Servicio del mejor esfuerzo ......................................................................... 25
1.4.2 Servicio Integrados ..................................................................................... 25
1.4.3 Servicio diferenciados ................................................................................. 25
1.4.4 Mecanismos de QoS ................................................................................... 26
1.4.5 Mecanismos de eficiencia de enlace ........................................................... 26
Optimizar la conexión VPN ........................................................................................... 27
1.4.6 Mejorar la conexión de un túnel VPN .......................................................... 28
1.5 Selección de los protocolos que más se adecuan a las necesidades del
teletrabajo. ................................................................................................................... 28
Capítulo 2. Soluciones para implementar VPN ................................... 31
2.1 OpenVPN. .......................................................................................................... 31
Indice
II
Introducción
Introducción
1
Introducción
Problema
Objetivo General
Analizar los protocolos y tecnologías que permiten a los usuarios desde Internet acceder
a una red LAN de forma transparente, permitiendo utilizar los servicios y recursos de la
misma de forma remota.
Objetivos específicos
Investigar los protocolos y soluciones tecnológicas que definen las Redes Privadas
Virtuales.
2
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Este capítulo ofrece una visión de los diversos temas relativos a la comunicación entre
computadoras y redes. Muchos de los conceptos presentados aquí están tratados desde
una perspectiva general.
En una VPN, la comunicación privada entre dos o más dispositivos se ejecuta a partir de
una red pública que es Internet. Por eso, esa comunicación privada es virtual con lo que
no está “físicamente” presente. La parte de “privada” se explica porque si los dispositivos
que están conectados a esa VPN se comunican entre sí en un entorno público, no hay un
tercero que pueda detener o inmiscuirse en esta comunicación recibiendo la información
trasmitida entre ellos.
Explicado de otro modo, una red privada virtual es una red que podría ser de una
empresa integrada en una infraestructura compartida. La tecnología de una red virtual
privada permite que una empresa “propague” sus servicios a través de esa red remota y
así facilitar a los usuarios, afiliados o compañías asociadas su conexión a través de
Internet a esos servicios. Sus ventajas son evidentes: crear un vínculo de comunicación
barato, seguro y rápido. [1]
Se requiere unir des redes LAN a través de una red WAN, y al mismo tiempo
implementar servicios en estas, por lo que se requiere de una tecnología que permita
estas opciones y además con una buena calidad para estos servicios. Las redes LAN son
redes privadas que se utilizan para conectar dispositivos personales o de trabajo y
compartir información, estas posee menos restricciones que las redes WAN, puesto que
cualquier usuario con acceso a la red tiene acceso a todo la información. La problemática
es la siguiente, para unir estas dos redes hay que enfrentar las limitantes de la red WAN,
3
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
la cual es una red nacional con políticas de restricciones y firewalls que impiden el
intercambio de información de manera transparente, así como el acceso limitado, por
tanto esto es un problema, ya que se necesita una conexión transparente para poder
desarrollar e implementar los servicios de una forma óptima. Es aquí donde entran las
VPN, una tecnología que permite realizar una conexión punto a punto y burlar los firewalls
que proponen las redes WAN, ya que las VPN consta de ciertos protocolos que cifran los
datos, ocultan el IP, encripta la información que se transmite, de manera que los firewalls
no tendrían oportunidad de restringir el acceso y poner limitantes. Además, igualmente
existen protocolos VPN que funcionan como túnel, por tanto se puede realizar una
conexión entre las dos LAN a través de la WAN de forma transparente, ya que esto facilita
que se deba modificar ningún dispositivo ni configurar ningún software en la red WAN y de
igual forma se obtiene dicha conexión.
Como se ha dicho anteriormente, la VPN es una solución ventajosa para realizar una
conexión punto a punto a través de una red WAN e implementar servicios en dicha
conexión. [2]
Cada día el ambiente empresarial está necesitando más y más productividad, por eso,
las empresas apuestan porque las comunicaciones tengan seguridad, fiabilidad y por
supuesto rapidez entre las diferentes sedes que componen la compañía y los puestos
desde que se conectan los trabajadores (hogares, oficinas remotas, entre otras.
Para ello, las empresas suelen contratar líneas Macrolan para conectar las diferentes
sedes a las que da cobertura geográfica, este servicio tiene un impedimento que es el
precio, según la velocidad contratada (caudal contratado y garantizado en base a un
porcentaje estipulado de velocidad). [2]
4
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
• Disminución de gastos económicos: las VPN son soluciones más baratas que las redes
privadas de las propias empresas. Por eso, el coste de contratar a un ISP una línea de
este tipo es mucho mayor, ya sin entrar en temas de los gastos de los empleados que las
gestionan y el hardware de red que las soporta.
• Seguridad: todos los datos que viajan a través de las VPN están preservados por
muchas capas de seguridad como puede ser la autenticación de usuarios, encriptación y
cifrado de datos, IPSec, entre otras.
Para determinar cómo dirigir el tráfico, se utiliza la ruta más específica de su tabla de
ruteo que coincida con el tráfico en cuestión (coincidencia del prefijo más largo). Si la
tabla de enrutamiento tiene rutas superpuestas o coincidentes, se aplican las siguientes
reglas:
En caso de que las rutas propagadas de una conexión de sitio a sitio VPN se
superpongan con la ruta local de su VPC, se preferirá la ruta local aunque las rutas
propagadas sean más específicas.
Si las rutas propagadas desde una conexión de sitio a sitio VPN tiene el mismo
bloque de enrutamiento entre dominio sin clases (CIDR) de destino que otras utas
estáticas (cuando no sea posible aplicar la coincidencia del prefijo más largo) se dará
prioridad a las rutas estáticas cuyos objetivos sean Gateway de Internet Gateway
NAT, una Gateway de tránsito o puntos e enlace de la VPC de Gateway.
6
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Destino Objetivo
10.0.0.0/16 Local
172.21.0.0/24 Vgw-112233445566778899(propagada)
172.31.0.0/24 Igw-12345678901234567(estática)
Solo los prefijos IP que la Gateway privada virtual conozca, ya sea mediante anuncios de
BGP o por introducción de una ruta estática, podrán recibir tráfico de su VPC. La
Gateway privada virtual no direcciona el tráfico cuyo destino no sea el mencionado en los
anuncios de BGP recibidos, las entradas de ruta estática o los CIDR de VPC asociados.
Las Gateway privadas virtual no admiten tráfico IPv6.
Rutas estáticas añadidas manualmente para una conexión de sitio a sitio VPN.
Para los prefijos que coinciden en los que cada conexión de sitio a sitio VPN
utiliza BGP, se compara la ruta AS PATH, y se prefiere el prefijo con la ruta AS
PATH más corta.
7
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Una conexión de sitio a sitio VPN consta de dos túneles de VPN entre un dispositivo de
Gateway de cliente y una Gateway de tránsito.
NOTA: Para asegurarse de que se prefiere el túnel activo con el MED inferior, asegúrese
de que su dispositivo de Gateway de cliente utilice los valores de peso y preferencia local
para ambos túneles (el peso y la preferencia local tienen mayor prioridad que el MED). [3]
Existen varios criterios por los cuales regirse a la hora de clasificar un a VPN; según el
tipo de conexión (sitio a sitio o punto-punto), por capa en la que trabaja, por arquitectura,
entre otras.
8
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Basadas en firewalls: De la misma forma en que las VPN trabaja en los niveles más
bajos del modelo OSI, el firewall actuará de la misma manera.
