REDES DE COMPUTADORAS II

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

ING. VICTOR HUGO ROMAN
INTRODUCCION TIPOS DE VPN FUNCIONAMIENTO TALLER PACKET
IPSEC TRACERT

AGENDA
 Desafíos de VPN
 La IETF ha sabido por años que hay una escasez de seguridad en Internet.
 Desafíos de VPN
La mayoría de los expertos en seguridad creían que para ofrecer una
verdadera seguridad, el sistema de cifrado y las verificaciones de integridad
tenían que llevarse a cabo de extremo a extremo (en la capa de aplicación).
Esto es, el proceso de origen encripta o protege la integridad de los datos y
los envía al proceso de destino, en donde se desencriptan o verifican. Por lo
tanto, es posible detectar cualquier alteración que se realice entre estos dos
procesos, o en cualquier sistema operativo.
 Desafíos de VPN
El problema con este enfoque es que requiere cambiar todas las aplicaciones
para que estén conscientes de la seguridad. Desde esta perspectiva, el
siguiente enfoque más conveniente es colocar el encriptado en la capa de
transporte o en una nueva capa entre la capa de aplicación y la de transporte,
con lo que se conserva el enfoque de extremo a extremo pero no hay que
cambiar las aplicaciones.
INTRODUCCION TIPOS DE VPN FUNCIONAMIENTO TALLER PACKET
IPSEC TRACERT

AGENDA
  ¿Qué ES VPN?

• Una red privada virtual (VPN) proporciona el equivalente a una red privada de conmutación de paquetes a
través de la Internet pública. Implica establecer una serie de circuitos permanentes virtuales que se ejecutan a
través de Internet para que la red actúe como un conjunto de circuitos dedicados aunque los datos fluyan a
través de Internet.
 • Con una VPN, primero alquila una conexión a
Internet a cualquier velocidad de acceso y tecnología
de acceso que elija para cada ubicación que desee
 ¿Qué ES VPN? conectarse. Por ejemplo, puede arrendar un circuito
T1 a un operador común que va desde su oficina
hasta su proveedor de servicios de Internet (ISP).
Usted paga al operador por el circuito y al ISP por el
acceso a Internet. Luego, conecta una puerta de
enlace VPN (un enrutador especialmente diseñado) a
cada circuito de acceso a Internet para proporcionar
acceso desde sus redes a la VPN. Las puertas de
enlace VPN le permiten crear circuitos privados
permanentes a través de Internet que son llamados
túneles
 • La VPN es transparente para los
usuarios; parece como si una red
 ¿Qué ES VPN? tradicional de conmutación de paquetes.
• La VPN también es transparente
para el ISP e Internet en su conjunto;
simplemente hay un flujo de paquetes de
Internet que se mueven a través de
Internet.
• El software VPN se usa comúnmente en
computadoras domésticas o portátiles
para proporcionar los mismos túneles
seguros a las personas que trabajan
desde fuera del sitio.
 • Las principales ventajas de las VPN son el
bajo costo y la flexibilidad. Debido a que
 VENTAJAS utilizan Internet para transportar mensajes, el
mayor costo es el acceso a Internet, que es
económico en comparación con el costo de
los servicios de circuitos dedicados y los
servicios de conmutación de paquetes de un
operador común. Del mismo modo, en
cualquier lugar donde pueda establecer un
servicio de Internet, puede instalar
rápidamente una VPN.
 • Hay dos desventajas importantes.
Primero, el tráfico en Internet es
 DESVENTAJAS
impredecible. A veces, los paquetes
viajan rápidamente, pero en otras
ocasiones, tardan mucho en llegar a su
destino.
• En segundo lugar, debido a que los
datos viajan por Internet, la seguridad
siempre es una preocupación. La
mayoría de las VPN cifran el paquete en el
dispositivo VPN de origen antes de que
ingrese a Internet y descifran el paquete
en el dispositivo VPN de destino.
 • Hay tres tipos de VPN de uso común:
VPN de intranet, VPN de extranet y
VPN de acceso.
 TIPOS DE VPN • Una VPN de intranet proporciona
circuitos virtuales entre las oficinas de la
organización a través de Internet. Cada
ubicación tiene una puerta de enlace VPN
que conecta la ubicación con otra
ubicación a través de Internet.
• Una VPN de extranet es lo mismo que
una VPN de intranet, excepto que la VPN
conecta varias organizaciones
diferentes, a menudo clientes y
proveedores, a través de Internet.
 • Una VPN de acceso permite a los
empleados acceder a las redes de una
organización desde una ubicación remota.
 TIPOS DE VPN
Los empleados tienen acceso a la red y a
todos los recursos en ella de la misma
manera que los empleados ubicados
físicamente en la red.
• El usuario usa el software VPN en su
computadora para conectarse al
dispositivo VPN en la oficina, iniciar
sesión, establece el túnel y el software
comienza a reenviar paquetes a través de
Internet.
INTRODUCCION TIPOS DE VPN FUNCIONAMIENTO TALLER PACKET
IPSEC TRACERT

