Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTRODUCCION………………………………………..…………………….5
OBJETIVOS…………………………………………………………………….7
ANTECEDENTES……………………………………………………………..8
QUE ES VPN?.....................................................................................................9
DESCRIPCION………………………………………………….……..11
QUIEN LO SOPORTA?.....................................................................................13
AUTENTICACION DE USUARIO………………………………...…14
ADMINISTRACION DE DIRECCION………………………….……14
ENCRIPTACION DE DATOS………………………………….……..15
ADMINISTRACION DE LLAVES…………………………..……….15
DISPONIBILIDAD………………………………………………...…..15
CONTROL………………………………………………………..……15
COMPATIBILIDAD……………………………………………..…….15
SEGURIDAD…………………………………………………….…….16
CONFIABILIDAD……………………………………………….…….16
SOBRECARGA DE TRAFICO………………………………….…….16
SIN REPUDIO…………………………………………………………16
TECNOLOGIA TUNEL……………………………………………………….17
COMO FUNFIONA?..............................................................................18
ASPECTOS BASICOS………………………………………………...19
PROTOCOLOS DE TUNELES………………………………………..20
AUTENTICACION DE DATOS……………………………………....20
COMPRESION DE DATOS……………………………………….…..21
ENCRIPTACION DE DATOS………………………………………...21
ADMINISTRACION DE LLAVES……………………………………21
TIPOS DE TUNEL……………………………………………………………..27
TUNELES VOLUNTARIOS…………………………………………..28
TUNELES OBLIGATORIOS………………………………………….28
VPN DE INTRANET…………………………………………………..30
VPN DE EXTRANET………………………………………………….30
SEGURIDAD…………………………………………………………..31
CALIDAD DE SERVICIO…………………………………………….31
GESTION……………………………………………............................31
CLASIFICACION DE PAQUETES…………………………...............32
IMPLEMENTACION………………………………………………….............32
TIPOS DE CONEXIÓN…………………………………………......................33
CONFIGURACION DE LA SEGURIDAD…………………………...43
PROTOCOLOS VPN………………………………………………….………46
Mschap……………………………………………………………….…51
IPIP……………………………………………………………………..51
IP-GRE…………………………………………………………………51
VPN DINAMICAS……………………………………………………………..51
CONCLUSIONES...............................................................................................56
Sin duda alguna, una red es una colección de estándares, basada en dispositivos que
encadenan todo lo referente a la compañía, como computadoras de escritorio,
anfitriones y recursos, sin sacrificar velocidad, costo o maniobrabilidad. La tecnología
en nuestros días avanza muy rápidamente y con ello la inseguridad en las redes, por ello
surge la tecnología en software y hardware que nos proporcionan ayuda en cuanto a
velocidad y seguridad de la información.
Una RED se extiende sobre un área geográfica amplia, a veces un país o un continente;
contiene una colección de máquinas dedicadas a ejecutar programas de usuario
(aplicaciones). En los últimos años las redes se han convertido en un factor crítico para
cualquier organización. Cada vez en mayor medida, las redes transmiten información
vital, por tanto dichas redes cumplen con atributos tales como seguridad, fiabilidad,
alcance geográfico y efectividad en costos. Se ha demostrado en la actualidad que las
redes reducen en tiempo y dinero los gastos de las empresas, eso ha significado una gran
ventaja para las organizaciones sobre todo las que cuentan con oficinas remotas a varios
kilómetros de distancia, pero también es cierto que estas redes remotas han despertado
la curiosidad de algunas personas que se dedican a atacar los servidores y las redes para
obtener información confidencial. Por tal motivo la seguridad de las redes es de suma
importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN
Ante la necesidad de comunicar puntos remotos, y lo costoso que significaría tener una
WAN (Wide Area Network) que significaría tirar líneas entre cada sucursal de una
empresa “X” se ideo la forma de utilizar redes publicas para comunicar estas sucursales.
Para poder habilitar redes privadas distribuidas para comunicar de forma segura cada
uno de los nodos de una red pública hay una necesidad de aplicar algún sistema de
seguridad, debido a que los datos de la empresa son valiosos, y no deben ser
interceptados.
Con una Red Privada Virtual (VPN), los usuarios remotos, que pertenecen a una red
privada, pueden comunicarse de forma libre y segura entre redes remotas a través de
redes públicas.
Una VPN normalmente usa la red Internet como transporte para establecer enlaces
seguros, extendiendo las comunicaciones a oficinas aisladas.
Una Red Privada Virtual (VPN) transporta de manera segura por Internet por un túnel
establecido entre dos puntos que negocian un esquema de encriptación y autentificación
para el transporte. Una VPN permite el acceso remoto a servicios de red de forma
transparente y segura con el grado de conveniencia y seguridad que los usuarios
conectados elijan. Las VPN están implementadas con firewalls, routers para lograr esa
encriptación y autentificación.
2. OBJETIVOS
3º. Interconexión total a la red de todos los comerciales (empleados), de forma segura a
través de una infraestructura pública.
7º. Teletrabajo.
3. ANTECEDENTES
Inicialmente los viajantes empleados de la empresa accedían a los datos que necesitaban
de la central mediante llamadas telefónicas, en ella se encontraban varias operadoras
que se encargaban de acceder a los datos y comunicárselos a los empleados.
4. QUE ES VPN
En ocasiones puede ser interesante que la comunicación que viaja por el túnel
establecido en la red pública vaya encriptada para permitir una mayor confidencialidad.
La forma más avanzada, más utilizada de encriptación es el IPSec
En una red privada virtual todos los usuarios parecen estar en el mismo segmento de
LAN, pero en realidad están a varias redes (generalmente públicas) de distancia.