Acceso remoto: Uno de los modelos más usados en la actualidad que consiste en
usuarios o proveedores conectados a la central desde sitios remotos (oficinas,
comercios, casas, hoteles, aviones, entre otros) utilizando la infraestructura de
Internet para acceder a su red. Desde el momento en que son identificados y
autenticados poseen acceso parecido al que tienen dentro de la red de la empresa.
Punto a punto: Se utilizan para conectar ordenadores remotos con el servidor central.
El servidor VPN, conectado permanentemente a Internet, acepta, a través de esta
conexión, aquellas solicitudes provenientes de los sitios identificados y establece el
túnel VPN.
Hoy en día existen varios protocolos con modelos de funcionamiento diferentes, pero
todos con el mismo propósito de encriptar el tráfico para hacer el canal más seguro y
confiable.
Los protocolos de IPSec actúan en la capa 3 del modelo OSI (capa red), por lo que hace
que sea más flexible, ya que puede utilizarse para proteger los protocolos de la capa 4,
incluyendo TCP y UDP. Una ventaja que tiene IPSec es que para que una aplicación
10
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
pueda utilizar IPSec no hay que hacer ningún cambio, en cambio en protocolos de capas
superiores, las aplicaciones deben modificar su código.
Modo de funcionamiento:
Modo de transporte: Solo la carga útil (los datos que se transfieren) del paquete IP es
cifrado y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se
cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autentificación (AH),
las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de
transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden
ser modificadas de ninguna manera. El modo transporte se utiliza de ordenador a
ordenador.
El propósito de este modo es establecer una comunicación segura punto a punto, entre
dos hosts y sobre un canal inseguro.
Modo Túnel: Todo el paquete IP (datos más cabecera del mensaje) es cifrado y/o
autenticado. Debe ser encapsulado en un nuevo paquete IP para que funcione el
enrutamiento. El modo túnel se utiliza para comunicaciones de red a red o
comunicaciones de dispositivo a red u dispositivo a dispositivo sobre Internet. El propósito
de este modo es establecer una comunicación segura entre dos redes remotas sobre un
canal inseguro. [5]
11
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
L2TP [REF5.4] fue creado como el sucesor de PPTP y L2F. Las dos compañías
abanderadas de cada uno de estos protocolos, Microsoft por PPTP y Cisco por L2F,
acordaron trabajar en conjunto para la creación de un único protocolo de capa 2 y así
lograr su estandarización por parte de la IETF. Como PPTP, L2F fue diseñado como un
protocolo de tunelización usando para ello encapsulamiento de cabeceras. Una de las
grandes diferencias entre PPTP y L2F, es que la tunelización de este último no depende
de IP y GRE, permitiéndole trabajar con otros medios físicos por ejemplo Frame Relay.
Paralelamente al diseño de PPTP, L2F utilizó PPP para autenticación de usuarios
accediendo vía telefónica conmutada, pero también incluyó soporte para TACACS+ y
Radius. Otra gran diferencia de L2F con respecto a PPTP es que permite que un único
túnel soporte más de una conexión. Hay dos niveles de autenticación del usuario: primero,
por el ISP antes de crear el túnel; segundo, cuando la conexión está configurada y la
autenticación la realiza el gateway corporativo. Todas las anteriores características de
L2F han sido transportadas a L2TP. Como PPTP, L2TP utiliza la funcionalidad de PPP
para proveer acceso conmutado que puede ser tunelizado a través de Internet a un sitio
destino. Sin embargo, como se ha mencionado anteriormente, L2TP define su propio
protocolo de tunelamiento basado en L2F permitiendo transporte sobre una amplia
variedad de medios de empaquetamiento tales como X.25, Frame Relay y ATM. Dado
que L2TP es un protocolo de capa 2, ofrece a los usuarios la misma flexibilidad de PPTP
de soportar otros protocolos aparte de IP, tales como IPX y NETBEUI. Puesto que L2TP
usa PPTP en enlaces conmutados, incluye mecanismos de autenticación nativos de PPP
como PAP y CHAP. Microsoft incluye L2TP a partir del sistema operativo Windows 2000,
ya que las mejoras de L2TP con respecto a PPTP saltan a la vista. Como muestra la
figura Figura 1: Túnel del protocolo L2TP. [6]
12
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
El L2TP sobre las redes IP utiliza UDP y una serie de mensajes del L2TP para el
mantenimiento del túnel. El L2TP también utiliza UDP para enviar tramas del PPP
encapsuladas del L2TP como los datos enviados por el túnel. Se pueden encriptar y/o
comprimir las cargas útiles de las tramas PPP encapsuladas. La siguiente figura muestra
la forma en que se ensambla un paquete L2TP antes de su transmisión. La Error!
Reference source not found. muestra un cliente de marcación que crea un túnel a través
de una red. El diseño final de trama muestra la encapsulación para un cliente de
marcación (controlador de dispositivos PPP). La encapsulación supone el L2TP sobre IP.
13
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
conexión VPN con PPTP es tan segura como en una LAN de un sitio corporativo. Como
muestra la figura Figura 2: Conexión VPN con PPTP.. [7]
Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP para mantenimiento
del túnel y tramas del PPP encapsuladas de Encapsulación de Enrutamiento Genérico
(GRE) para datos de túnel (puerto 1723). Se pueden encriptar y/o comprimir las cargas
útiles de las tramas del PPP encapsulado. La Figura 3: Trama final. muestra la forma en
que se ensambla el paquete del PPTP antes de la transmisión. El dibujo muestra un
cliente de marcación que crea un túnel a través de una red. El diseño de la trama final
muestra la encapsulación para un cliente de marcación (controlador de dispositivo PPP).
14
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Está especialmente diseñado para las aplicaciones de acceso remoto de VPN, pero
también soporta las otras aplicaciones de VPN. PPTP soporta encriptación de datos y la
compresión de estos paquetes. Además usa una forma de GRE (Protocolo de
Encapsulación de Enrutamiento General). En el entorno de un acceso remoto VPN
usando PPTP a través de Internet, los túneles VPN son creados en dos pasos: 1. El
cliente PPTP conecta a su ISP usando PPP dial - up (mediante modem tradicional o
ISDN). 2. Por medio del dispositivo intermedio ya mencionado, PPTP crea una conexión
de control TCP entre el cliente VPN y el servidor VPN para establecer un túnel (PPTP usa
el puerto 1723 para estas conexiones). Por otro lado, PPTP soporta conexiones VPN a
través de una LAN, por lo que no es necesario conectar a un ISP. Los túneles son
creados directamente. Una vez que el túnel VPN está establecido, PPTP soporta dos
tipos de flujo de información:
Mensajes de control para manejar y/o eliminar la conexión VPN. Este tipo de
mensajes pasan directamente entre el cliente VPN y el servidor.
Paquetes de datos que pasan a través del túnel, hacia o desde el cliente VPN.
Volviendo al tema del control de conexión en PPTP, una vez que la conexión TCP
está establecida, PPTP utiliza una serie de mensajes de control para mantener la
conexión VPN. Algunos de estos mensajes son los siguientes:
Start Control Connection Request: Inicia la configuración de la sesión VPN; puede ser
enviado tanto por el cliente como por el servidor.
Start Control Connection Reply: Enviado en respuesta a (1). Contiene información
que indica el éxito o el fracaso de la operación de configuración y del número de
versión del protocolo.
