Red Privada Virtual (VPN)

Universidad Nacional del SantaFacultad de IngenieríaIngeniería de Sistemas e Informática

Red Privada Virtual (VPN)

Redes de Comunicación

Docente :

Ing. Guillermo Gil Albarrán

Integrantes :

Bedoya Cabrera Yessenia Ipanaqué Rugel Erik Mauricio Polo Miguel Ulloa Rivera Elgin Urrutia Olaya Jeampierre

VPNRED PRIVADA VIRTUAL

DEDICATORIA

En el presente trabajo queremos hacer un humilde reconocimiento a todos los profesores de la Universidad Nacional del Santa que han contribuyen todos los días en la formación profesional y humana durante estos 10 ciclos, que no sería igual sin las enseñanzas y atenciones, tanto en los salones de clases como fuera de ellos; los desvelos, la paciencia, el amor y el apoyo frente a las adversidades para continuar el camino de frente, sabiendo que una caída implica la oportunidad de soportarla con esperanza, con el consecuente de aprender de los errores propios; así como, de la amistad, la cual no podemos definir, pero sí intuir su grandeza y valía.

No seríamos los mismos sin todos aquellos a quienes hemos conocido, a quienes apreciamos y admiramos, de quienes hemos recibidos grandes lecciones. Por ello, aseguramos que no seríamos mejor de lo que somos sin ellos. Agradecemos en lo particular a:

A Dios, fuente de todo bien, por permitirnos el suficiente entendimiento para llegar a este punto de la vida, por concedernos salud para disfrutar estos momentos y conciencia para discernir lo bueno que hemos recibido, pues sin ello, no podríamos darnos esta oportunidad de reconocer su presencia a través de seres admirables en nuestra historia.

A nuestros amigos entrañables, que sin importar el tiempo que nos conocemos, la amistad que ha surgido se ha fortalecido, permitiéndonos decir como Aristóteles que “sin amigos nadie escogería vivir, aunque tuviese todos los bienes restantes”.

A todos muchas gracias.

1


PRESENTACIÓN

Estimado Profesor:

Cumpliendo con las disposiciones y recomendaciones para

el desarrollo del presente informe titulado:

“Red Privada Virtual (VPN)”

Esperamos que el esfuerzo realizado en el desarrollo del

presente informe haya logrado obtener los objetivos

trazados, en caso de existir ciertas omisiones, apelamos a la

compresión de su persona distinguido profesor con el fin

de dispensar las mismas.

2


ÍNDICE DE CONTENIDODEDICATORIA.................................................................................................................................................. 1

PRESENTACIÓN............................................................................................................................................... 2

ÍNDICE DE CONTENIDO...............................................................................................................................3

RESUMEN........................................................................................................................................................... 6

INTRODUCCIÓN............................................................................................................................................... 7

RED PRIVADA VIRTUAL (VPN).................................................................................................................8

DEFINICIÓN....................................................................................................................................................... 8

Ejemplo.........................................................................................................................................................10

COMPONENTES QUE FORMAN UNA VPN.........................................................................................11

CARACTERÍSTICAS...................................................................................................................................... 12

EL CRECIMIENTO DE LAS VPN.............................................................................................................. 13

OBJETIVOS....................................................................................................................................................... 14

VENTAJAS........................................................................................................................................................ 15

ASPECTOS BASICOS DE TUNELES:.......................................................................................................15

PROTOCOLOS DE TUNEL............................................................................................................ 15

CÓMO FUNCIONAN LOS TÚNELES..........................................................................................16

PROTOCOLOS DELTÚNEL Y LOS REQUERIMIENTOS BÁSICOS DEL TÚNEL.......17

PROTOCOLO DE PUNTO A PUNTO (PPP)............................................................................18

PROTOCOLO DE TÚNEL DE PUNTO A PUNTO (PPTP)...................................................21

REENVÍO DE NIVEL 2 (L2F).......................................................................................................22

PROTOCOLO DE TÚNEL DE NIVEL 2 (L2TP)......................................................................22

PPTP COMPARADO CON EL L2TP...........................................................................................24

MODO DEL TÚNEL DE SEGURIDAD DE PROTOCOLO PARA INTERNET (IPSEC)24

TIPOS DE VPN................................................................................................................................................ 25

VPN DE ACCESO REMOTO..........................................................................................................25

VPN PUNTO A PUNTO...................................................................................................................25

VPN over Lan.................................................................................................................................... 26

3


REQUERIMIENTOS...................................................................................................................................... 26

FUNCIONAMIENTO..................................................................................................................................... 27

CONFIGURACION DEL KERNEL CON SOPORTE MPPE..................................................28

CONFIGURACION DE PPPD CON SOPORTE MPPE...........................................................29

CONFIGURANDO EL SERVIDOR VPN (PPTPD)..................................................................29

CONFIGURANDO USUARIOS VPN............................................................................................30

FILTRADO DE PAQUETES...........................................................................................................31

CONFIGURANDO CLIENTES VPN.............................................................................................32

TIPOS DE CONEXIÓN.................................................................................................................................. 32

CONEXIÓN DE ACCESO REMOTO............................................................................................32

CONEXIÓN VPN ROUTER A ROUTER.....................................................................................32

CONEXIÓN VPN FIREWALL A FIREWALL............................................................................33

ESCENARIOS TÍPICOS DONDE USAS VPN.........................................................................................38

BRANCH OFFICE O DELEGACIONES.......................................................................................38

EXTRANET......................................................................................................................................... 38

USUARIOS MÓVILES......................................................................................................................39

SEGURIDAD PARA LAS VPN.................................................................................................................... 39

ENCRIPTACIÓN................................................................................................................................39

CLAVES................................................................................................................................................ 40

AUTENTICACIÓN............................................................................................................................ 40

ENCAPSULAMIENTO.....................................................................................................................40

PARA CIFRAR DATOS SE USAN PASSWORDS O CLAVES DE CIFRADO..................40

CIFRADO SIMÉTRICO Y CLAVES PRE-COMPARTIDAS...................................................41

CIFRADO ASIMÉTRICO CON SSL/TLS....................................................................................42

SEGURIDAD SSL/TLS....................................................................................................................42