Para lograr esta funcionalidad, la tecnología de redes seguras, privadas y virtuales debe
completar tres tareas: primero, deben ser capaces de pasar paquetes IP a través de un
túnel en la red pública, de manera que dos segmentos de LAN remotos no parezcan
estar separados por una red pública; la solución debe agregar encriptación, de manera
que el tráfico que cruce por la red pública no pueda ser espiado, interceptado, leído o
modificado; y por último, la solución debe ser capaz de autenticar positivamente
cualquier extremo del enlace de comunicación, de modo que un adversario no pueda
acceder a los recursos del sistema.
Las razones que impulsan al mercado en ese sentido son, fundamentalmente, de costos:
es mucho más barato interconectar filiales utilizando una infraestructura pública que
despliega una red físicamente privada. Por otro lado, como es lógico, es necesario exigir
ciertos criterios de privacidad y seguridad, por lo que normalmente debemos recurrir al
uso de la criptografía.
Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN
logran esto al permitir que el usuario haga un túnel a través de Internet u otra red
pública, de manera que permita a los participantes del túnel disfrutar de la misma
seguridad y funciones que antes sólo estaban disponibles en las redes privadas
Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse en
una forma segura a un servidor corporativo remoto, mediante la infraestructura de
entubamiento que proporciona una red pública (como Internet).
Desde la perspectiva del usuario, la VPN es una conexión de punto a punto entre la
computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red
intermedia es irrelevante para el usuario, debido a que aparece enviando como si los
datos se estuvieran enviando sobre un enlace privado dedicado.
La tecnología VPN también permite que una compañía se conecte a las sucursales o a
otras compañías (extranets) sobre una red pública (como Internet), manteniendo al
mismo tiempo comunicaciones seguras.
La tecnología de la VPN está diseñada para tratar temas relacionados con la tendencia
actual de negocios hacia mayores telecomunicaciones, operaciones globales
ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde
los trabajadores deben conectarse a recursos centrales y entre sí.
solución de acceso remoto que sea confiable y escalable. Por lo común, las compañías
eligen una solución basada en un departamento de sistemas que está encargado de
adquirir, instalar y mantener los conjuntos de módems corporativos y la infraestructura
de red privada; también eligen una solución de Red de Valor Agregado (VAN), donde
contratan a una compañía externa para adquirir, instalar y mantener los conjuntos de
módems y una infraestructura de telecomunicaciones.
Sin embargo, ninguna de estas soluciones proporciona la escalabilidad necesaria en
términos de costo, la flexibilidad de la administración y gestión, así como la demanda
de conexiones. Por tanto, tiene sentido encontrar un terreno intermedio donde la
organización complemente sus inversiones actuales en conjuntos de módems y su
infraestructura de red privada, con una solución menos costosa basada en tecnología de
Internet. De esta manera, las empresas se pueden enfocar a su negocio principal con la
garantía de que nunca se comprometerá su accesibilidad y que se instalen las soluciones
más económicas.
a. Descripción de VPN
Una Red Privada Virtual (VPN) consiste en dos máquinas (una en cada "extremo" de la
conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada.
Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos
ordenadores son encriptados por el Point-to-Point Protocol, también conocido como
PPP, un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre
una conexión previa (también remota, LAN o WAN) por un dispositivo PPTP.
Una Red Privada Virtual es una forma de compartir y transmitir información entre un
círculo cerrado de usuarios que están situados en diferentes localizaciones geográficas.
Es una red de datos de gran seguridad que permite la transmisión de información
confidencial entre la empresa y sus sucursales, socios, proveedores, distribuidores,
empleados y clientes, utilizando Internet como medio de transmisión. Aunque Internet
es una red pública y abierta, la transmisión de los datos se realiza a través de la creación
de túneles virtuales, asegurando la confidencialidad e integridad de los datos
transmitidos.
Un escenario típico de uso de VPN es una compañía que tiene una serie de trabajadores
remotos a los que quiere permitir el acceso a sus servicios. Si esto es lo único que se
desea hacer, no hace falta una VPN: basta con utilizar tecnologías como Firewalls o
proxys. Ahora bien, una VPN permite, además que la comunicación se realice por un
canal seguro.
Existen varias formas de garantizar la existencia de un canal seguro entre emisor y
receptor. Algunas de ellas pueden ser el uso de extranets, o bien proteger los servidores
propios mediante passwords utilizando mecanismos de autentificación de terceras
partes, o incluso utilizar líneas privadas para todas las comunicaciones que requieran un
canal seguro.
Así, las VPN constituyen una estupenda combinación entre la seguridad y garantía que
ofrecen las costosas redes privadas y el gran alcance, lo asequible y lo escalable del
acceso a través de Internet. Esta combinación hace de las Redes Privadas Virtuales o
VPNs una infraestructura confiable y de bajo costo que satisface las necesidades de
comunicación de cualquier organización.
Políticas de seguridad.
Aplicación de autentificación.
Cuando deseo enlazar mis oficinas centrales con alguna sucursal u oficina remota tengo
tres opciones:
Modem: Las desventajas es el costo de la llamada, ya que el costo de esta llamada sería
por minuto conectado, ademas sería una llamada de larga distancia, a parte no contaría
con la calidad y velocidad adecuadas.
Línea Privada: Tendría que tender mi cable ya sea de cobre o fibra óptica de un punto a
otro, en esta opción el costo es muy elevado porque si por ejemplo necesito enlazar mi
oficina central con una sucursal que se encuentra a 200 Kilómetros de distancia el costo
sería por la renta mensual por Kilómetro. Sin importar el uso.
VPN: Los costos son bajos porque solo realizo llamadas locales, ademas de tener la
posibilidad de que mis datos viajen encriptados y seguros, con una buena calidad y
velocidad.