AGENDA
 IPSec (Internet Protocol Security) es un conjunto de protocolos de seguridad
en internet diseñado para proteger los paquetes de datos enviados a través de
una red IP. IPSec emplea la encriptación para garantizar la privacidad de los
datos enviados y para verificar que solo son leídos por sus legítimos
destinatarios, impidiendo su acceso a terceros.
 ¿Qué es IPSEC?
IPSec es uno de los protocolos preferidos para proteger los datos enviados por
internet gracias a que cuenta con varias ventajas frente a otros protocolos.
• Por una parte, IPSec opera a nivel de red, en lugar de hacerlo en la capa de
aplicación como hacen muchos otros protocolos –por ejemplo el SSL–.
• Y, por otra parte, sus dos modos diferentes hacen que sea una de las
formas más seguras de encriptar datos, de ahí que IPSec sea uno de los
protocolos más utilizados por las VPN.
 IPsec (Seguridad IP, del inglés IP security), el cual se describe
en los RFC 2401, 2402 y 2406, 2410, entre otros.

 ¿Qué es IPSEC? Las características de IPsec se pueden resumir de la siguiente

manera:
•Es un marco de estándares abiertos .
•Proporciona confidencialidad e integridad de datos, y
autenticación del origen.
•Funciona en la capa de red, por lo que protege y autentica
paquetes IP.
 Los servicios de seguridad IPsec proporcionan cuatro funciones fundamentales:
•Confidencialidad (cifrado): en una implementación de VPN, los datos privados se
transfieren a través de una red pública. Por este motivo, la confidencialidad de los
datos es fundamental. Esto se puede lograr mediante el cifrado de los datos antes
de transmitirlos a través de la red. Este es el proceso de tomar todos los datos que
una computadora envía a otra y codificarlos de una manera que solo la otra
computadora pueda decodificar.
 ¿Qué es IPSEC? •Integridad de datos: el receptor puede verificar que los datos se hayan
transmitido a través de Internet sin sufrir ningún tipo de modificaciones ni
alteraciones. Si bien es importante que los datos a través de una red pública estén
cifrados, también es importante verificar que no se hayan modificado cuando
estaban en tránsito.
•Autenticación: verifica la identidad del origen de los datos que se envían. Esto es
necesario para la protección contra distintos ataques que dependen de la
suplantación de identidad del emisor. IPsec utiliza el intercambio de claves de
Internet (IKE) para autenticar a los usuarios y dispositivos que pueden llevar a cabo
la comunicación de manera independiente.
•Protección antirreproducción: es la capacidad de detectar y rechazar los paquetes
reproducidos, y ayuda a prevenir la suplantación de identidad. Verifica que cada
paquete sea único y no esté duplicado. Los paquetes IPsec se protegen mediante la
comparación del número de secuencia de los paquetes recibidos con una ventana
deslizante en el host de destino o el gateway de seguridad. Se considera que un
paquete que tiene un número de secuencia anterior a la ventana deslizante tiene
un retraso o está duplicado.
 Una “conexión” en el contexto de IPsec se conoce como SA (Asociación
de Seguridad, del inglés Security Association).
Una SA es una conexión simple entre dos puntos finales y tiene un
identificador de seguridad asociado con ella. Si se necesita tráfico seguro
en ambas direcciones, se requieren dos asociaciones de seguridad. Los
identificadores de seguridad se transportan en paquetes que viajan en
 ¿Qué es IPSEC?
estas conexiones seguras, y se utilizan para buscar claves además de otra
información relevante cuando llega un paquete seguro.
Técnicamente, IPsec tiene dos partes principales.
• La primera describe dos encabezados (AH y ESP)nuevos que se
pueden agregar a los paquetes para transportar el identificador de
seguridad, los datos de control de integridad y demás información.