PROCEDIMIENTO PARA LA IMPLEMENTACIÓN DE UNA VPN – Configuración Básica de una VPN en Windows XP Profesional...........................................................................................43

CONFIGURACIÓN DEL SERVIDOR...........................................................................................44

CONFIGURACIÓN DEL CLIENTE..............................................................................................48

GESTIÓN DE PUERTOS O CONFIGURACIÓN DEL SOFTWARE DE SEGURIDAD..51

CONCLUSIONES.............................................................................................................................................52

4


5


ÍNDICE DE FIGURAS

Figura 1. Red Privada Virtual.............................................................................9Figura 2. Ejemplo 1 de VPN.............................................................................10Figura 3. Ejemplo 2 de VPN.............................................................................10Figura 4. Componentes de una Red Privada Virtual.......................................12Figura 5. Túneles.............................................................................................16Figura 6. El proceso CHAP...............................................................................19Figura 7. Construcción de un paquete PPTP...................................................21Figura 8. Construcción de un paquete L2TP...................................................23Figura 9. Red Privada Virtual de Acceso Remoto............................................25Figura 10. Funcionamiento de una Red Privada Virtual..................................27Figura 11. Servidor VPN en Internet en el Frente del Firewall........................34Figura 12. Servidor VPN detrás del servidor de seguridad en Internet...........36Figura 13. Branch office o delefaciones..........................................................38Figura 14. Extranet..........................................................................................38Figura 15. Usuarios móviles............................................................................39Figura 16. Cifrado simétrico............................................................................41Figura 17. Cifrado Asimétrico.........................................................................42

6


RESUMEN

“RED PRIVADA VIRTUAL (VPN)”

Por:

Bedoya Cabrera YesseniaIpanaqué Rugel ErikMauricio Polo MiguelUlloa Rivera ElginUrrutia Olaya Jeanpierre

Una red privada virtual (VPN, <i>Virtual Private Network</i>) es la extensión de una red privada que incluye vínculos de redes compartidas o públicas como Internet. Con una red privada virtual, puede enviar datos entre dos equipos a través de una red compartida o pública de forma que emula un vínculo privado punto a punto. Las funciones de red privada virtual consisten en crear y configurar una red privada virtual.

Para emular un vínculo punto a punto, los datos se encapsulan o empaquetan con un encabezado que proporciona la información de enrutamiento que permite a los datos recorrer la red compartida o pública hasta alcanzar su destino. Para emular un vínculo privado, los datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red compartida o pública no se pueden descifrar si no se dispone de las claves de cifrado. El vínculo en el que se encapsulan y cifran los datos privados es una conexión de red privada virtual (VPN).

Los usuarios que trabajan en casa o que están de viaje pueden usar conexiones VPN para establecer una conexión de acceso remoto al servidor de una organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). La infraestructura exacta de la red compartida o pública es irrelevante dado que lógicamente parece como si los datos se enviaran a través de un vínculo privado dedicado.

Las organizaciones también pueden utilizar conexiones VPN para establecer conexiones enrutadas con oficinas alejadas geográficamente o con otras organizaciones a través de una red pública como Internet al mismo tiempo que realizan comunicaciones seguras. Una conexión VPN enrutada a través de Internet funciona lógicamente como un vínculo de WAN dedicado.

7


Gracias al acceso remoto y a las conexiones enrutadas, una organización puede utilizar conexiones VPN para realizar conexiones a larga distancia, o líneas concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP).

8


INTRODUCCIÓN

Las redes de área local (LAN) son las redes internas de las organizaciones, es decir las conexiones entre los equipos de una organización particular. Estas redes se conectan cada vez con más frecuencia a Internet mediante un equipo de interconexión. Muchas veces, las empresas necesitan comunicarse por Internet con filiales, clientes o incluso con el personal que puede estar alejado geográficamente.

Sin embargo, los datos transmitidos a través de Internet son mucho más vulnerables que cuando viajan por una red interna de la organización, ya que la ruta tomada no está definida por anticipado, lo que significa que los datos deben atravesar una infraestructura de red pública que pertenece a distintas entidades. Por esta razón, es posible que a lo largo de la línea, un usuario entrometido, escuche la red o incluso secuestre la señal. Por lo tanto, la información confidencial de una organización o empresa no debe ser enviada bajo tales condiciones.

La primera solución para satisfacer esta necesidad de comunicación segura implica conectar redes remotas mediante líneas dedicadas. Sin embargo, como la mayoría de las compañías no pueden conectar dos redes de área local remotas con una línea dedicada, a veces es necesario usar Internet como medio de transmisión.

Una buena solución consiste en utilizar Internet como medio de transmisión con un protocolo de túnel, que significa que los datos se encapsulan antes de ser enviados de manera cifrada. El término Red privada virtual (abreviado VPN) se utiliza para hacer referencia a la red creada artificialmente de esta manera.

Se dice que esta red es virtual porque conecta dos redes "físicas" (redes de área local) a través de una conexión poco fiable (Internet) y privada porque sólo los equipos que pertenecen a una red de área local de uno de los lados de la VPN pueden "ver" los datos.

Por lo tanto, el sistema VPN brinda una conexión segura a un bajo costo, ya que todo lo que se necesita es el hardware de ambos lados. Sin embargo, no garantiza una calidad de servicio comparable con una línea dedicada, ya que la red física es pública y por lo tanto no está garantizada.

9


RED PRIVADA VIRTUAL (VPN)Es de noche. La calle está llena de gente. Estamos esperando a cruzar la acera, cuando de repente vemos pasar una limusina. Tiene los cristales tintados, que reflejan las luces del neón, pero no podemos ver quién hay dentro ni lo que está haciendo. Estamos acostumbrados a ver otro tipo de coches, así que nos preguntamos ¿quién viajará ahí dentro? ¿Un político? ¿un actor?. De repente las luces del semáforo cambian y nos vemos arrastrados por la multitud al otro lado de la calle. La limusina se desvanece en la noche, dejando atrás todas nuestras especulaciones.