Las redes privadas virtuales surgen como una alternativa a los servicios de
comunicaciones tradicionales de red amplia (WAN) de enlaces dedicados.
Los PSI experimentan con los túneles de las redes privadas más recientes y con los
protocolos de seguridad que se usaran en un futuro en Internet. Los tres principales
protocolos de seguridad que existen actualmente son el Protocolo de Reenvío de nivel 2
(L2F), el Protocolo para establecimiento de túneles punto a punto (PPTP) y el Protocolo
de seguridad en Internet (IPSec). Lo más probable es que uno o dos de estos prevalecerá
o posiblemente se combinarán de hecho el Protocolo de Reenvío de Nivel 2 Y el
Protocolo para establecimientos punto a punto se han combinado en lo que se conocen
como el Protocolo para establecimiento de túneles del nivel 2 (L2TP).
Para poder establecer una VPN, ya sea entre varias subnets o entre una LAN y un host
"móvil", son necesarios algunos requisitos:
Requisitos Software: Se debe tener un sistema de transporte 'opaco' entre los dos puntos
a unir por la VPN. Esto es, que debe actuar sólo como transporte, sin `mirar' dentro de
los datos que va a transportar. El transporte debe asegurar una cierta calidad de servicio,
si esto es posible, y debe proporcionar seguridad (encriptación) a los datos. Además será
necesario que junto con los encaminadores (ya comentados en los requisitos hardware)
se disponga de algún tipo de encapsulamiento disponible para que la red de transporte
intermedio (ya sea dialup, Internet u otro tipo de red) sea capaz de entregar los paquetes
entre los desencaminadores de la VPN, sin tener que 'mirar' dentro de los datos de la
transmisión que, además, podrían estar encriptados. Otro de los requisitos más
importantes a la hora de construir una VPN es el hecho de que las aplicaciones deberían
seguir funcionando perfectamente como hasta ahora habían funcionado. Es decir, la
creación de la VPN debería ser transparente a las aplicaciones que se estén usando o se
puedan usar en cualquiera de las redes que forman la VPN.
Por lo general, al implementar una solución de red remota, una compañía desea facilitar
un acceso controlado a los recursos y a la información de la misma. La solución deberá
permitir la libertad para que los clientes roaming o remotos autorizados se conecten con
facilidad a los recursos corporativos de la red de área local (LAN) así como las oficinas
remotas se conecten entre si para compartir recursos e información (conexiones de N).
Por último, la solución debe garantizar la privacidad y la integridad de los datos al viajar
a través de Internet público. Lo mismo se aplica en el caso de datos sensibles que viajan
a través de una red corporativa. Por lo tanto, como mínimo, una solución de VPN debe
proporcionar lo siguiente:
a. Autenticación de usuario. La VPN debe ser capaz de verificar la identidad de los
usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados.
Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que
información y cuando.
c. Encriptación de datos. Los datos que se van a transmitir a traves de la red pública
deben ser previamente encriptados para que no puedan ser leídos por clientes no
autorizados de la red.
a. Disponibilidad
b. Control
c. Compatibilidad
d. Seguridad
Lo es todo en una VPN, desde el proceso de cifrado que implementa y los servicios de
autenticación que usted elige hasta las firmas digitales y las autoridades emisoras de
certificados que utilizan. Abarca el software que implementa los algoritmos de cifrado
en el dispositivo de la VPN.
e. Confiabilidad
Cuando una compañía decide instalar el producto VPN de un PSI, está a merced de este.
Datos: Reafirma que el mensaje a sido enviado completamente y que no ha sido alterado
de ninguna forma.
g. Sobrecarga de Tráfico
h. Sin Repudio
VPN Gateway
Software
Firewall
Router
VPN Gateway
Dispositivos con un software y hardware especial para proveer de capacidad a la VPN
Software
Esta sobre una plataforma PC o Workstation, el software desempeña todas las funciones
de la VPN.
Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir
datos a esto se le conoce como encapsulación además los paquetes van encriptados de
forma que los datos son ilegibles para los extraños.
El servidor busca mediante un ruteador la dirección IP del cliente VPN y en la red de
transito se envían los datos sin problemas.
a. ¿Cómo funciona………….?
En la figura anterior se muestra como viajan los datos a través de una VPN ya que el
servidor dedicado es del cual parten los datos, llegando a firewall que hace la función de
una pared para engañar a los intrusos a la red, después los datos llegan a nube de
Internet donde se genera un túnel dedicado únicamente para nuestros datos para que
estos con una velocidad garantizada, con un ancho de banda también garantizado y
lleguen a su vez al firewall remoto y terminen en el servidor remoto.
Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios móviles, con
oficinas remotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay, ATM
como lo muestra la figura siguiente.
b. Aspectos básicos de túneles
En lugar de enviar una trama a medida que es producida por el nodo promotor, el
protocolo de túnel la encapsula en un encabezado adicional. Éste proporciona
información de entubamiento de manera que la carga útil encapsulada pueda viajar a
través de la red intermedia.
De esta manera, se pueden enrutar los paquetes encapsulados entre los puntos finales del
túnel sobre la red (la trayectoria lógica a través de la que viajan los paquetes
encapsulados en la red se denomina túnel). Cuando las tramas encapsuladas llegan a su
destino sobre la red se desencapsulan y se envían a su destino final; nótese que este
sistema de túnel incluye todo este proceso (encapsulamiento, transmisión y
desencapsulamiento de paquetes).
Existen muchos otros ejemplos de túneles que pueden realizarse sobre intranets
corporativas. Y aunque la Red de redes proporciona una de las intranets más penetrantes
y económicas, las referencias a Internet en este artículo se pueden reemplazar por
cualquier otra intranet pública o privada que actúe como de tránsito. Las tecnologías de
túnel existen desde hace tiempo.