• La otra parte, ISAKMP (Asociación para Seguridad en Internet y

Protocolo de Administración de Claves, del inglés Internet Security
Association and Key Management Protocol ), se encarga de establecer
las claves. ISAKMP es un marco de trabajo. El protocolo principal que
realiza el trabajo es IKE (Intercambio de Claves de Internet, del inglés
Internet Key Exchange).
 IPSec combina dos mecanismos fundamentales que se articulan para
garantizar la completa privacidad de la información enviada. Estos
mecanismos son la cabecera de autentificación (AH) y la capa de
seguridad encapsulada (ESP). Veamos en qué consisten.

 ¿Cómo FUNCIONA? Cabecera de autentificación (AH)

La función de la cabecera de autentificación de IPSec, más conocida
simplemente como AH, consiste en la incorporación de una firma
digital en cada paquete de datos enviado. La AH permite verificar que
solo el destinatario de los datos pueda recibirlos, y a su vez impide que
los datos sean modificados antes de llegar a su destino, evitando, por
ejemplo, los ataques de intermediario.

Capa de seguridad encapsulada (ESP)

Complementaria a la AH, la capa de seguridad encapsulada –ESP–
tiene la función de asegurar la encriptación de la información que se
encuentra dentro del paquete, de forma que impide que los datos
enviados sean accesibles por parte de terceros que puedan interceptar
una transmisión.
 ¿Cómo FUNCIONA?
 ¿Cómo FUNCIONA?
 Modos de IPSec: túnel y transporte
La combinación de los mecanismos de la AH y la ESP permite a IPSec contar
con dos modos principales de uso: el modo túnel y el modo transporte.
Vamos a ver en qué consiste cada uno.

Modo túnel
 ¿Cómo FUNCIONA? El modo túnel de IPSec es su modo por defecto. Cuando este modo está
activado, IPSec crea un túnel VPN para intercambiar información de forma
segura con el servidor. Este túnel queda encriptado por IPSec, y la dirección IP
queda enmascarada para terminar de proteger los datos enviados y recibidos.
En el modo túnel se introduce un encabezado IPSec (AH o ESP) entre el
encabezado IP y la capa superior del protocolo.

Modo de transporte
El modo de transporte de IPSec se utiliza para comunicaciones de extremo a
extremo, por ejemplo entre un cliente y un servidor. Este tipo de encriptación
se puede utilizar para realizar sesiones de escritorio remoto. Emplea un
encabezado TCP/UDP a través de un encabezado AH o ESP.
Suele utilizarse cuando se emplea otro protocolo de tunelización para
encapsular el paquete de datos IP, que a su vez queda protegido por el
protocolo IPSec.
 ¿Cómo FUNCIONA?

 Ilustración de Modo
TUNEL y
TRANSPORTE
 Articulación de IPSec con otros protocolos: IKEv2 y L2TP
Cuando opera en el contexto de una VPN, IPSec suele utilizarse en
combinación con otros protocolos para garantizar la seguridad de los datos y
la velocidad de la conexión. Los más comunes son IKEv2 y L2TP.

IPSec con IKEv2 (IKEv2/IPSec)

 ¿Cómo FUNCIONA? IKEv2 (Internet Key Exchange version 2) es un protocolo desarrollado por
Microsoft y Cisco. Se trata de un protocolo de túnel que cuenta con la
principal ventaja de ser particularmente flexible a los cambios de la red,
además de ser compatible con diversos sistemas operativos. Usar IPSec con
IKEv2 VPN garantiza una conexión robusta con una gran velocidad y
estabilidad.