Si trasladamos esta experiencia al mundo IP, nos daremos cuenta de las ventajas de las VPN(Virtual Private Network). La analogía reside en que al igual que la limusina viaja por la calle sin mostrar que ocurre en su interior, la comunicación en una VPN viaja a través de Internet, pero está encapsulada y encriptada por lo que su contenido es secreto. Sólo el emisor y el receptor legítimo del mensaje pueden verla en su estado normal. Así el camino de un mensaje a través de una VPN tiene luz en los extremos, y oscuridad entre ellos, por lo que también se le llama, metafóricamente hablando, un túnel VPN.

Hablando en un lenguaje algo más técnico, básicamente una VPN es una unión de redes dispersas en Internet con una relación de confianza (configurable) entre las mismas, y niveles de autenticación y cifrado. Como indica su nombre, es una red privada, puesto que brinda autenticación y cifrado (privacidad en definitiva) y virtual porque se implementa sobre las redes públicas existentes y que no tienen los niveles de seguridad adecuados.

A pesar del retroceso que atraviesan las inversiones en tecnología, el mundo empresarial continúa viendo a Internet una manera de hacer negocios. La tecnología VPN está pasando de ser una nueva palabra de moda, a ser esencial para las empresas que quieren estar intercomunicadas. De hecho, mientras que las redes privadas están únicamente al alcance de grandes corporaciones que pueden costear su propia red, la tecnología VPN permite prácticamente a cualquier persona que tenga un ordenador y una línea telefónica usar datos de manera confidencial.

DEFINICIÓN

Desde una perspectiva histórica, el término Red privada virtual (VPN) comenzó a forjar su camino a principios de 1997, pero hay quienes están en desacuerdo con esta afirmación, lo cual provoca ciertas confusiones como la fecha exacta en que apareció esta tecnología. Si bien es verdad que la tecnología subyacente utilizada en las redes privadas virtuales es el conjunto TCP/IP que se desarrolló en los sesenta, algunos de sus conceptos datan de mucho antes.

10


Es una red privada que se crea dentro de otra red; por ejemplo el internet; generalmente las redes privadas se crean en redes públicas pero con un entorno confidencial y privado; mediante un proceso de encapsulación y/o encriptación de la información o paquetes de datos.Eta red nos permitirá trabajar como si estuviésemos en la red local y lo mejor de todos es que es totalmente transparente para el usuario.Dentro de la VPN cada equipo tendrá una IP, todas las conexiones usando esta IP estarán funcionando y serán ejecutadas, el usuario simplemente tendrá que utilizar las IPs y no preocuparse de nada más ya que el resto lo hace tanto el cliente como el servidor de la red virtual.

VirtualEsto es porque realmente no hay una conexión directa a la red entre las partes que se comunican entre si, solamente se trata de una conexión virtual servida por software VPN, que normalmente se realiza sobre conexiones públicas a la Internet.

PrivadaPorque solamente las personas que pertencen a la organización son conectadas por software VPN para acceder a los datos que puedan transferir.

Además una Red Privada Virtual puede ser vista como:Un conjunto de conexiones lógicas, que mediante software especial asegura la privacidad entre los extremos que se conectan. Hoy en día, la Internet es el medio de red más utilizado, y OpenVPN proporciona la privacidad mediante métodos criptográficos modernos y de punta.

11


Figura 1. Red Privada Virtual

Ejemplo

La RPV es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.

El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet.

12


Figura 2. Ejemplo 1 de VPN

Figura 3. Ejemplo 2 de VPN

COMPONENTES QUE FORMAN UNA VPN

Una conexión de red privada virtual (VPN) consta de los siguientes componentes:

Servidor VPN Un equipo que acepta conexiones VPN de clientes VPN.Normalmente es un componente hardware, aunque también lo puede ser software. Puede actuar como un gateway (permite interconectar redes con protocolos y arquitecturas diferentes a todos los niveles de comunicación. Su propósito es traducir la información del protocolo utilizado en una red al protocolo usado en la red de destino) en una red o en un

13


único computador. Debe estar siempre conectado y esperando a que clientes VPN se conecten a él. El software para el Servidor VPN es bastante frecuente. Sistemas como Windows 2000 Server permiten alojar un Servidor VPN.

Cliente VPNUn equipo que inicia una conexión VPN a un servidor VPN. Un cliente VPN puede ser un equipo individual o un enrutador.En la mayoría de los casos un componente software, aunque puede ser también un componente hardware. Un cliente realiza una llamada al servidor y se conecta. Entonces la computadora cliente podrá comunicarse con el Servidor VPN, ya que ellos se encuentran en la misma red virtual. El software para un cliente VPN es bastante común. Cuando se carga en la computadora este software permite crear un túnel seguro VPN a través de Internet para poder comunicarse con el Servidor VPN.

Túnel La parte de la conexión en la que se encapsulan los datos. Los túneles permiten la encapsulación de un paquete de un tipo de protocolo dentro del datagrama a un protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a través de una red pública, como Internet. Es posible configurar una solución VPN basada en el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa dos (L2TP) o el protocolo de túnel de sockets seguros (SSTP).PPTP, L2TP y SSTP dependen en gran medida de las características especificadas originalmente para el protocolo punto a punto (PPP). PPP se diseñó para enviar datos a través de conexiones punto a punto de acceso telefónico o dedicado. Para IP, PPP encapsula los paquetes IP dentro de tramas PPP y luego transmite los paquetes PPP encapsulados a través de un vínculo punto a punto. PPP se definió originalmente como el protocolo que debía usarse entre un cliente de acceso telefónico y un servidor de acceso a la red.

Conexión VPN La parte de la conexión en la que se cifran los datos. En las conexiones VPN seguras, los datos se cifran y encapsulan en la misma parte de la conexión.

Nota

Es posible crear un túnel y enviar los datos a través del túnel sin cifrarlos. No se trata de una conexión VPN debido a que los datos privados se envían a través de una red compartida o pública sin cifrar y en forma fácilmente legible.

Protocolos de túnel Los protocolos utilizados para administrar túneles y encapsular datos privados. Los datos que se envían por el túnel también deben estar cifrados para constituir una conexión VPN.

Datos en túnel Los datos que normalmente se envían a través de un vínculo punto a punto privado.