Túneles SNA sobre intranets IP. Cuando se envía tráfico de la Arquitectura de la red del
sistema (SNA) a través de una intranet IP corporativa, la trama SNA se encapsula en un
encabezado UPN e IP. Túneles IPX para Novell NetWare, sobre intranets IP. Cuando un
paquete IPX se envía a un servidor NetWare o ruteador IPX, el servidor o ruteador
envuelve el paquete IPX en un encabezado UDP e IP y luego lo envía a través de una
intranet IP.
Modo de túnel de seguridad IP (IPSec). Deja que se encripten las cargas útiles IP y
luego se encapsulen en un encabezado IP, para enviarse a través de una red corporativa
IP o una red pública IP como Internes
c. Protocolo de túneles
Para que se establezca un túnel, tanto el cliente de éste como el servidor deberán utilizar
el mismo protocolo de túnel.
Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como
PPTP v L2TP) heredan un conjunto de funciones útiles. Como se señala adelante, estas
funciones y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la VPN
Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales han sido
bien conocidos (y autenticados) antes de que se estableciera el túnel. Una excepción es
la negociación IPSec ISAKMP que proporciona una autenticación mutua de los puntos
Finales del túnel. (Nótese que la mayor parte de las implementaciones IPSec dan
soporte sólo a certificados basados en equipo, más que en certificados de usuarios;
como resultado, cualquier usuario con acceso a uno de los equipos de punto final puede
utilizar el túnel. Se puede eliminar esta debilidad potencial de seguridad cuando se
conjunta el IPSec con un protocolo de Nivel 2, como el L2TP.)
En contraste, los protocolos de túnel Nivel 3, como el modo de túnel IPSec, por lo
común dan soporte sólo a redes objetivo que utilizan el protocolo IP.
PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto
dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y
luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto.
Es utilizado entre un cliente de marcación y un NAS.
Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP,
cada una de las cuales debe completarse de manera exitosa antes de que la conexión del
PPP esté lista para transferir los datos del usuario. Estas fases se explican
posteriormente.
Nótese que durante la fase de establecimiento de enlace (Fase i), se seleccionan los
protocolos de Autenticación, peto no se implementan efectivamente hasta la fase de
Autenticación de conexión (Fase 2). De manera similar, durante el LCP se toma una
decisión respecto a que si dos iguales negociarán el uso de compresión y/o encriptación.
Durante la Fase 4 ocurre la elección real de algoritmos de compresión/encriptación y los
otros detalles.
El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de texto
transparente sobre el enlace. En su lugar, se utiliza la contraseña a fin de crear una
verificación encriptada del challenge original. El servidor conoce la contraseña del texto
transparente del cliente y, por tanto, puede duplicar la operación y comparar el resultado
con la contraseña enviada en la respuesta del cliente.
Este diseño, que manipula una verificación del MD4 de la contraseña, proporciona un
nivel adicional de seguridad, debido a que permite que el servidor almacene las
contraseñas verificadas en lugar de contraseñas con texto transparente.
MSCHAP también proporciona códigos adicionales de error, incluido un código de
Contraseña ya expirado, así como mensajes adicionales cliente-servidor encriptado que
permite a los usuarios cambiar sus contraseñas. En la implementación de Microsoft del
MSCHAP, tanto el Cliente como el NAS, de manera independiente, una llave inicial
para encriptaciones posteriores de datos por el MPPE.
Durante la fase 2 de la configuración del enlace del PPP, el NAS recopila los datos de
autenticación y luego valida los datos contra su propia base de datos del usuario o
contra un servidor central para la autenticación de base de datos, como el que mantiene
un Controlador del dominio primario Windows NT, un servidor de Servicio remoto de
usuario con marcación de autenticación (RA, DIUS).
c. Fase 3:
El NAS permitirá conexiones partir de los clientes remotos que físicamente residan sólo
en números telefónicos específicos.
Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de
control de red (NCP), que se seleccionaron durante la fase de establecimiento de enlace
(fase i) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante
esta fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a
un usuario de marcación.
como la encriptación de éstos (utilizando MPPE), por la simple razón de que ambos se
implementan en la misma rutina.
Una vez que hayan concluido las cuatro fases de negociación, PPP empieza a transferir
datos hacia y desde los dos iguales. Cada paquete de datos transmitidos se envuelve en
un encabezado del PPP, que elimina el sistema receptor. Si se seleccionó la compresión
de datos en la fase 1 y se negoció en la fase 4, los datos se comprimirán antes de la
transmisión.
Hay un aspecto del IPSec que debe analizarse en el contexto de los protocolos de túnel:
además de su definición de mecanismos de encriptación para tráfico IP, IPSec define el
1 formato de paquete para un modo de túnel IP sobre IP, generalmente referido como un
modo de túnel IPSec.
Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de niveles
más altos hereda su comportamiento.
Está controlado por una Política de seguridad (un conjunto de reglas que se cumplen a
través de filtros). Esta política de seguridad establece los mecanismos de encriptación y
de túnel disponibles en orden de preferencia, así como los métodos de autenticación
disponibles, también en orden de preferencia. Tan pronto como existe tráfico, ambos
equipos realizan una autenticación mutua, y luego negocian los métodos de encriptación
que se utilizarán. Posteriormente, se encripta todo el tráfico de encriptación, y luego se
envuelve en un encabezado de túnel.
El Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP, para
mantenimiento del túnel y tramas encapsuladas del PPP de Encapsulamiento de
entubamiento genérico (GRE) para datos de túnel. Se pueden encriptar y/o comprimir
las cargas útiles de las i tramas del PPP encapsulado.