Stop Control Connection Request: Petición de cerrar la conexión de control. En
cuanto a la seguridad en PPTP, soporta autenticación (usa para ello protocolos
basados en PPP, tales como EAP, CHAP y PAP), encriptación y filtrado de paquetes.
PPTP depende de la funcionalidad de PPP para autentificar a los usuarios y mantener
la conexión remota dial up y para encapsular y encriptar los paquetes IP, IPX o
NeTBEUI pero se encarga directamente del mantenimiento del túnel VPN y de
transmitir los datos a través del túnel. PPTP además tiene algunas características
adicionales de seguridad aparte de la que provee PPP. La popularidad de PPTP se
15
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
debe en gran parte a Microsoft, ya que los clientes PPTP están disponibles en
Windows.
Como PPTP, L2F fue diseñado, por Cisco, para establecer túneles de tráfico desde
usuarios remotos hasta sus sedes corporativas. La especificación para el protocolo L2F
fue publicada por el RFC 2341. La principal diferencia entre PPTP y L2F es que, como el
establecimiento de túneles de L2F no depende de IP, es capaz de trabajar directamente
con otros medios, como Frame Relay o ATM.
Utiliza el protocolo PPP para la autenticación entre usuarios remotos por lo que
implementa los protocolos de autenticación PAP y CHAP. Pero L2F también implementa
otras técnicas de autenticación como TACACS+ y RADIUS. Una característica que difiere
L2F de PPTP es que L2F permite más de una conexión por túnel.
En L2F se utilizan dos niveles de autenticación, primero por parte del ISP (proveedor de
servicio de red), anterior al establecimiento del túnel, y posteriormente, cuando se ha
establecido la conexión con la pasarela corporativa. Como L2F es un protocolo de nivel de
enlace de datos según el modelo de referencia OSI, ofrece a los usuarios la misma
flexibilidad que PPTP para manejar protocolos distintos a IP, como IPX. [7]
Primeramente es necesario reconocer que SSL es el predecesor del protocolo TLS, por
lo que básicamente es el mismo principio de funcionamiento. Se trata de protocolos
criptográficos que proporcionan privacidad e integridad entre dos puntos en una red de
comunicación, garantizando que solo los emisores y receptores sean los que tengan
acceso a la información de manera íntegra.
Funcionamiento
Se utiliza tanto criptografía asimétrica como simétrica. La primera se utiliza para realizar
el intercambio de las claves, que a su vez serán usadas para cifrar la comunicación
mediante un algoritmo simétrico.
En el caso de los sitios web, para el funcionamiento de este protocolo, lo que se necesita
utilizar es un certificado SSL. El servidor web tendrá instalado uno y cuando un cliente
intente acceder a él, le remitirá el mismo con la clave pública del servidor, para enviar de
esta forma la clave que se usará para realizar la conexión de manera segura mediante un
cifrado simétrico.
- El servidor donde está alojado el sitio web, envía (si lo tiene) el certificado que
incluye la clave pública del servidor. En caso de no tener certificado SSL, se
producirá un error.
- Llegados a este punto, el navegador generará una clave simétrica, que será
cifrada mediante la clave pública del servidor para ser enviada de manera segura
al mismo.
Es un protocolo desarrollado por Cisco System para crear una conexión virtual privada
entre dos puntos, y los datos son encapsulados para poder transmitirlos a través de la
conexión virtual a la cual se conoce como túnel.
17
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Los túneles GRE son utilizados también para poder establecer una comunicación a
través de redes donde no se tiene el control, o cierto tráfico no es soportado, o se posee
algún tipo de restricción en la red, un caso no muy lejano sería: Internet. Esto no quiere
decir que solo se puedan crear túneles privados a través de redes públicas, al contrario,
GRE es versátil. [7]
Funcionamiento
GRE utiliza el protocolo IP como el protocolo de transporte. Trabaja según tres protocolos:
- Protocolo pasajero
- Protocolo carrier
- Protocolo de transporte
Este es un protocolo normalizado por la IETF como RFC 2451 y RFC 2452. SSH se basa
en TELNET pero le añade la seguridad que TELNET carece.
El protocolo SSH se utiliza para tunelizar tráfico confidencial sobre Internet de una manera
segura. Por ejemplo, un servidor de ficheros puede compartir archivos usando el protocolo
SMB (Server Message Block), cuyos datos no viajan cifrados. Esto permitiría que una
tercera parte, que tuviera acceso a la conexión (algo posible si las comunicaciones se
18
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Además de la conexión a otras máquinas, SSH permite copiar datos de forma segura
(tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para
no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra
aplicación por un canal seguro tunelizado mediante SSH.
Características:
Encriptación de Datos: SSH utiliza un método seguro de encriptación de 128 bits al enviar
y recibir datos, lo cual hace que sea muy difícil de descifrar y leer el contenido transmitido
bajo un área no segura.
Operabilidad: El uso de SSH es muy simple, sólo se realiza una conexión mediante una
aplicación cliente hacia el servidor, una vez autenticado, el cliente toma completamente el
control del servidor remoto.
Reenvío por X11: Mediante ´este protocolo es posible el tráfico seguro de sesiones
remotas bajo entornos gráficos X.
19
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Funcionamiento:
3. El servidor, que tiene en su poder dos claves (una privada y otra pública), manda su
clave pública al cliente.
4. Cuando el cliente recibe la clave enviada por el servidor, la compara con la que tiene
almacenada para verificar su autenticidad. El protocolo SSH exige que el cliente confirme
la primera vez.
5. Con la clave pública del servidor en su poder, el cliente genera una clave de sesión
aleatoria, creando un mensaje que contiene esa clave y el algoritmo seleccionado para la
encriptación de la información. Toda esa información es enviada al servidor haciendo uso
de la clave pública que envió en un paso anterior de forma cifrada.
SSH Tunneling
El protocolo SSH (secures hell) se utiliza con frecuencia para tunelizar tráfico confidencial
sobre internet de una manera segura. Por ejemplo, un servidor de ficheros puede
compartir archivos usando el protocolo SMB (Server Message Block), cuyos datos no
viajan cifrados. Esto permitiría que una tercera parte, que tuviera acceso a la conexión
(algo posible si las comunicaciones se realizan en Internet) pudiera examinar a conciencia
el contenido de cada fichero trasmitido. Para poder montar el sistema de archivo de forma
segura, se establece una conexión mediante un túnel SSH que encamina todo el tráfico
SMB al servidor de archivos dentro de una conexión cifrada SSH. Aunque el protocolo
SMB sigue siendo inseguro, al viajar dentro de una conexión cifrada se impide el acceso
al mismo.
20
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Fase1: Establecer el enlace del PPP: Utiliza el Protocolo de control de enlace (LCP) para
establecer, mantener y terminar la conexión física.
Fase 3: Control de rellamado del PPP: La implementación de Microsoft del PPP incluye
una Fase opcional de control de rellamado. Esta fase utiliza el Protocolo de control de
rellamado (CBCP) inmediatamente después de la fase de autenticación. Si se configura
para rellamado, después de la autenticación, se desconectan tanto el cliente remoto como
el NAS.
Fase 4: Invocar los protocolos a nivel de red: Una vez que se hayan terminado las fases
previas, PPP invoca los distintos Protocolos de Control de Red (NCPs) que se
seleccionaron durante la fase de establecimiento de enlace (Fase1) para configurar los
21
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de
Control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación.