IPSec con L2TP (L2TP/IPSec)

El protocolo L2TP (Layer 2 Tunnel Protocol) es un protocolo de túnel que
carece de encriptación por sí mismo, de ahí que sea necesario utilizarlo en
combinación con un protocolo que sí la tenga, como IPSec. La principal
ventaja de L2TP es su velocidad, con lo que muchas VPNs eligen la
combinación L2TP/IPSec para garantizarles a sus usuarios una conexión rápida
y segura.
  ¿Cómo FUNCIONA?
 ALGORITMOS DE
CIFRADO

En el contexto del cifrado, un algoritmo es una secuencia matemática de pasos que combina un mensaje, texto, dígitos o las
tres cosas con una cadena de dígitos denominada «clave». El resultado es una cadena de cifrado ilegible. El algoritmo de
cifrado también especifica cómo se descifra un mensaje cifrado. El descifrado es extremadamente difícil o imposible sin la
clave correcta.
 El grado de seguridad depende de la longitud de la clave
del algoritmo de cifrado.
• Cuanto más larga es la clave, se torna más difícil
descifrarla. Sin embargo, una clave más larga requiere
 ¿Cómo FUNCIONA? más recursos de procesador para cifrar y descifrar
datos.
 ALGORITMOS DE • DES y 3DES ya no se consideran seguros; por lo tanto,
CIFRADO se recomienda utilizar AES para el cifrado de IPSec.
• La mejor seguridad para el cifrado de IPSec de las VPN
entre dispositivos de Cisco la proporciona la opción de
256 bits de AES.
• Además, dado que se descifraron claves de Rivest,
Shamir y Adleman (RSA) de 512 bits y 768 bits, Cisco
recomienda utilizar claves de 2048 bits con la opción
RSA si se la utilizó durante la fase de autenticación de
IKE.
  ¿Cómo FUNCIONA?
 INTERCAMBIO DE
CLAVES

Diffie-Hellman (DH) no es un mecanismo de cifrado y no se suele utilizar para cifrar

datos. En cambio, es un método para intercambiar con seguridad las claves que
cifran datos. Los algoritmos (DH) permiten que dos partes establezcan la clave
secreta compartida que usan el cifrado y los algoritmos de hash.
 Los algoritmos de cifrado, como DES, 3DES y AES, así
como los algoritmos de hash MD5 y SHA-1, requieren una
clave secreta compartida simétrica para realizar el cifrado
y el descifrado.
 ¿Cómo FUNCIONA? ¿Cómo obtienen la clave secreta compartida los
dispositivos de cifrado y descifrado?
 INTERCAMBIO DE El método más sencillo de intercambio de claves es un
CLAVES método de intercambio de clave pública entre
dispositivos de cifrado y descifrado.
El algoritmo DH especifica un método de intercambio de
clave pública que proporciona una manera para que dos
peers establezcan una clave secreta compartida que solo
ellos conozcan, aunque se comuniquen a través de un
canal inseguro. Como todos los algoritmos criptográficos,
el intercambio de claves DH se basa en una secuencia
matemática de pasos.
 Los algoritmos de hash manejan la integridad y la
autenticación del tráfico VPN. Los hashes proporcionan
integridad y autenticación de datos al asegurar que las
personas no autorizadas no alteren los mensajes
 ¿Cómo FUNCIONA? transmitidos.
Un hash, también denominado «síntesis del mensaje«, es
 INTERCAMBIO DE un número que se genera a partir de una cadena de
CLAVES texto. El hash es más corto que el texto en sí. Se genera
mediante el uso de una fórmula, de tal manera que es
muy poco probable que otro texto produzca el mismo
valor de hash.
 HMAC:
El código de autenticación de mensajes basado en
hash (HMAC) es un mecanismo para la autenticación
de mensajes mediante funciones de hash.
 ¿Cómo FUNCIONA?
Un HMAC con clave es un algoritmo de integridad de
 INTERCAMBIO DE datos que garantiza la integridad de un mensaje.
CLAVES

•MD5: utiliza una clave secreta compartida de 128 bits. El mensaje de

longitud variable y la clave secreta compartida de 128 bits se combinan y
se procesan con el algoritmo de hash HMAC-MD5. El resultado es un
hash de 128 bit. El hash se adjunta al mensaje original y se envía al
extremo remoto.
•SHA: SHA-1 utiliza una clave secreta de 160 bits. El mensaje de longitud
variable y la clave secreta compartida de 160 bits se combinan y se
procesan con el algoritmo de hash HMAC-SHA1. El resultado es un hash
de 160 bits. El hash se adjunta al mensaje original y se envía al extremo
remoto
INTRODUCCION TIPOS DE VPN FUNCIONAMIENTO TALLER PACKET
IPSEC TRACERT