La forma en que se ensambla el paquete del PPTP antes de la transmisión (el dibujo
exhibe un cliente de marcación que crea un túnel a través de una red). El diseño de la
trama final muestra la encapsulamiento para un cliente de marcación (controlador de
dispositivo PPP).
Una tecnología propuesta por cisco, es un protocolo de transmisión que permite que los
servidores de acceso de marcación incluyan el tráfico de marcación en el PPP, y lo
transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor
L2F envuelve los paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F
no tiene un cliente definido. Nótese que L2F funciona sólo en túneles obligatorios (para
un análisis detallado de los túneles voluntarios y obligatorios, véase la sección "Tipos
de túnel", más adelante en este artículo).
Es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP represente
las mejores funciones del PPTP y L2E, L2TP es un protocolo de red
cápsula las tramas de] PPP que viajan sobre redes IP, x.25, Frame Relay, o modo de
transferencia ATM.
El L2TP sobre las redes IP utiliza UDP y una serie de mensajes para el mantenimiento
de túnel. Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP
como los datos enviados por el túnel; se pueden encriptar Y/O comprimir las cargas
útiles de las tramas PPP encapsuladas.
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de
los datos, y luego incluir encabezados adicionales a fin de transportarlos a través de la
red. Aunque ambos protocolos son muy similares, existen diferencias entre ellos:
El PPTP requiere que la red sea de tipo IP, y el L2TP requiere sólo que los medios del
túnel proporcionen una conectividad de punto a punto orientada a paquetes. Se puede
utilizar L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVC),
circuitos virtuales X25 (VC) o VC ATM.
El PPTP sólo puede soportar un túnel único entre puntos terminales, y el L2TP permite
el uso de varios túneles entre puntos terminales. Con el L2TP es posible crear diferentes
túneles para diferentes calidades de servicio.
computadora del usuario es un punto terminal del túnel y actúa como un cliente de éste.
A la fecha, los túneles voluntarios han robado ser el tipo más popular de túnel. Las
siguientes secciones describen cada uno de estos tipos con mayor detalle.
a. Túneles voluntarios
Para una PC conectada a una LAN, el cliente ya tiene una conexión a la red que le
puede proporcionar un entubamiento a las cargas útiles encapsuladas al servidor del
túnel LAN elegido. Este sería el caso para un cliente en una LAN corporativa, que
inicia, un túnel para alcanzar una subred privada u oculta en la misma LAN (como sería
el caso de la red de Recursos Humanos).
Es falso que las VPN requieran una conexión de marcación, pues sólo requieren de una
red IP. Algunos clientes (como las PC del hogar) utilizan conexiones de marcación 1
Internet para establecer transporte IP; esto es un paso preliminar en la preparación para
la creación de un túnel, y no es parte del protocolo del túnel mismo.
b. Túneles obligatorios
Para realizar esta función, el FEP deberá tener instalado el protocolo apropiado de túnel
y ser capaz de establecer el túnel cuando se conecte la computadora cliente.
Esta configuración se conoce como "túnel obligatorio" debido a que el cliente está
obligado a utilizar el túnel creado por FER Cuando se realiza la conexión inicial, todo el
tráfico de la red de y hacia el cliente se envía automáticamente a través del túnel.
En los túneles obligatorios, la computadora cliente realiza una conexión única PPP, y
cuando un cliente marca en el NAS se crea un túnel y todo el tráfico se enruta de
manera automática a través de éste. Es posible configurar un FEP para hacer un túnel a
todos los clientes de marcación hacia un servidor específico del túnel. De manera
alterna, el FEP podría hacer túneles individuales de los clientes basados en el nombre o
destino del usuario.
A diferencia de los túneles por separado creados para cada cliente voluntario, un túnel
entre el FEP y servidor puede estar compartido entre varios clientes de marcación.
Cuando un segundo cliente marca al servidor de acceso (FEP) a fin de alcanzar un
destino no hay necesidad de crear una nueva instancia del túnel entre el FEP y el
servidor del túnel.
Estudios de mercado asignan a las VPNs oportunidades de negocio por U$S 1.1 mil
millones a nivel mundial para el año 2001, con un crecimiento anual del 72 por ciento.
Esto lo vemos reflejado en nuestro mercado local, dado que los principales vendedores
comenzaron a ofrecer este tipo de servicio.
Características:
Movilidad IP
b. VPN de Intranet.
Vincula la oficina remota o sucursal a la red corporativa, a través de una red pública,
mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas
cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre
otras (ver figura 2. "Intranet VPN").
Característica:
c. VPN de Extranet.
Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de
interés a la intranet corporativa a través de una red pública (ver figura "Extranet VPN").
Características:
Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el
fin de reducir posibles congestiones de la red que tengan como consecuencia el descarte
de paquetes.
19. Implementación
último, los sistemas puramente software son ideales en los casos en los que los dos
extremos de la comunicación no pertenecen a la misma organización, o cuando aun
estando dentro de la misma organización, las tecnologías de routers y/o firewalls
difieren. Esta solución permite mayor flexibilidad en cuanto a la decisión de qué tráfico
enviar o no por el túnel seguro, pudiendo decidir por protocolo o por dirección, a
diferencia de los sistemas hardware, que normalmente sólo permiten decidir por
dirección. Puede ser conveniente en situaciones donde la VPN es útil en algunos casos
(consultas a una base de datos) pero irrelevante en otros (navegación normal por la
web). También es útil en los casos en los que la conexión se realiza por líneas lentas.