Fase de transferencia de datos: Una vez que se han terminado las cuatro fases de
negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada paquete
de datos transmitido se envuelve en un encabezado del PPP el cual quita el sistema
receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4,
los datos se comprimirán antes de la transmisión. Si se seleccionaron y se negociaron de
manera similar la encriptación de datos, los datos (comprimidos opcionalmente) se
encriptarán antes de la transmisión. [7]
1.2.9 OpenVPN
OpenVPN trabaja en las capa de enlace, capa de red un capa de aplicación del modelo
OSI; OpenVPN ofrece una solución más sencilla que IPSec para el transporte de datos.
Por un lado el túnel OpenVPN permite configurar puerto de conexión TCP o UDP u
número de puerto, que para clientes VPN va muy bien en tema de conexiones desde
22
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
portales. Suelen capar puertos UDP o TCP diferentes del 80 y 443. Soluciones
propietarias como Forticlient o soluciones de CISCO también permiten configurar el puerto
de conexión, aunque son algo más complicados que el OpenVPN.
Por otro lado, el túnel IPSec LAN-to-LAN utiliza puertos WellKnown (500 y 4500 UDP). A
veces hay pequeños temas de incompatibilidad en IPSec entre fabricantes, cosa que no
ocurre en OpenVPN. No obstante, en OpenVPN a veces es difícil establecer conexiones
por versiones, opciones obsoletas o bien por la configuración entre los dos extremos.[10]
1.2.10 SoftEther:
Se crea fácilmente VPN de acceso remoto y VPN de sitio a sitio, como una expansión de
la VPN L2 basada en Ethernet. También permite crear una VPN tradicional basada en L3
con enrutamiento IP.
Los softwares para Windows 10 más recomendados para implementar las VPN:
Cyber Ghost: IPv6 Leak Protection, protección contra fugas DNS, Firewall NAT. IP
Sharing, más de 1800 servidores a su disposición, 30 días de garantía de devolución
de dinero. (soporta OpenVPN, IPSec, L2TP y PPTP nativos).
NordVPN: Permitir el streaming HD sin ralentizar la conexión, más de 3000 servidores
a su disposición, 6 uso del dispositivo para 1 sola licencia, doble protección de datos.
VPN libre de Hostpot Sheild: Es utilizado por más de 350 millones de usuarios en el
mundo, posee todos los servidores VPN que utiliza con velocidades VPN más rápidas
23
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
24
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
En este modelo, una aplicación envía datos cada vez que lo requiera, y en cualquier
cantidad, sin solicitar permiso ni informar inicialmente a la red. En este servicio, la red
envía los datos si puede, sin asegurar nada respecto a la confiabilidad, rendimiento ni
retardos. El principal problema de este modelo se presenta al tener una ráfaga de
paquetes dentro de uno de los múltiples flujos de datos que se manejan, puesto que ésta
afectará a todos los demás flujos retardando su transmisión. Es decir, que el tiempo de
llegada de los paquetes de un flujo puede verse afectado por otros flujos.
Este modelo de QoS propuesto por la IETF3 se diferencia del modelo de servicios
integrados en que las aplicaciones no informan explícitamente a la red antes de enviar los
25
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
datos, sino que ésta trata de proveer un tipo particular de servicio basada en la QoS
especificada para cada paquete. Dicha especificación puede realizarse por ejemplo al
seleccionar los bits de precedencia IP, o con las direcciones fuente o destino, etc. La red
utiliza la QoS especificada para clasificar, marcar, dar forma, aplicar políticas de tráfico y
desarrollar colas inteligentes.
Control de Admisión
El control de admisión determina si una petición de conexión puede ser llevada a cabo
por la red. Las principales consideraciones tras esta decisión son la carga del tráfico
actual, la calidad de servicio que se puede lograr, el perfil de tráfico pedido, la calidad de
servicio solicitada, el precio, entre otras. Es por tanto una herramienta resultante de la
aplicación de las políticas de calidad de servicio definidas en la compañía proveedora de
servicios de comunicación, y por tanto requiere de una correcta monitorización del
sistema de forma que se pueda visualizar en cada momento el estado del mismo para
poder aplicar la política de admisión definida.
Las redes LAN y WAN transportan diferentes tipos de tráfico en cuanto a longitud de
paquetes, requerimientos de ancho de banda, sensibilidad a retardos, entre otras. Es por
esto que se han diseñado mecanismos que trabajan a nivel de la capa de enlace, que al
ser implementados junto con los algoritmos de colas y de regulación de tráfico, mejoran la
eficiencia y predictibilidad de las aplicaciones.
26
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Esta herramienta fue diseñada especialmente para enlaces de poca velocidad en los que
el retardo al serializar es significativo. LFI es equivalente al borrador del IETF denominado
Multiclass Extensions to Multilink PPP (MCML).
Otro mecanismo que mejora la eficiencia de los enlaces consiste en la compresión de las
cabeceras de los paquetes RTP (Real-Time Protocol) de forma que se evite el consumo
innecesario del ancho de banda disponible. El Protocolo de Transporte en Tiempo Real es
un protocolo host-to-host usado para llevar las nuevas aplicaciones multimedia,
incluyendo audio y vídeo, sobre redes IP.
Cambiar a conexión por cable: Siempre que sea posible, lo ideal es utilizar la conexión
por cable en vez de WiFi. Incluso puede ser positivo conectar los equipos que sean
posibles por cable, como un ordenador, para así descargar la zona WiFi para aquellos
que solamente puedan conectarse de manera inalámbrica.
Usar VPN en el dispositivo en vez de en el router: Es aconsejable utilizar un programa
VPN en nuestro dispositivo, en vez de en el router. Así se tienen mejores resultados
en cuanto a velocidad y evitar problemas de conexión.
Alternar entre los diferentes servidores: Normalmente los principales servicios VPN
cuentan con gran cantidad de servidores disponibles.
Acelerar servicios VPN: En ocasiones lo más simple es lo más efectivo. Puede ocurrir
que el programa esté creando algún tipo de conflicto. Esto podría generar en una mala
velocidad de Internet. Una buena idea es reiniciar el servicio. Apagar el VPN y volver a
encenderlo. De esta manera es posible que el servicio mejore.
27
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Una de las cosas que se puede revisar es la fragmentación de paquetes sobre túnel de
VPN. Si tus paquetes son muy grandes y se agrega el encabezado de IPSec lo más
seguro es que se requiera fragmentar dichos paquetes en algún punto del camino, lo que
contribuye a la demora. Si, por el contrario, se mandan paquetes más chicos no se
requiere fragmentación, pero ahí depende de las condiciones de la red y los equipos para
ver si el hecho de mandar más paquetes para una misma conversación no afecta
también.
Al final todo va a depender siempre del ancho de banda disponible, hay que tomar en
cuenta que si tienes varios flujos todos están en competencia por el mismo ancho de
banda que por default se distribuye con un método FIFO, el primer paquete que llega es el
primero que sale. Si dicho paquete es muy grande esto causará que los paquetes que le
siguen tarden en salir.
1.5 Selección de los protocolos que más se adecuan a las necesidades del
teletrabajo.
Para cumplir con los objetivos de este trabajo hay que elegir un protocolo VPN adecuado
al teletrabajo, que permita un acceso transparente a la red corporativa de los trabajadores
desde fuera de la misma. Una VPN correctamente seleccionada puede evitar cualquier
bloqueo o restricción en el servicio. También necesita proporcionar una conexión segura,
anónima, y de excelente calidad.