Conjunto de redes públicas o privadas de tránsito

14


La red compartida o privada que atraviesan los datos encapsulados. El conjunto de redes públicas o privadas de tránsito puede ser Internet o una intranet privada basada en IP.

Figura 4. Componentes de una Red Privada Virtual

Notas

Normalmente, el túnel y la conexión VPN se encuentran en la misma parte de la conexión.

CARACTERÍSTICAS

Las Redes Privadas Virtuales utilizan tecnología de túnel (tunneling) para la transmisión de datos mediante un proceso de encapsulación y en su defecto de encriptación, esto es importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta última utiliza líneas telefónicas dedicadas para formar la red.

Seguridad: Estableciendo un túnel de información encriptada entre su servidor y el proveedor de acceso a Internet.

Velocidad: Antes que los paquetes de información sean enviados por el enlace a Internet, el servidor va a comprimir toda la información, la misma que va a ser descomprimida en el otro extremo por otro servidor. Este proceso, que es completamente transparente para el usuario, va a permitir un incremento de aproximadamente un 40% en la velocidad.

Administración del ancho de Banda: Es posible solicitar al proveedor de acceso a Internet un ancho de banda específico y sostenido para la conexión.

Bajo costo: Mediante acceso de banda ancha (ADSL, Cable Módem) Ahorro en un 70% de costos.

Escalabilidad: Permite expansión de forma rápida y sencilla.

Flexibilidad: Amplia compatibilidad con diversas tecnologías.

15


EL CRECIMIENTO DE LAS VPN

Internet ha crecido más allá de las expectativas de cualquiera, y algunas estimaciones establecen que habrá más de 250 millones de usuarios dentro de algunos años. Los estudios difieren de uno a otro, pero todos aceptan que entre 60 y 100 millones de usuarios tienen acceso a Internet actualmente. La alta tasa de crecimiento de Internet y el número de usuarios, así como la cantidad de tráfico en el web y los registros de dominios individuales han desatado la tendencia hacia arriba de esta tasa de crecimiento. El Departamento de Comercio de Estados Unidos estimaba que para el año 2000 habría más de un millón de empresas conectadas a Internet. Esto ilustra claramente el impacto que tiene y tendrá Internet en el nuevo siglo. Se realizaron muchos estudios sugiriendo que para el cambio de siglo, entre 50 y 80 por ciento de todos los negocios utilizarían algún tipo de servicio de RPV. También sugieren que las corporaciones multinacionales de Estados Unidos con al menos 200 usuarios remotos pueden ahorrar más de $1.5 millones de dólares en 4 o 5 años al emplear Internet en vez de líneas rentadas.

Los PSI (proveedores de servicio de internet) han intentado manejar las crecientes solicitudes para el acceso a Internet con más bancos de módems y conductos con mayor ancho de banda. Desafortunadamente, incluso con esta demanda, los PSI siguen perdiendo dinero al proporcionar el acceso básico a Internet. Esto es evidente por el hecho de que muchos PSI han comenzado a cancelar su servicio de acceso mensual o de acceso ilimitado. Siendo éste el caso, los PSI deben ir ahora tras los clientes empresariales y corporativos, y deben ofrecer lo que estos negocios pidan.

El acceso global, la investigación de mercado, las ventas, la recopilación de datos y el apoyo a clientes son sólo una pequeña parte de las solicitudes hechas por los clientes empresariales a los PSI. Los negocios requieren estos servicios, así que los PSI deben ofrecerlos. Sin embargo, estos nuevos servicios tienen un precio. Uno es el desempeño; el tráfico adicional que estos nuevos servicios generan es una pesada preocupación sobre la actualización de la infraestructura de los PSI. Otra área importante es la seguridad. Cualquiera que esté en Internet potencialmente tiene el poder de ver los datos que pasan por la red, tener acceso a ellos, modificarlos y utilizar esa información para su beneficio propio. Por lo tanto, la duda es la seguridad esta implementada de tal manera que sea posible hacer negocios lo suficientemente confiables como para que Internet se utilice como medio para conducir una empresa? No muchos PSI quieren tener la responsabilidad de garantizar la seguridad de los datos conforme viajan por la red. Entonces, ¿será la ocasión para que los vendedores quienes ofrecen productos para Internet, como enrutadores y los llamados cortafuegos, garanticen la seguridad? No necesariamente, pero los datos pueden protegerse al comprender los riesgos de seguridad y los procedimientos asociados para prevenirlos, además de emplear el sentido común.

Las RPV juegan un papel importante en el proceso que permite a las compañías conducir sus negocios en una forma menos cara. Las RPV ofrecen a las compañías una manera de reducir sus costos, mejorar sus servicios y mantener su base de clientes. Algunas de las razones por las que muchos negocios utilizaran las RPV para conducir sus negocios son las siguientes:

Las RPV utilizan Internet como su medio de transporte.

16


Internet es un medio propicio tanto para clientes comerciales como privados.

Internet se extiende por todo el mundo.

La conductividad en Internet es extremadamente eficiente en el mercado actual, y muchos PSI procuran mantener la conexión.

Las RPV son flexibles, dinámicas y escalables.

Las RPV (en algunos casos) pueden utilizar la inversión que la compañía haya hecho en hardware.

La tecnología base de las RPV es el conjunto de protocolos TCP/IP de Internet, lo cual la hace mas fácil de comprender e implementar que una tecnología completamente nueva.

OBJETIVOS

Los objetivos básicos que persigue una empresa cuando decide instalar un servidor de VPN en una o varias de sus sedes son los siguientes:

Proporcionar movilidad a los empleados.

Acceso a la base de datos central sin utilización de operadores telefónicos.

Interconexión total a la red de todos los comerciales (empleados), de forma segura a través de una infraestructura pública.

Intercambio de información en tiempo real.

Correo electrónico corporativo

Acceso remoto a la información corporativa

Teletrabajo.

Flexibilidad y facilidad de uso.

Obtención de la máxima velocidad de transferencia de datos usando con eficiencia los recursos empleados.

Fácil adaptación a las nuevas tecnologías.