Ahora bien, no todo son ventajas. Los sistemas software son difíciles de administrar, ya
que requieren estar familiarizados con el sistema operativo cliente, la aplicación VPN y
los mecanismos de seguridad adecuados. Y algunos paquetes VPN requieren cambios
en las tablas de encaminamiento y los esquemas de traducción de direcciones. Sin
embargo, las fronteras entre estas tres aproximaciones se van diluyendo conforme pasa
el tiempo. Existen fabricantes que proporcionan soluciones basadas en hardware, pero
que incluyen clientes software para VPN e incluso características que sólo se
encontraban en los sistemas basados en firewalls. Por otro lado, la introducción del
protocolo IPSec está facilitando la mezcla de distintos productos VPN.
En cuanto a los algoritmos de encriptación, se puede utilizar prácticamente cualquiera:
desde la encriptación de 40 bits que lleva W9x por defecto a algoritmos más elaborados
como triple DES.
Crear una VPN es muy similar a establecer una conexión de acceso telefónico a una red
punto a punto. Hay dos tipos de conexiones VPN: la conexión de acceso remoto VPN y
la conexión router to router.
autentifica al servidor de acceso remoto (el servidor VPN), y para una mutua
autentificación, el servidor se autentifica ante el cliente.
• Encapsulacion
• Autentificación
• Encriptación de datos
Encapsulación
La tecnología VPN, provee una vía de encapsulamiento datos privados con encabezados
que permiten a los datos pasar por el tráfico inter-redes.
Autentificacion
• Autentificacion de usuario para que la conexión VPN sea establecida, El servidor VPN
autentifica al cliente VPN intentando la conexión y verificando que el cliente VPN tiene
los permisos apropiados. Si se acepta, se usa la autentificación mutua, el cliente VPN
también autentifica al servidor VPN proveyendo una protección ante servidores VPN
enmascarados
Encriptación de datos
Para asegurar la confiabilidad de los datos que son enviados a través del transito inter
redes compartido o publico, este es encriptado por el emisor, y desencriptado por el
receptor. El proceso de encriptación y desencriptación depende
Los paquetes interceptados a lo largo de la conexión VPN en el transito inter red, son
ilegibles para quien no conozca la llave de encriptación. La longitud de la llave de
encriptación es un parámetro importante de seguridad. Técnicas computacionales
puedes ser usadas para determinar la llave de encriptación, como estas técnicas
requieren mayor poder computacional y tiempo de cálculos mientras mas larga sea la
llave de encriptación, por lo tanto, es muy importante usar una llave lo mas larga
posible. Además mientras más información es encriptada con la misma llave, es mas
facial de descifrar los datos encriptados. Con algunas técnicas de encriptación, se le da
la opción de configurar cuan a menudo las llaves de encriptación son cambiadas durante
una conexión.
Cuando un servidor VPN es configurado, se crea una interfaz virtual que representa la
interfaz en la cual todas las conexiones VPN son hechas. Cuando un cliente VPN
establece una conexión, una interfaz virtual es creada en el cliente VPN que representa
la interfaz conectada al servidor VPN.
Las interfaces virtuales del cliente VPN y del servidor VPN se deben asignar
direcciones IP. La asignación de estas direcciones es hecha por el servidor de VPN. Por
defecto, el servidor de VPN obtiene a las direcciones IP para sí mismo y a clientes de
VPN usando Dynamic Host Configuration Protocol (DHCP). También se puede
configurar una unión estática de las direcciones IP definidas por una identificación de la
red IP y una mascara de subred.
Las conexiones VPN pueden ser utilizados siempre que una conexión segura punto a
punto necesite conectar otros usuarios o redes. Típicamente las conexiones vpn son
basadas en Internet o en Intranet.
Usando una conexión Internet-basada de VPN, usted puede evitar llamadas larga
distancia y 1-800 mientras que se aprovecha de la disponibilidad global del Internet.
Antes que un cliente de acceso remoto tenga que hacer una llamada distancia o 1-800 a
un corporativo o el servidor del acceso de red (NAS), el cliente puede llamar al ISP
local. Usando la conexión física establecida a la ISP local, el cliente del acceso remoto
inicia una conexión de VPN a través del Internet al servidor de VPN de la organización.
Cuando se crea la conexión de VPN, el cliente del acceso remoto puede tener acceso a
los recursos del Intranet privado.
Cuando las redes están conectadas sobre Internet, router reenvía los paquetes a otro
router a través de una conexión de VPN. Hacia los routers la VPN funciona como
vinculo de capa data link
Antes que usar un costoso enlace dedicado larga distancia WAN entre las oficinas,
los routers de la oficina están conectadas a Internet usando enlaces dedicados
locales WAN a una ISP local. Una conexión VPN router to router por cualquier
router a través del Internet. Cuando están conectadas, los router pueden
En algunos intranets de una organización, los datos de un departamento, tales como los
del departamento de recursos humanos, es tan delicado que el segmento de la red del
departamento este desconectado físicamente del resto del Intranet de la organización.
Mientras que esto protege los datos del departamento, crea problemas de accesibilidad
hacia la información para el resto de los usuarios no conectados físicamente con el
segmento de la red separada. Las conexiones de VPN permiten que el segmento
delicado de la red del departamento sea conectado físicamente con el Intranet de la
organización pero separado por un servidor VPN. El servidor de VPN no proporciona
una conexión ruteada directa entre el Intranet corporativo y el segmento de la red
separada. Los usuarios en el Intranet corporativo con los permisos apropiados pueden
establecer una conexión de acceso remoto VPN con el servidor de VPN y pueden
acceder a los recursos protegidos de la red delicada del departamento. Además, toda la
comunicación a través de la conexión de VPN se cifra para confidencialidad de los
datos. Para esos usuarios que no tengan permisos de
establecer una conexión de VPN, el segmento de la red separada esta oculto para ellos.
fig. Conexión VPN, permitiendo el acceso remoto a una red segura sobre Intranet
Se puede también conectar dos redes sobre un Intranet usando una conexión
router to router VPN. Este tipo de conexión VPN puede ser necesario, por ejemplo,
para dos departamentos en lugares separadas, en que los datos son altamente
delicados a comunicarse con uno a. Por ejemplo, el departamento de finanzas
puede necesitar comunicarse con el departamento de los recursos humanos para
intercambiar la información de la nómina de pago. El departamento de finanzas y
el departamento de los recursos humanos están conectados a una Intranet común
con las computadoras que pueden actuar como clientes de o servidores VPN.