Servidores en países donde los servicios a utilizar no están restringidos, de forma que
se puedan implementar como parte de la red LAN empresarial.
Excelente encriptación con características de seguridad adicionales como un
interruptor de apagado.
28
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Mejor posicionamiento.
Y como desventaja:
Más lento que OpenVPN
Algunos firewalls pueden ser bloqueados por este protocolo
Establece VPN sobre el protocolo ICMP y DNS, burlando los dispositivos de seguridad
que se encuentran en la red.
Ofrece resistencia a la alta restricción de los firewalls.
Soporta VPN capa 2 y capa 3.
Posee diversos métodos de encriptación, tales como AES 256-bits y RSA 4096.
29
Capítulo 1. Fundamentos de las Redes Privadas Virtuales (VPN)
Brinda características de seguridad, tales como logging y firewall internos dentro del
túnel VPN.
Ofrece un throughput de 1 Gbps, logrando tal rendimiento con poco consumo de
memoria y CPU.
Su descarga es gratis, además se logra una navegación a través de internet de
manera segura y gratuita para Windows.
La Tabla 2: Comparativa de los protocolos VPN. Muestra la comparativa de los protocolos
VPN.
30
Capítulo 2. Soluciones para implementar VPN
2.1 OpenVPN.
31
Capítulo 2. Soluciones para implementar VPN
Si no está con TCP y UDP, son protocolos de capa de transporte y se utilizan para
transmitir datos en línea. TCP es más estable ya que ofrece funciones de corrección de
errores (cuando se envía un paquete de red, TCP espera la confirmación antes de
enviarlo nuevamente o enviar un nuevo paquete). UDP no realiza corrección de errores, lo
que lo hace un poco menos estable, pero mucho más rápido.
OpenVPN funciona mejor que UDP, por lo que el Servidor de Acceso de OpenVPN
primero intenta establecer conexiones TCP. La mayoría de los proveedores de VPN
también ofrecen OpenVPN sobre UDP por defecto.
Al montar un servidor OpenVPN, también se puede tener acceso a todos los recursos
compartidos que se disponga en la entidad aun estando fuera de los límites que abarca la
red LAN de dicha entidad, ya sea correo, internet, carpetas compartidas, entre otras.
32
Capítulo 2. Soluciones para implementar VPN
En general, OpenVPN usa encriptación OpenSSL de 256 bits. Para fortalecer aún más
la seguridad de la conexión, OpenVPN puede utilizar los cifrados AES, Camelia,
3DES, CAST-128 o Blowfish.
OpenVPN admite la mejora de los procesos de inicio de sesión y autenticación con el
uso de complementos y scripts de terceros.
Si bien OpenVPN no tiene soporte para L2TP, IPSec y PPTP, usa su propio protocolo
personalizado basado en TLS y SSL.
Los clientes pueden conectarse a servidores más allá del servidor OpenVPN, ya que
ofrece soporte para una configuración de subred privada.
Para proteger a los usuarios deñas vulnerabilidades de desbordamiento del búffer en
implementaciones TLS/SSL, ataques DoS, escaneo de puertos e inundación de
puertos, OpenVPN confía en tls-auth para la verificación de firmas HMAC. OpenVPN
también está programado para eliminar privilegios si es necesario.
OpenVPN se ejecuta en el espacio del usuario en lugar del espacio del kernel.
Es uno de los protocolos VPN más seguro en este momento. La mayoría de los
proveedores de VPN y expertos en seguridad, recomiendan adherirse a OpenVPN.
Además la plataforma openvpn.net también tiene una gran lista de lo que los usuarios
pueden haber para asegurar aún más sus conexiones después de configurar OpenVPN
en sus dispositivos. Y dado que es un protocolo de código abierto, es mucho más
confiable ya que puede verificar el código usted mismo para asegurarse de que todo esté
en orden.
OpenVPN utiliza claves de cifrado para proteger los datos durante la comunicación,
utilizando dos métodos: de claves estáticas precompartidas y por certificados SSL/TLS +
RSA. El primero de ellos instala una clave en todos los clientes que pretendan acceder al
servidor VPN, es un método bastante sencillo. El segundo método, es la opción más
segura, basándose en dos claves públicas y dos privadas basadas en OpenSSL.
33
Capítulo 2. Soluciones para implementar VPN
certificados SSL/TLS + RSA: este método es el más seguro de los dos. En el sistema,
cada servidor y cliente tiene dos claves, una pública y otra privada. La clave pública
sirve para cifrar los datos, por lo que se enviará a todos los clientes que quieran
conectarse, mientras que la clave privada es la que los descifrará. De esta forma solo
se necesita una clave para conseguir hacer la comunicación. Esta clave se conocen
como certificados SSL/TLS de 256 bit por estar basado en el software OpenSSL que
siempre viene instalado en los sistemas operativos. Estos certificados se pueden
generar propiamente al crear una VPN mediante algoritmos matemáticos. Solamente
tendrán acceso a la VPN aquellos nodos con ambos certificados firmados.
claves estáticas precompartidas: también llamados sistema de cifrado simétrico por
tener una clave de cifrado en los dos extremos de la conexión. El método es simple,
aquellos nodos que tengan la clave podrán descifrar el tráfico de la red, siendo un
método considerado inseguro, ya que si algún hacker obtiene dicha clave podrá ver
todo el contenido de la red.
34
Capítulo 2. Soluciones para implementar VPN
TCP: Es orientado a la conexión, así que se debe abrir la comunicación antes de enviar,
asegurando que los datos van a llegar por tener corrección de errores, dado esto es más
lento que UDP.
Para poder conectar el servidor OpenVPN con el exterior y así recibir conexiones de
clientes fuera de una LAN real, se necesita abrir un total de tres puertos normalmente.
OpenVPN utiliza el puerto 194 UDP, así como los protocolos UDP 500 y UDP 4500 para
IPSec.
En general se puede obtener velocidades más rápidas si usa OpenVPN sobre UDP en
lugar de TCP.
Ventajas:
35
Capítulo 2. Soluciones para implementar VPN
Dado que OpenVPN puede usar tanto TCP como UDP, le ofrece más control sobre
sus conexiones.
Dado que OpenVPN puede usar tanto TCP como UDP, le ofrece más control sobre
sus conexiones.
OpenVPN se ejecuta en una gran cantidad de plataformas. Algunos ejemplos
incluyen Windows, macOS, iOS, Andriod, Linux, routers, FreeBSD, OpenBDS,
NetBDS y Solaris. OpenVPN tiene soporte para “Secreto perfecto hacia adelante” (lo
cual indica que el descubrimiento de las claves utilizadas actualmente no
comprometen la seguridad de las claves usadas con anterioridad. Por tanto la
seguridad de lo que se hizo usando claves antiguas persiste).
Desventajas:
La configuración manual del protocolo OpenVPN puede ser bastante difícil en algunas
plataformas.
A veces, puede encontrar caídas en las velocidades de conexión debido a su método
en el cifrado seguro.
OpenVPN requiere que se ejecuten aplicaciones de terceros.
Para configurar una conexión OpenVPN, necesitará una suscripción a un servicio VPN.
Si bien se puede configurar su propio servidor OpenVPN, es una implementación
compleja y la mayoría de tutoriales que existen solo cubren plataformas de Linux. En caso
de Windows es como se muestra en la Figura 7: Pasos para la instalación de OpenVPN.