17


VENTAJAS

Además de reducir los costos de comunicaciones, una solución VPN también proporciona las siguientes ventajas:

Extiende la conectividad geográfica Una VPN conecta a empleados remotos a los recursos centrales.

Crecimiento en productividad de empleados Una solución de VPN permite a los empleados remotos aumentar su productividad un 22% - 45% (Gallup Organization and Opinion Research) eliminando tiempo.

Mejora la seguridad de Internet Siempre en una conexión de banda ancha a Internet, hace a una red vulnerable a ataques de hacker's. Muchas soluciones de VPN incluyen medidas de seguridad adicional, tales como dispositivos de seguridad ("firewall") y anti-virus de chequeo para contrarrestar los diferentes tipos de amenazas a la seguridad de la red.

Fácilmente escalableUna VPN permite a las compañías utilizar la infraestructura de los accesos remotos dentro de los ISP's. Por lo tanto, las compañías pueden agregar virtualmente una cantidad ilimitada de capacidad sin añadir infraestructura que sea significativa.

Simplifica la topología de Red La eliminación de módems y una infraestructura de red privada, simplifica la administración de la red.

ASPECTOS BASICOS DE TUNELES:

PROTOCOLOS DE TUNEL

Para que se establezca un túnel tanto el cliente del túnel como el servidor del tunnel deberán utilizar el mismo protocolo de túnel. La tecnología de túnel se puede basar ya sea en el protocolo del túnel de Nivel 2 ó de Nivel 3. Estos niveles corresponden al Modelo de referencia de interconexión de sistemas abiertos (OSI). Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas como su unidad de intercambio. PPTP y L2TP y el envoi de nivel 2 (L2F) son protocolos de túnel de Nivel 2; ambos encapsulan la carga útil en una trama de Protocolo de punto a punto (PPP) que se enviará a través de la red. Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre IP y el modo de túnel de seguridad IP (IPSec) son ejemplos de los protocolos de túnel de Nivel 3. Estos protocolos encapsulan los paquetes IP en un encabezado adicional IP antes de enviarlos a través de una red IP.

18


Figura 5. Túneles

CÓMO FUNCIONAN LOS TÚNELES

Para las tecnologías de túnel de Nivel 2 como PPTP y L2TP, un túnel es similar a una sesión; los dos puntos finales del túnel deben estar de acuerdo respecto al túnel y deben negociar las variables de la configuración, como son asignación de dirección o los parámetros de encriptación o de compresión. En la mayoría de los casos, los datos que se transfieren a través del túnel se envían utilizando protocolos basados en datagramas. Se utiliza un protocolo para mantenimiento del túnel como el mecanismo para administrar al mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado fuera de banda todos los temas relacionados con la configuración, normalmente por medio de procesos manuales. Sin embargo, puede no haber una fase de mantenimiento de túnel. Para los protocolos de Nivel 2 (PPTP y L2TP), se debe crear, mantener y luego dar por terminado un túnel. Una vez que se establece el túnel, se pueden enviar los datos a través del mismo. El cliente o el servidor del túnel utilizan un protocolo de transferencia de datos del túnel para preparar los datos para su transferencia. Por ejemplo, cuando el cliente del túnel envía una carga útil al servidor del túnel, el cliente del túnel adjunta primero un encabezado de protocolo de transferencia de datos de túnel a la carga útil. Luego, el cliente envía la carga útil encapsulada resultante a través de la red, la cual lo enruta al servidor del túnel. El servidor del túnel acepta los paquetes, quita el encabezado del protocolo de transferencia de datos del túnel y envía la carga útil a la red objetivo. La información que se envía entre el servidor del túnel y el cliente del túnel se comporta de manera similar.

PROTOCOLOS DELTÚNEL Y LOS REQUERIMIENTOS BÁSICOS DEL TÚNEL

Debido a que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP y L2TP) heredan un conjunto de funciones útiles. Como se señala más adelante,

19


estas funciones, y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la VPN.

Autenticación de usuario. Los protocolos de túnel Nivel 2 heredan los esquemas de autenticación del usuario de PPP, incluyendo los métodos EAP que se comentan a continuación. Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una excepción es la negociación IPSec ISAKMP, la cual proporciona una autenticación mutua de los puntos finales del túnel. (Nótese que la mayor parte de las implementaciones IPSec dan soporte sólo a certificados basados en equipo, más que en certificados de usuarios. Como resultado,cualquier usuario con acceso a uno de los equipos de punto final puede utilizar el túnel. Se puede eliminar esta debilidad potencial de seguridad cuando se conjunta el IPSec con un protocolo de Nivel 2 como el L2TP.)

Soporte de tarjeta de señales. Al utilizar el Protocolo de autenticación ampliable (EAP), los protocolos de túnel Nivel 2 pueden dar soporte a una amplia variedad de métodos de autenticación, incluyendo contraseñas de una sola vez, calculadores criptográficos y tarjetas inteligentes. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define la Autenticación de los certificados de llaves públicas en su negociación ISAKMP/Oakley.

Asignación de dirección dinámica. El túnel de Nivel 2 da soporte a la asignación dinámica de direcciones de clientes basadas en un mecanismo de negociación de Protocolo de control de la red (NCP). Por lo general, los esquemas de túnel de Nivel 3 suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Los esquemas para la asignación de direcciones en el modo de túnel IPSec están actualmente en desarrollo y no están disponibles aún.

Compresión de datos. Los protocolos de túnel Nivel 2 dan soporte a esquemas de compresión basados en PPP. Por ejemplo, las implementaciones de Microsoft tanto de PPTP como L2TP utilizan Microsoft Point-to-Point Compression (MPPC). La IETF está investigando mecanismos similares (como la compresión IP) para los protocolos de túnel Nivel 3.

Encriptación de datos. Los protocolos de túnel Nivel 2 dan soporte a mecanismos de encriptación de datos basados en PPP. La implementación de Microsoft de PPTP da soporte al uso opcional de Microsoft Point-to-Point Encription (MPPE), basado en el algoritmo RSA/RC4. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define varios métodos de Encriptación opcional de datos que se negocian durante el intercambio ISAKMP/Oakley . La implementación de Microsoft del protocolo L2TP utiliza la encriptación IPSec para proteger el flujo de datos del cliente al servidor del túnel.