Cuando se establece la conexión VPN, los usuarios en las computadoras en
cualquier red pueden intercambiar datos sensibles a través del Intranet
corporativo.
Una VPN es una herramienta de red que puede proporcionar una conexión segura punto
a punto cualquier manera usted ve ajuste. Una conexión combinada menos común del
Internet y del Intranet VPN, llamada una conexión del paso VPN, permite a cliente del
acceso remoto conectarse con una Intranet de la compañía para
tener acceso a los recursos de otra Intranet de una compañía usando el Internet. En este
panorama con, una conexión de acceso remoto VPN pasa por una Intranet y el Internet
para tener acceso a una segunda Intranet.
fig. Conexión VPN de paso
Para distribuir una solución VPN a la empresa interesada, se realizará un análisis y una
toma de decisiones acerca de su diseño teniendo en cuenta lo siguiente:
Configuración de la red.
Configuración de la seguridad.
Configuración de la red
El equipo servidor VPN está configurado con una dirección IP estática, con el fin de
asignar clientes de acceso remoto.
Para llegar a ubicaciones de Internet, se establecerá una ruta estática con la siguiente
configuración:
o Destino: 0.0.0.0
o Métrica: 1
Esta ruta estática resume todos los destinos en Internet. Permite que el servidor VPN
responda a un cliente de acceso remoto o a una conexión VPN de enrutador de marcado
a petición desde cualquier parte en Internet.
De forma predeterminada, únicamente cinco puertos L2TP y otros cinco PPTP están
habilitados para conexiones VPN. El número de puertos L2TP y PPTP aumenta hasta
253. Para obtener más información, consultar el procedimiento "Agregar puertos PPTP
o L2TP" en el anexo C.
Tanto PPTP como L2TP sobre filtros de paquetes IPSec se configurarán en el MODEM
conectado a Internet. Para evitar que el servidor VPN envíe o reciba tráfico en su
interfaz de Internet, excepto el tráfico PPTP o L2TP sobre IPSec proveniente de clientes
de acceso remoto, se configurarán PPTP y L2TP sobre filtros de entrada y salida IPSec
en la interfaz de Internet.
VPN_Usuarios (VPN_Users)
d. Configuración de la seguridad
Para habilitar las conexiones L2TP sobre IPSec, el dominio de la empresa se configura
para inscribir automáticamente certificados de equipo para todos los miembros del
dominio.
El acceso remoto para empleados de la empresa se distribuirá por Internet mediante las
conexiones VPN de acceso remoto en función de la configuración establecida en la
sección "Configuración común del servidor VPN" de este documento y en la
configuración adicional siguiente.
Para definir los parámetros de autenticación y de cifrado para los clientes VPN de
acceso remoto se creará la siguiente directiva de acceso remoto:
Condiciones:
Puerto-NAS se establecerá a Virtual (VPN).
Algunos ejemplos de esto tenemos Alcatel 7130,Altiga C10, VPN-1 Gateway, Lucent
VPN Gateway, Intel Shiva Lan Rover VPN Gateway Plus, TimeStep Permit/Gate 4620
y VPNet VPNware VSU-1010, las cuales incluyen el software y hardware necesario
para realizar y administra VPN.
Aunque los router son mejores que los concentradores, existen algunos capaces de
realizar VPN como los modelos 3005, 3015, 3030, 3060 y 3080.
Concentrador Cisco serie 3000
Han sido implementados varios protocolos de red para el uso de las VPN. Estos
protocolos intentan cerrar todos los “hoyos” de seguridad inherentes en VPN. Estos
protocolos continúan compitiendo por la aceptación, ya que ninguno de ellos ha sido
más admitido que otro.
PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan
al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y
desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP
únicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP
especifica además una serie de mensajes de control con el fin de establecer, mantener y
destruir el túnel PPTP. Estos mensajes son transmitidos en paquetes de control en el
interior de segmentos TCP. De este modo, los paquetes de control almacenan la
cabecera IP, la cabecera TCP, el mensaje de control PPTP y los trailers apropiados.
Para formar un túnel, L2TP emplea dos funciones básicas: LAC y LNS. LAC (L2TP
Concentrador de acceso) realiza funciones de servidor de línea para el cliente, mientras
que LNS (L2TP servidor de red), como su nombre indica, actúa como servidor de red en
el lado del servidor.
Válido tanto para IPv4 como para IPv6, permite definir los protocolos de seguridad, los
algoritmos criptográficos y las claves manejadas entre los sistemas que se comunican.
Una de las características más importantes de IPSec es su compatibilidad con las redes
IP actuales.
Los mecanismos criptográficos que emplea IPSec son intercambio de claves basado en
el algoritmo Diffie-Hellman, criptografía de clave público, algoritmos simétricos de
cifrado de datos (como DES, IDEA...), algoritmos hash con clave (HMAC, por
ejemplo), junto con otros más tradicionales (como MD5 y SHA), para proporcionar
autenticación de paquetes, y manejo de certificados digitales.
Paquetes IPSec
IPSec define un nuevo conjunto de cabeceras que se añaden al datagrama IP. Esas
nuevas cabeceras se colocan después de la cabecera IP y antes de la de nivel de
transporte. Existen dos tipos de cabeceras:
Authencation Header (AH): cuando es añadida asegura la integridad y la autenticidad de
los datos que transporta el datagrama IP y de los campos invariables de la propia
cabecera IP. AH no proporciona confidencialidad.