36
Capítulo 2. Soluciones para implementar VPN
Una vez dentro de la página web, se descargan los siguientes dos ficheros:
Una vez instalado y listo para ejecutarse como administrador, solo queda añadir los otros
dos ficheros descargados anteriormente, en la carpeta del programa cuya ruta es
C:\Program Files\OpenVPN\config.
37
Capítulo 2. Soluciones para implementar VPN
Luego se pulsa el clic derecho en dicho ícono y aparecerá un menú con varias opciones,
y se procede a seleccionar la opción connect.
El cliente OpenVPN GUI, solicitará el usuario y la clave, tal como se muestra en la Figura
8: Autenticación del cliente OpenVPN.
38
Capítulo 2. Soluciones para implementar VPN
39
Capítulo 2. Soluciones para implementar VPN
40
Capítulo 2. Soluciones para implementar VPN
En este apartado se genera el certificado público y la clave privada de la CA. Para ello se
va a hacer uso de los scripts proporcionados por OpenVPN que se encuentran en la
carpeta “easy-rsa” en la ruta donde se halla instalado OpenVPN. El procedimiento para
ejecutar dichos scripts en Windows y Linux es muy similar y se hacen mediante consola.
La única diferencia es el formato, ya que en Windows se trata de archivos con extensión
.bat, mientras que en Linux se trata de archivos de shell.
41
Capítulo 2. Soluciones para implementar VPN
Una vez se tiene el fichero llamado vars (vars.bat en Windows), se edita. Entre los
parámetros que a modificar se encuentran la ruta del fichero donde se crearán las claves
y certificados, el tamaño de las claves privadas (del servidor, cliente y CA) para su uso en
el algoritmo RSA, y los valores por defecto de algunos campos de los certificados tales
como KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG y KEY_EMAIL. Tras
haberlo editado se ejecuta el script.
Por último solo queda ejecutar el script build-ca (build-ca.bat en Windows) para generarla
clave privada y el certificado de la Autoridad Certificadora (CA), como se muestra en la
Figura 11: Salida de consola de la creación del certificado/clave de la CA..
42
Capítulo 2. Soluciones para implementar VPN
Los pasos para crear la clave privada y el certificado público del servidor son similares a
los pasos seguidos para crear el mismo par para la CA. Primero se ha de asegurar que se
han creado y asignado las variables que se utilizarán en el resto de scripts. Para ello se
vuelve a ejecutar el script vars (vars.bat en Windows). Para crear el par clave/certificado
del servidor se ejecuta el script build-key-server (build-key-server.baten Windows).
Como muestra la Figura 2.4, se ha creado, en una máquina con Linux, el certificado/clave
del servidor y se ha introducido, como campo “common name” del certificado, el nombre
“server”. Tras completar todos los campos del certificado del servidor se firma el
certificado de la CA, respondiendo afirmativo.
43
Capítulo 2. Soluciones para implementar VPN
Para crear la clave privada y el certificado público de los clientes se hacen casi los
mismos pasos que se han realizado para el servidor y para la Autoridad Certificadora
(CA). De nuevo, se ha de ejecutar el script vars (vars.bat en Windows) para crear y
asignar las variables que van a hacer falta para poder ejecutar el resto de scripts. En este
caso, el script para crear la clave y el certificado del cliente se utiliza el script build-key (o
build-key.bat en Windows).
PEM. El nombre del fichero proviene de su número de serie del certificado, el cual es 02.
44
Capítulo 2. Soluciones para implementar VPN
client.csr: este fichero sirve para poder crear el certificado del cliente en otramáquina
que pueda crearlo y firmarlo, ya que este fichero tiene toda la información que le hace
falta.
En OpenVPN existen técnicas de defensa contra estos tipos de ataques como los que se
explican, brevemente, a continuación:
Firmar los certificados del servidor con una CA y los certificados del cliente conuna CA
diferente. La directiva “--ca” del fichero de configuración del cliente deberá hacer
referencia al fichero de la CA del servidor, mientras que la directiva “--ca” del fichero
de configuración del servidor deberá de hacer referencia al fichero de la CA del
cliente.
2.2 SoftEther.
46
Capítulo 2. Soluciones para implementar VPN
Es considerada una opción más rápida que OpenVPn y además hay que indicar que es
compatible con Microsoft SSTP VPN para las diferentes versiones de Windows. Cuenta
con un protocolo propio: SSL-VPN. Está optimizado totalmente para esta herramienta, por
lo que ofrece un rendimiento muy rápido, baja latencia y resistencia al firewall.
SoftEther tiene una gran compatibilidad con los productos VPN más populares de la
actualidad. Tiene compatibilidad con OpenVPN, L2TP, IPSec, EtherIP, L2TPv3, Cisco
VPN Routers y MS-SSTP VPN Clients. En la actualidad es el único en el mundo que
admite SSL-VPN, OpenVPN, L2TP, EtherIP, L2Pv3 e IPSec como único software VPN.
47
Capítulo 2. Soluciones para implementar VPN
Puede construir fácilmente una conexión de VPN tanto como de acceso remoto, de
sitio a sitio, como también expansión VPN L2 basada en Ethernet.
Es un software libre y de código abierto de muy fácil instalación y gestión. Su cliente VPN
protege su identidad, ya que el SoftEther VPN Client levanta en la máquina un nuevo
adaptador de red con un direccionamiento interno e independiente a la IP de la tarjeta de
red física. Esta IP es asignada por el DHCP que posee el servidor VPN, el cual constituye
el DNS y el Gateway de la nueva subred interna creada.
Establece VPN sobre el protocolo ICMP y DNS, burlando los dispositivos de seguridad
que se encuentran en la red.
Ofrece resistencia a la alta restricción de los firewalls.
Soporta VPN capa 2 y capa 3.
Posee diversos métodos de encriptación, tales como AES 256-bits y RSA 4096.
Brinda características de seguridad, tales como autenticación por logueo y cortafuegos
internos dentro del túnel VPN.
Ofrece un throughput de 1 Gbps, logrando tal rendimiento con poco consumo de
memoria y CPU.
Su descarga es gratis, además se logra una navegación a través de internet de
manera segura y gratuita para Windows.
Con LAN que usa las normas de Ethernet comunes (IEEE802.3) como 100Base-TX
convencional o 1000Base-T, las computadoras múltiples se equipan con el equipo de
comunicaciones (el adaptador de la red) eso apoya Ethernet para que se conecte por la
conexión de estrella a Cubo cambiante central (también llamado "capa 2 que cambia") y
se comunica libremente entre sí.
Ethernet puede poseer computadoras múltiples que usted puede comunicar entre sí. Aquí
sin embargo las computadoras usan un adaptador de la red (también llamado "LAN Card")
qué es un dispositivo especial para conectar a Ethernet, y conecta físicamente a Ethernet.
Dirección MAC
Las computadoras que participan en Ethernet deben comunicar con IDs para impedirles
reproducirlos. Cada adaptador de la red se le ha asignado un ID a un único 48-bit. Estos
48-bit ID se envía como "MAC de origen". Como una regla, las MAC se dirigen al
adaptador de la red físico al cual se ha asignado, no se reproducirían las computadoras
en cualquier parte del mundo (en el caso de adaptador de red de software como SoftEther
VPN el Adaptador de la Red Virtual, un algoritmo conveniente con que la posibilidad de
dirección de MAC que realmente se reproduce es sumamente baja se genera para
prevenir la duplicación). Los Paquetes de comunicación (Ethernet Frames) Flujo a través
de Ethernet
Los paquetes de comunicación que fluyen a través de Ethernet normalmente son llamado
"Ethernet idea" o "MAC idean los paquetes de Ethernet" (en este manual ellos son
uniformemente llamado "Ethernet Frame") los marcos de Ethernet contienen varios títulos
y los datos que realmente van a ser transmitido (la carga útil). Lo siguiente cuatro artículos
son los más importantes de éstos.