AGENDA
PASOA PARA LA CONFIGURACION

FASES GENERALES DE CONFIGURACIÓN

 FASE I: CONFIGUAR IKE (Internet Key Exchange)
• Utilizando protocol ISAKMP (Internet Security Association and Key Management Protocol)

 FASE II: CONFIGURAR IPSEK

PASOA PARA LA CONFIGURACION

FASES GENERALES DE CONFIGURACIÓN

 FASE I: CONFIGUAR IKE (Internet Key Exchange)
• Utilizando protocol ISAKMP (Internet Security Association and Key Management Protocol)
 También conocido como ISAKMP/IKE Fase 1, es básicamente el proceso de administración de
la VPN donde se verifica que se coincida el tipo de autenticación, grupo DH, algoritmo de
encriptación, el hash, lifetime, etc. en los peers de VPN. En esta fase no se transmite ningún
tipo de tráfico de usuarios.
 Aquí es donde se define el perfil y la llave.
PASOA PARA LA CONFIGURACION

FASES GENERALES DE CONFIGURACIÓN

 FASE II: CONFIGURAR IPSEK
 Es básicamente utilizado para negociar y establecer un túnel IPSec, una vez
establecido el tráfico de los usuarios fluye a través de la VPN.
PASOA PARA LA CONFIGURACION

FASES GENERALES DE CONFIGURACIÓN

ELEMENTOS A UTILIZAR EN EL TALLER
 Modo Túnel: Es otro tipo de encapsulamiento y es mucho más compatible con los tipos de VPN Gateway, el paquete IP es
encapsulado dentro de otro paquete para protegerlo. Desventajas:
 ISAKMP: Es un procedimiento establecer el mecanismo de intercambio de llaves y definir el formato de los mensajes, los
cuales serán utilizados para las asociaciones de seguridad.
 IKE: Encargado de definir la creación y administración de las llaves para usarlas con los métodos de protección.
 Grupo Diffie Hellman: Es utilizado para determinar el tamaño de la llave compartida entre ambos equipos. Cada grupo tiene de
Diffie Hellman (DH) representa cierta cantidad de bits, y los grupos van del 1 al 5, 7, 14 y 15. No todos los equipos soportan
todos los grupos.
 IPSec: IP Security, fue creado para proveer protección a los datos por medio de encriptación, Los algoritmos de encriptación
soportados por IPSec son: DES, 3DES, AES. IPSec soporta 1 o 2 tipos de protocolos de seguridad ESP (Puerto 51) y AH (Puerto
50).
 Pre Shared key: Permite la autenticación de IKE usando una llave compartida.
 Algoritmo Hash: Representa el método de criptografía, el cual puede ser SHA-1 o MD5.
 Crypto Map: Mecanismo utilizado para asociar ACLs y los parámetros de IPSec, configurado durante la Fase 2.
Instrucciones:

TALLER
Utilizar el simulador Packet Tracert para realizar lo siguiente.
• Se entregará una red en Packet Tracert
• Aplicar configuraciones de VPN tipo Tunel.
FUENTES

• CCNA2,3 –Material oficial de la academia Cisco (Netacad).

• https://community.cisco.com/t5/documentos-routing-y-switching/vpn-sitio-a-sitio-con-crypto-maps/ta-p/3181797
 Andrew S. Tanenbaum. David J. Wetherall. (2012). Redes de computadoras (5ª. Ed) México Pearson Educación.
Capítulo 8.
 https://nordvpn.com/es/blog/protocolo-ipsec/
• Protocolos IPSEC
• https://www.youtube.com/watch?v=3-YkbBN_uAQ&t=272s
• https://www.youtube.com/watch?v=bfIliRN7sMc
• Criptografía
• https://www.youtube.com/watch?v=eZzCuGzwpdg
• Túneles IPV6 sobre IPV4
• https://www.youtube.com/watch?v=08lqQQqOs_E
GRACIAS
VROMANC@MIUMG.EDU.GT