Encapsulating Security Protocol (ESP): esta cabecera, cuando se añade al datagrama IP,
proporciona confidencialidad, integridad y autenticidad de los datos transmitidos.
o Modo transporte: en este modo la cabecera IP del paquete original no se modifica. Este
modo es utilizado entre dispositivos finales de una comunicación que cumplen el
estándar IPSec.
Los dos sistemas comunicantes deben ponerse de acuerdo en los algoritmos a usar y en
la clave de sesión que han de compartir. Una vez realizado este proceso se puede decir
que se ha creado una asociación segura entre las dos entidades. Durante este proceso se
crea un túnel seguro entre los dos sistemas y después se negocia la asociación segura
para IPSec. El proceso de crear un túnel seguro consiste en una autenticación mutua y el
establecimiento de una clave compartida. Existen diversos mecanismos de
autenticación, entre ellos se encuentran:
Firma digital
d. Microsoft Point-to-Point Encryption (mppe): protocolo que sirve para encriptar los
datos de las transmisiones.
e. mschap: tanto la versión 1 como la número 2, que sirve para establecer la conexión
segura y el intercambio de las claves. En la versión 1 se descubrió una vulnerabilidad,
que todavía no ha sido confirmada, que le obligó a evolucionar hasta la versión 2
(actual).
f. IPIP: protocolo de encapsulamiento de IP sobre tramas IP. Este protocolo, que puede
parecer poco útil, nos sirve para hacer el tunneling que se marca como uno de los
requisitos de VPN.
El ajuste que hace para cada usuario lo consigue gracias a los diferentes navegadores,
aplicaciones, sistemas operativos, etc...
Permite a los usuarios unirse a distintos grupos, así como a los administradores asignar
identidades en un entorno simple pero controlado.
La principal ventaja de usar una VPN es que permite disfrutar de una conexión a red
con todas las características de la red privada a la que se quiere acceder. El cliente VPN
adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas
las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo
acceder a la información publicada para esa red privada: bases de datos, documentos
internos, etc. a través de un acceso público. Al mismo tiempo, todas las conexiones de
acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y
conexiones que tenga la red privada.
Reducción de costos.
Sencilla de usar.
Entre los inconvenientes podemos citar: una mayor carga en el cliente VPN puesto que
debe realizar la tarea adicional de encapsular los paquetes de datos una vez más,
situación que se agrava cuando además se realiza encriptación de los datos que produce
una mayor ralentización de la mayoría de conexiones. También se produce una mayor
complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la
numeración asignada al cliente VPN y que puede requerir cambios en las
configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos
basados en nombre o número IP).
VPN puede provocar una sobrecarga en la conexión de red debido a la encriptación
utilizada. La mayoría de dispositivos VPN, tanto software como hardware podrán
manejar encriptación para velocidades de conexión 10baseT. Para conexiones más
lentas, como los módems, el procesamiento puede ser más rápido que la latencia de la
red. Muchas veces las bajas prestaciones dependen más de la pérdida de paquetes
provocada por una mala conexión a Internet que por la sobrecarga debida a la
encriptación.
• Ahorro en costes operacionales. Usando VPN para dar acceso a los usuarios, la
compañía puede deshacerse de los bancos de módems y de los servidores para acceso
remoto, de manera que ya no habrá que administrar esos dispositivos.
• Los servicios de la compañía están disponibles siempre. Una VPN permite a las
compañías ofrecer servicios globales. Los trabajadores remotos pueden conectarse a la
red interna sin importar dónde estén situados físicamente. Esto implica que pueden
utilizar los servicios de la LAN de la compañía, como impresoras o archivos
compartidos, sin problemas.
• Una compañía puede ofrecer servicios a sus socios mediante una VPN, ya que la
tecnología VPN permite accesos controlados y proporciona un canal seguro para
compartir información de negocios.
Este tipo de comunicaciones presentan múltiples ventajas y beneficios para los usuarios:
Solo a las partes autorizadas se les permite el acceso a las aplicaciones y servidores
corporativos, ya que se permite que las personas entren y salgan de Internet o de otras
redes públicas y también se les ofrece acceso a los servidores.
Cualquiera que pase a través de flujo de datos cifrados de la VPN no debe estar
capacitado para descifrar el mensaje.
28. CONCLUSIONES
En cuanto a los aspectos negativos, reseñar que el plazo de ejecución total del proyecto
va a depender en parte de la puntualidad en los plazos por parte de los proveedores de
materiales y de servicios.
Una forma de reducir coste en las VPN es eliminando la necesidad de largas líneas de
coste elevado. Con las VPN, una organización sólo necesita una conexión relativamente
pequeña al proveedor del servicio.
Otra forma de reducir costes es disminuir la carga de teléfono para accesos remotos. Los
clientes VPN sólo necesitan llamar al proveedor del servicio más cercano, que en la
mayoría de los casos será una llamada local.
Escalabilidad de las VPNs: Las redes VPN evitan el problema que existía en el pasado
al aumentar las redes de una determinada compañía, gracias a Internet. Internet
simplemente deriva en accesos distribuidos geográficamente.
Se estima que una solución VPN para una determinada empresa puede reducir sus
costes entre un 30% y un 50% comparada con las conexiones punto a punto.
Las VPN representan una gran solución para las empresas en cuanto a seguridad,
confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema
importante en las organizaciones, debido a que reduce significativamente el costo de la
transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las
VPN es que primero se deben establecer correctamente las políticas de seguridad y de
acceso porque si esto no está bien definido pueden existir consecuencias serias.
Palabras clave:
Te va a interesar