Administración de llaves. MPPE, un protocolo de Nivel 2, se basa en las claves iniciales generadas durante la Autenticación del usuario y luego las renueva periódicamente. IPSec negocia explícitamente una llave común durante el intercambio ISAKMP y también las renueva periódicamente.

Soporte de protocolo múltiple. El sistema de túnel de Nivel 2 da soporte a protocolos múltiples de carga útil, lo cual hace más fácil para los clientes de túnel tener acceso a sus

20


redes corporativas utilizando IP, IPX, NetBEUI, etc. En contraste, los protocolos de túnel Nivel 3, como el modo de túnel IPSec, típicamente dan soporte sólo a redes objetivo que utilizan el protocolo IP.

PROTOCOLO DE PUNTO A PUNTO (PPP).

Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones originalmente especificadas para PPP, vale la pena examinar este protocolo más de cerca. PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto dedicadas. PPP encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP y luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto. El PPP se utiliza entre un cliente de marcación y un NAS. Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP . Cada una de estas cuatro fases debe completarse de manera exitosa antes de que la conexión del PPP esté lista para transferir los datos del usuario. Estas fases se explican más adelante.

1. Fase1: Establecer el enlace del PPP. PPP utiliza el Protocolo de control de enlace (LCP) para establecer, mantener y terminar la conexión física. Durante la fase LCP inicial, se seleccionan las opciones básicas de comunicación. Nótese que durante la fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de Autenticación, pero no se implementan efectivamente hasta la fase de Autenticación de conexión (Fase 2). De manera similar, durante el LCP, se toma una decisión en cuanto a que si dos iguales negociarán el uso de compresión y/o encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de compresión/encriptación y otros detalles.

2. Fase 2: Autenticar al usuario. En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de acceso remoto. Un esquema seguro de Autenticación proporciona protección contra ataques de reproducción y personificación de clientes remotos. (Un ataque de reproducción ocurre cuando un tercero monitorea una conexión exitosa y utiliza paquetes capturados para reproducir la respuesta del cliente remoto, de tal manera que pueda lograr una conexión autenticada. La personificación del cliente remoto ocurre cuando un tercero se apropia de una conexión autenticada. El intruso espera hasta que se haya autenticado la conexión y luego atrapa los parámetros de conversación, desconecta al usuario autenticado y toma control de la conexión autenticada.)

La mayoría de las implementaciones del PPP proporcionan métodos limitados de Autenticación, típicamente el Protocolo de autenticación de contraseña (PAP), el Protocolo de autenticación de saludo Challenge (CHAP) y Microsoft Challenge Handshake Authentication Protocol (MSCHAP).

Protocolo de autenticación de contraseña (PAP). El PAP es un esquema simple y claro de autenticación de texto. El NAS solicita al usuario el nombre y la contraseña y el PAP le contesta el texto claro (no encriptado). Obviamente, este esquema de autenticación no es seguro ya que un tercero podría capturar el nombre y la contraseña del usuario y utilizarlos para tener un acceso subsecuente

21


al NAS y todos los recursos que proporciona el mismo. PAP no proporciona ninguna protección contra ataques de reproducción o personificación de cliente remoto una vez que se ha escrito la contraseña del usuario.

Protocolo de autenticación de saludo Challenge (CHAP). El CHAP es un mecanismo de autenticación encriptado que evita la transmisión de contraseñas reales en la conexión. El NAS envía un Challenge, que consiste de una identificación de sesión y una extensión challenge arbitraria al cliente remoto. El cliente remoto deberá utilizar el algoritmo de control unidireccional MD5 para devolver el nombre del usuario y una encriptación del challenge, la identificación de la sesión y la contraseña del cliente. El nombre del usuario se envía sin verificar.

Figura 6. El proceso CHAP

El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de texto transparente sobre el enlace. En su lugar, se utiliza la contraseña para crear una verificación encriptada del challenge original. El servidor conoce la contraseña del texto transparente del cliente y por lo tanto puede duplicar la operación y comparar el resultado con la contraseña enviada en la respuesta del cliente. El CHAP protege contra ataques de reproducción al utilizar una extensión challenge arbitraria para cada intento de autenticación. El CHAP protege contra la personificación de un cliente remoto al enviar de manera impredecible challenges repetidos al cliente remoto a todo lo largo de la duración de la conexión.

Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP).

El MS-CHAP es un mecanismo de autenticación encriptado muy similar al CHAP. Como en el CHAP, el NAS envía un challenge, el cual consiste en una identificación de sesión y una extensión challenge arbitraria, al cliente remoto. El cliente remoto debe devolver el nombre del usuario y una verificación MD4 de la extensión challenge, el identificador de sesión y la contraseña MD4 verificada. Este diseño, que manipula una verificación del MD4 de la contraseña, proporciona un nivel adicional de seguridad debido a que permite que el servidor almacene las

22


contraseñas verificadas en lugar de contraseñas con texto transparente. MS-CHAP también proporciona códigos adicionales de error, incluyendo un código de Contraseña ha expirado, así como mensajes adicionales cliente-servidor encriptados que permiten a los usuarios cambiar sus contraseñas. En la implementación de Microsoft del MS-CHAP, tanto el Cliente como el NAS generan de manera independiente una llave inicial para encriptaciones subsecuentes de datos por el MPPE. El último punto es muy importante, ya que explica la forma en que se requiere la autenticación del MSCHAP para poder permitir la encriptación de datos con base en MPPE. Durante la fase 2 de la configuración del enlace del PPP, el NAS recopila los datos de autenticación y luego valida los datos contra su propia base de datos del usuario o contra un servidor central para la autenticación de base de datos, como el que mantiene un Controlador del dominio primario Windows NT, un servidor de Servicio remoto de usuario con marcación de autenticación (RADIUS).