49
Capítulo 2. Soluciones para implementar VPN
El destino MAC se dirigen (48 bit) es un campo que contiene la dirección de MAC que
recupera indicando a que computadora Ethernet Frame de la computadora que envía los
datos.
La fuente MAC que dirige (48 bit) es el campo que contiene la MAC que se dirige al
adaptador de la red de la computadora que envía los datos de Ethernet.
El tipo protocolar (16 bit) indica en un valor de 16-bit contenidos en Ethernet Frame (la
carga útil) usada en capa 3…. por ejemplo el valor es el 0x0800 para IP y 0x0806 para
ARP. En algunos casos el campo puede contener un valor que indica la longitud de la
carga útil en lugar del tipo protocolar, pero no se usa actualmente a menudo.
La carga útil (el máximo 1500 bytes) es el dato a ser transmitido usando Ethernet
realmente.
50
Capítulo 3. Implementación de la VPN
Una vez damos doble clic en el programa SoftEther VPN Server Manager, comienza la
instalación, y para completarla se siguen los siguientes pasos:
51
Capítulo 3. Implementación de la VPN
En la Figura 14: Ventana para seleccionar el modo de Software a instalar. se muestra para
seleccionar el componente del software que se desee instalar, como muestra la
siguiente figura seleccionamos la opción que está circulada con color negro, ya que
esta nos permite crear el servidor a la vez que configurarlo, luego le demos en
siguiente como indica en el círculo amarillo.
52
Capítulo 3. Implementación de la VPN
En la Figura 15: Ventana para aceptar las políticas del software. se muestra
seleccionamos agree, diciendo que estamos de acuerdo con las políticas del software,
y luego siguiente.
53
Capítulo 3. Implementación de la VPN
Luego esperamos unos minutos para que culmine el proceso de instalación, el cual
aparecerá tal y como se muestra en la Figura 17: Ventana de espera para la culminación
del proceso de instalación..
54
Capítulo 3. Implementación de la VPN
Con estos 7 pasos previos ya está lista la instalación de SoftEther VPN Server Manager,
automáticamente, después del paso 6 se abrirá la primera ventana de configuración del
servidor, donde seleccionamos la opción New Connecting Server y se abre una nueva
ventana la cual se muestra en la Figura 19: Ventana para poner los datos del servidor..
55
Capítulo 3. Implementación de la VPN
Figura 20: IP que nos provee el adaptador que tiene salida a internet, visto por el ejecutable bajo el
comando ipconfig.
Y la otra opción es dar clic derecho en el ícono del adaptador de red de la barra de tarea,
clic en abrir el centro de redes y recursos compartidos, clic en cambiar la configuración del
56
Capítulo 3. Implementación de la VPN
adaptador, clic derecho en el adaptador con el cual se está dando salida a internet, clic en
detalles y se mostrará una ventana donde indica el IP, tal como se muestra en la Figura
21: IP que nos provee el adaptador que tiene salida a interne, visto en centro de redes y recursos
compartidos.
Figura 21: IP que nos provee el adaptador que tiene salida a interne, visto en centro de redes y
recursos compartidos.
57
Capítulo 3. Implementación de la VPN
Después de los pasos anteriores, se abre una nueva ventana (es la que se muestra en la
Figura 24: Ventana donde aparece los servidores creados (en este caso 1 servidor llamado
VPN).) donde aparecerá el nombre del servidor y el Host name de este.
58
Capítulo 3. Implementación de la VPN
Figura 24: Ventana donde aparece los servidores creados (en este caso 1 servidor llamado VPN).
Damos clic en Connect y automáticamente se abre una nueva ventana para comenzar a
configurar con las opciones deseadas nuestro servidor:
59
Capítulo 3. Implementación de la VPN
2 En la Figura 26: Configuración del DNS Dinámico muestra el DNS Dinámico, el cual
el programa SoftEther VPN Server Manager genera uno aleatorio, pero si se
desea se puede cambiar y poner como nombre el que desea (en caso de
cambiarlo, se presionar el botón Set Above Hostname). También se puede
observar el IPv4 con el cual igualmente de forma aleatoria el programa asigna al
DNS Dinámico, en el caso del IPv6, en algunos países este está restringido para
este servidor.
60
Capítulo 3. Implementación de la VPN
3 En la Figura 27: Ventana para habilitar la función del servidor L2TP., se pueden
habilitar las funciones del servidor L2TP. Como se observa en la siguiente figura
se habilitan las dos primeras funciones y no la tercera, ya que se seleccionó el
Acceso Remoto y no la VPN sitio a sitio.
61
Capítulo 3. Implementación de la VPN
4 En la Figura 28: Ventana para habilitar o deshabilitar el VPN Azure. se muestra para
deshabilitar o habilitar el Azure, en este caso, se deshabilita, ya que la opción de
Azure permite conectar las redes locales a Azure (es como una nube para
Windows) a través de nuestra VPN, esta opción no se necesita para cumplir el
objetivo de este trabajo, por tanto se deshabilita. Y presionamos OK.
62
Capítulo 3. Implementación de la VPN
6 Se nos abre una ventana, la cual se muestra en la Figura 30: Ventana para rellenar
los datos del usuario. donde se puede rellenar los datos de usuarios, también se
observa que se puede seleccionar el tipo de autenticación del usuario, en caso de
seleccionar la autenticación por certificado, este programa permite crear
certificados, los cuales se guardan en la computadora del servidor, por lo que para
que el usuario correspondiente pueda autenticarse, es debido copiar estos
certificados a la PC del cliente, en este caso seleccionamos el tipo de
autenticación por contraseña, pues es más sencillo. Una vez rellenado los datos,
presionamos OK.
63
Capítulo 3. Implementación de la VPN
64
Capítulo 3. Implementación de la VPN
Con estos 7 pasos anteriores, ya está lista la configuración del servidor VPN. Por lo que,
se puede proceder a configurar el cliente en la PC del usuario.
Una vez copiado el programa de instalación de SoftEther VPN Client Manager en la PC
del usuario, se procede a su instalación:
65
Capítulo 3. Implementación de la VPN
2- Se abre una ventana, la cual se muestra en la Figura 33: Ventana para seleccionar
el tipo de componente de software a instalar. para seleccionar el tipo de componente
del software que se desea, en este caso seleccionamos el primero, ya que fue el
que se seleccionó en el servidor, además de que es el más sencillo.
66
Capítulo 3. Implementación de la VPN
67
Capítulo 3. Implementación de la VPN
68
Capítulo 3. Implementación de la VPN
5- Solo resta esperar unos minutos para que finalice la instalación del cliente, el cual
se indica en la barra verde, tal y como se muestra en la Figura 36: Ventana de
espera para la finalización del cliente.. Y cuando finalice presionamos Siguiente.
69
Capítulo 3. Implementación de la VPN
Con estos 6 pasos anteriores, ya está instalado SoftEther VPN Client Manager. Por lo
que se procede a la configuración de este.
Figura 38: Ventana para la configuración del cliente y ya creado el adaptador virtual llamado VPN
Client Adapter - VPN.