3. Fase3: Control de rellamado del PPP. La implementación de Microsoft del PPP incluye una Fase opcional de control de rellamado. Esta fase utiliza el Protocolo de control de rellamado (CBCP) inmediatamente después de la fase de autenticación. Si se configura para rellamado, después de la autenticación, se desconectan tanto el cliente remoto como el NAS. Entonces, el NAS vuelve a llamar al cliente remoto en el número telefónico especificado. Esto proporciona un nivel adicional de seguridad a las redes de marcación. El NAS permitirá conexiones partir de los clientes remotos que físicamente residan sólo en números telefónicos específicos.

4. Fase 4: Invocar los protocolo(s) a nivel de red. Una vez que se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red (NCPs) que se seleccionaron durante la fase de establecimiento de enlace (Fase1) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación. En la implementación del PPP de Microsoft, el protocolo de control de compresión se utiliza para negociar tanto la compresión de datos (utilizando MPPC) como la encriptación de datos (utilizando MPPE) por la simple razón de que ambos se implementan en la misma rutina.

5. Fase de transferencia de datos. Una vez que se han terminado las cuatro fases de negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada paquete de datos transmitidos se envuelve en un encabezado del PPP el cual quita el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4, los datos se comprimirán antes de la transmisión. Si se seleccionaron y se negociaron de manera similar la encriptación de datos, los datos (comprimidos opcionalmente) se encriptarán antes de la transmisión.

PROTOCOLO DE TÚNEL DE PUNTO A PUNTO (PPTP).

El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP para transmisión sobre una red IP, como la de Internet. También se puede utilizar el PPTP en una red privada de LAN a LAN. El PPTP se documenta en el RFC preliminar, “Protocolo de túnel de punto a punto” (pptp-draft-ietf - ppext - pptp - 02.txt). Este proyecto se presentó ante el IETF en junio de 1996 por parte de las compañías miembros del Foro

23


PPTP incluyendo Microsoft Corporation, Ascend Communications, 3Com/Primary Access, ECI Telematics y US Robotics (ahora 3Com). Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP para mantenimiento del túnel y tramas del PPP encapsuladas de Encapsulación de enrutamiento genérico (GRE) para datos de túnel. Se pueden encriptar y/o comprimir las cargas útiles de las tramas del PPP encapsulado. La Figura 5 muestra la forma en que se ensambla el paquete del PPTP antes de la transmisión. El dibujo muestra un cliente de marcación que crea un túnel a través de una red. El diseño de la trama final muestra la encapsulación para un cliente de marcación (controlador de dispositivo PPP).

REENVÍO DE NIVEL 2 (L2F).

L2F, una tecnología propuesta por Cisco, es un protocolo de transmisión que permite que los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP y lo transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). El servidor L2F envuelve entonces los paquetes y los inyecta en la red. A diferencia del PPTP y L2TP, L2F no tiene un cliente definido. Nótese que L2F funciona sólo en túneles obligatorios. (Para

24

Figura 7. Construcción de un paquete PPTP


un análisis detallado de los túneles voluntarios y obligatorios, véase la sección “Tipos de túneles”, más adelante en este documento.)

PROTOCOLO DE TÚNEL DE NIVEL 2 (L2TP)

L2TP es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP represente las mejores funciones del PPTP y L2F. L2TP es un protocolo de red que encapsula las tramas del PPP que se enviarán sobre redes IP, X.25, Frame Relay o Modo de transferencia asíncona (ATM). Cuando está configurado para utilizar al IP como su transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre Internet. También se puede utilizar al L2TP directamente sobre varios medios WAN (como Frame Relay) sin nivel de transporte IP. El 2TP sobre las redes IP utilizan UDP y una serie de mensajes del L2TP para el mantenimiento del túnel. El L2TP también utiliza UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el túnel. Se pueden encriptar y/o comprimir las cargas útiles de las tramas PPP encapsuladas. La Figura 6 muestra la forma en que se ensambla un paquete L2TP antes de su transmisión. El dibujo muestra un cliente de marcación que crea un túnel a través de una red. El diseño final de trama muestra la encapsulación para un cliente de marcación (controlador de dispositivos PPP). La encapsulación supone el L2TP sobre IP.

25


Figura 8. Construcción de un paquete L2TP

26


PPTP COMPARADO CON EL L2TP.

Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los datos y luego incluir encabezados adicionales para transportarlos a través de la red. Los dos protocolos son muy similares. Sin embargo, existen diferencias entre el PPTP y L2TP: El PPTP requiere que la red sea de tipo IP. El L2TP requiere sólo que los medios del túnel proporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVCs), circuitos virtuales X.25 (VCs) o VCs ATM. El PPTP sólo puede soportar un túnel único entre puntos terminales. El L2TP permite el uso de varios túneles entre puntos terminales. Con el L2TP, uno puede crear diferentes túneles para diferentes calidades de servicio. L2TP proporciona la compresión de encabezados. Cuando se activa la compresión de encabezado, el L2TP opera sólo con 4 bytes adicionales, comparado con los 6 bytes para el PPTP. L2TP proporciona la autenticación de túnel, mientras que el PPTP no. Sin embargo, cuando se utiliza cualquiera de los protocolos sobre IPSec, se proporciona la autenticación de túnel por el IPSec de tal manera que no sea necesaria la autenticación del túnel Nivel 2.

MODO DEL TÚNEL DE SEGURIDAD DE PROTOCOLO PARA INTERNET (IPSEC)

El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida de información a través de una red IP. En su conjunto se describe con mayor detalle en la sección de Seguridad avanzada más adelante. Sin embargo, hay un aspecto del IPSec que debe analizarse en el contexto de los protocolos de túnel. Además de su definición de mecanismos de encriptación para tráfico IP, IPSec define el formato de paquete para un modo de túnel IP sobre IP, generalmente referido como un modo de túnel IPSec. Un túnel IPSec consiste en un cliente de túnel y un servidor de túnel, ambos configurados para utilizar los túneles IPSec y un mecanismo negociado de encriptación.