2- Una vez creado el adaptador virtual, damos doble clic en la VPN creada para
acceder a la configuración de esta y rellenarla con los datos del servidor. Y una
vez rellanada, presionamos el botón OK, la ventana de esta opción se muestra en
la Figura 39: Ventana para rellenar con los datos del servidor la VPN creada..
71
Capítulo 3. Implementación de la VPN
Figura 39: Ventana para rellenar con los datos del servidor la VPN creada.
Con estos dos pasos anteriores, ya se tiene configurado SoftEther VPN Client Manager
en la PC del usuario, por lo que ya se puede establecer la conexión con el servidor, como
se muestra en la Figura 40: Estableciendo conexión del cliente con el servidor..
72
Capítulo 3. Implementación de la VPN
73
Capítulo 3. Implementación de la VPN
Figura 42: Estado de conexión del cliente y el servidor y Byte y pauetes enviados y
recibidos.
74
Capítulo 3. Implementación de la VPN
Luego del lado del servidor, se puede analizar el estado de la conexión del cliente, como
se puede apreciar en la Figura 44, la conexión se realizó satisfactoriamente, además,
efectivamente dicho cliente se encuentra conectado al Hostname del servidor (el cual
configuramos previamente) 172.20.10.2, el mismo puerto de escucha 443.
75
Capítulo 3. Implementación de la VPN
Figura 44: Prueba en tiempo real del estado de conexión del cliente y el servidor
76
Capítulo 3. Implementación de la VPN
Figura 45: El adaptador virtual creado por el programa del cliente está habilitado.
Luego como una opción también para analizar la conexión del cliente y el servidor de
SoftEther, es realizar el comando ping desde la PC del servidor al IP del cliente y
viceversa. Y como se observa en la Figura 46 y la Figura 47, ambas pruebas responden
con éxito.
77
Capítulo 3. Implementación de la VPN
Figura 46: Realizando el comando ping desde la PC del servidor al IP del cliente.
Figura 47: Realizando el comando ping desde la PC del cliente al IP del servidor.
78
Conclusiones
CONCLUSIONES
79
Recomendaciones
Recomendaciones
80
GLOSARIO
GLOSARIO
- Ataque: intento organizado y deliberado de una o más personas para causar daño
o problemas a un sistema ifonrmático o red.
- Autenticación: es una estrategia de seguridad de redes inalámbricas. En una red
con autenticación, los dispositivos utilizan una clave compartida como contraseña
y se comunican sólo con los dispositivos que conocen dicha clave. Al contrario que
en WEP, la autenticación no encripta los datos que se envían entre los dispositivos
inalámbricos. Sin embargo, se puede utilizar la autenticación junto con WEP. Las
claves de autenticación y WEP pueden ser idénticas.
- DNS: Sistema de Nombres de Dominio (en inglés: el Domain Name System) es
una base de datos distribuida y jerárquica que almacena información asociada a
nombres de dominio en redes como Internet. Aunque como base de datos el DNS
es capaz de asociar diferentes tipos de información a cada nombre, los usos más
comunes son la asignación de nombres de dominio a direcciones IP y la
localización de los servidores de correo electrónico de cada dominio.
- Encriptación: una estrategia de seguridad de la red que codifica los datos que se
envían por una red inalámbrica, de manera que los datos son ininteligibles para los
"cotillas informáticos". La impresora admite WEP y WPA.
- Estándar: (en inglés: Standard) son una serie de lineamientos técnicos detallados,
destinados a establecer uniformidad en el desarrollo de programas (software) y
compra de equipos (hardware).
- Firewall: son los programas que protegen a una red de otras. Conjunto de
programas de protección y dispositivos especiales que ponen barreras al acceso
exterior a una determinada red privada. Es utilizado para proteger los recursos de
una organización de consultas externas no autorizadas.
- Frame relay: tecnología de transporte de datos por paquetes muy utilizada en las
conexiones por líneas dedicadas.
- Hacker: experto técnico en algún tema relacionado con comunicaciones o
seguridad; de alguna manera, es también un gurú. Los hackers suelen dedicarse a
violar claves de acceso por pura diversión, o para demostrar falencias en los
sistemas de protección de una red de computadoras, casi como un deporte.
81
GLOSARIO
SIGLAS
84
GLOSARIO
- Protocolo de equivalencia con red cableada (en inglés, Wired Equivalent Privacy)
es un protocolo de seguridad estipulado en el estándar para Wi-Fi IEEE-802.11b,
diseñado para proveer una red de área local inalámbrica con un nivel de seguridad
comparable con el que usualmente se espera en una red alambrada. Una red
alambrada está protegida por mecanismos de seguridad de acceso, (como el
acceso a un edificio por ejemplo), que normalmente son efectivos para un
ambiente controlado, pero inefectivos para redes inalámbricas, ya que las ondas
radiales no están confinadas al interior del edificio. WEB busca establecer una
protección similar a las medidas físicas, mediante encripción de datos transmitidos
sobre la WLAN entre el cliente y los puntos de acceso. Una vez esta encripción se
ha implementado, se pueden utilizar otras medidas típicas de seguridad en LAN
como claves de acceso, VPN y autenticación.
- WPA: Acceso Protegido Wi-Fi (en inglés, Wi-Fi Protected Access) estándar Wi-Fi,
aprobado en abril de 2003, desarrollado para mejorar las características de
seguridad del estándar WEP y permitir su implementación en productos
inalámbricos que actualmente soportan WEP, pero la tecnología incluye dos
mejoras con respecto a este último: emplea el protocolo de integridad de claves
TKIP y la autenticación de usuarios se realiza mediante el protocolo EAP.
85
REFERENCIAS BIBLIOGRÁFICAS
REFERENCIAS BIBLIOGRÁFICAS
[1] A.G. Mason. Cisco Secure Virtual Private Network. Cisco Press 1er Edición, 2002, p.7.
[2] Jon C. Sander.VPNs Illustrated: Tunnels, VPNs and IPsec, Editorial Addison-Wesley
1er Edición, 26 de Octubre del 2005
[3] Luke Jonas P. Guías sobre direccionamiento IP, sobre redes y enrutamiento de las
VPN, 2019
[4] A.G. Mason. Cisco Secure Virtual Private Network. Cisco Press, 1er Edición, 2002,
p.25
[6] G. Pall y G. Zorn, Layer Two Tunneling Protcol (L2TP), Cisco System, 2016
[10] M Aguilar, F. Barceló y J. García Haro. Estimación de los parámetros de calidad para
distintos tráficos en nodos MTA con enlaces múltiples, Jornada de Ingeniería Telemática,
Jitel 97, 2004, pp. 233-240
[11] Tanmay Patange. How to defend yourself against MITM or Man-in-the-middle attack,
noviembre del 2013
86
BIBLIOGRÁFIA
BIBLIOGRAFÍA
A. Malik, K. Verma Harsh y R. Pal, Impact of firewall an d VPN for securing WLAN,
International Journal of Computer Science and Software Engineering, 2012.
G. Quan-Deng y L. Yi-He, Dynamic IPsec VPN architecture for private cloud services,
College of Computer Science, Neijiang Normal University, 2012
John Viega, Matt Messier & Pravir Chandra.Network Security with OpenSSL
INFOGRAFÍA
https://www.softether.org.
https://www.openvpn.net/
https://www.virtualbox.org
87
BIBLIOGRÁFIA
88
Anexos
Anexos
89
Anexos
90
Anexos
91