El modo del túnel del IPSec utiliza el método de seguridad negociada (de existir) para encapsular y encriptar todos los paquetes IP para una transferencia segura a través de una red privada o pública IP. Entonces, se vuelve a encapsular la carga útil encriptada con un encabezado IP de texto y se envía en la red para su entrega a un servidor de túnel. Al recibir este datagrama, el servidor del túnel procesa y descarta el encabezado IP de texto y luego desencripta su contenido para recuperar el paquete original IP de carga útil. Entonces, se procesa el paquete IP de carga útil de manera normal y se enruta su destino en la red objetivo. El modo de túnel IPSec tiene las siguientes funciones y limitaciones: Sólo da soporte a tráfico IP. Funciona en el fondo de la pila IP; por lo tanto, las aplicaciones y protocolos de niveles más altos heredan su comportamiento. Está controlado por una política de seguridad—un conjunto de reglas que se cumplen a través de filtros. Esta política de seguridad establece los mecanismos de encriptación y de túnel disponibles en orden de preferencia y los métodos de autenticación disponibles, también en orden de preferencia. Tan pronto como existe tráfico, los dos equipos realizan una autenticación mutua, y luego negocian los métodos de encriptación que se utilizarán. En lo subsecuente, se encripta todo el tráfico utilizando el mecanismo negociado de encriptación y luego se envuelve en un encabezado de túnel.

27


TIPOS DE VPN

Básicamente existen tres arquitecturas de conexión VPN:

VPN DE ACCESO REMOTO

Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas telefónicas).

Figura 9. Red Privada Virtual de Acceso Remoto

VPN PUNTO A PUNTO

Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a puntos tradicionales, sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o tunneling.

Tunneling

La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH.

28


El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc.

Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se encuentra en su red base, necesita que su home-agent realice ciertas funciones en su puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo de tunneling, ya que es necesario que los paquetes conserven su estructura y contenido originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el nodo-móvil.

VPN over Lan

Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda acceder a la información.

Otro ejemplo es la conexion a redes WIFI haciendo uso de túneles cifrados IPSEC o SSL que además de pasar por los métodos de autenticación tradicionales (WAP, WEP, MAcaddress, etc.) agregan las credenciales de seguridad del túnel VPN creado en la LAN internas o externas.

REQUERIMIENTOS

Los requisitos indispensables para implantar una VPN son:

Políticas de seguridad: codificación de datos (los datos que se van a transmitir a través de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red), administración de claves (la VPN debe generar y renovar las claves de codificación para el cliente y el servidor.),...

Requerimiento de aplicaciones en tiempo real.

Compartir datos, aplicaciones y recursos.

Servidor de acceso y autenticación (identificación de usuarios): debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no

29


estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren los accesos, la información y el instante en que se realizó.

Administración de direcciones: la VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así.

Soporte a protocolos múltiples: la VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros.

Tener una conexión a Internet:ya sea por conexión IP dedicada, ADSL o dial-up.

Servidor VPN: básicamente es una PC conectada a Internet esperando por conexiones de usuarios VPN y si estos cumplen con el proceso de autenticación, el servidor aceptara la conexión y dará acceso a los recursos de la red interna.

Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN.

Asegurarse que la VPN sea capaz de:

Encapsular los datos Autentificar usuarios. Encriptar los datos. Asignar direcciones IP de manera estática y/o dinámica.

FUNCIONAMIENTO

Una red privada virtual se basa en un protocolo denominado protocolo de túnel, es decir, un protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.

Figura 10. Funcionamiento de una Red Privada Virtual

La palabra "túnel" se usa para simbolizar el hecho que los datos estén cifrados desde el momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para cualquiera que no se encuentre en uno de los extremos de la VPN, como si los datos viajaran a

30


través de un túnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor de acceso remoto) es el elemento que descifra los datos del lado de la organización.

De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la infraestructura de red pública como intermediaria; luego transmite la solicitud de manera cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y éste envía la respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los envía al usuario.

CONFIGURACION DEL KERNEL CON SOPORTE MPPE

En todo momento asumo que trabajamos como usuario root.Instale los fuentes del kernel para su posterior compilación, es aconsejable bajarse laultima versión estable del kernel enhttp://w w w .kernel.org o bien, si su distribución esDebían puede instalarlo mediante apt. Al momento de escribir este documento se uso laversión 2.4.20.

También hay que conseguir el source del patch para MPPE para poder aplicárselo alkernel.Si no desea recompilar el kernel, hay imágenes precompiladas que ya poseen el soportepara MPPE, debe buscar la versión que mas se adecue a la arquitectura de su equipo.

Obtenemos los fuentes del kernel y herramientas para la compilación y lo preparamos para la compilación (al modo Debian) : # apt-get install kernel-package gcc bin86 bzip2 kernel-source-2.4.20#cd /usr/src#bzip2 -d kernel-source-2.4.20.tar.bz2#tar -xvf kernel-source-2.4.20.tar.bz2

Siempre es conveniente, para evitar errores en la compilación, hacer un enlace simbólico llamado linux al directorio que contiene los sources. #ln -s kernel-source-2.4.20 linux#cd Linux#make-kpkg clean# cp /boot/config-2.4.20 ./.config

Ahora le aplicaremos el patch para soporte MPPE: # cd /usr/src# wget http://quozl.netrek.org/pptp/ppp-2.4.2_cvs_20021120.tar.gz# tar -xfz ppp-2.4.2_cvs_20021120.tar.gz# cd ppp-2.4.2_cvs_20021120/linux/mppe# chmod +x mppeinstall.sh# ./mppeinstall.sh /usr/src/kernel-source-2.4.20

31


Editamos el archivo /usr/src/kernel-source-2.4.20/.config y buscamos la línea que hacereferencia al PPP y la dejamos de la siguiente manera, CONFIG_PPP=m , luegobuscamos otra línea que hace referencia al MPPE y quedaría así,CONFIG_PPP_MPPE=m.

El próximo paso es compilar el kernel e instalarlo: # make-kpkg –append_to_version -mppe –initrd kernel-image

Este proceso puede tomar unos cuantos minutos, depende la maquina en la que se esté compilando. # dpkg -i kernel-image-2.4.20-mppe_10.00.Custom_i386.deb

Ahora solo resta reiniciar el equipo con el nuevo kernel (recuerde configurar su gestor dearranque).Una vez reiniciado, asegúrese que esta corriendo el nuevo kernel:#uname -r

Si el kernel es el correcto, entonces vamos a testear el soporte para MPPE: #modprobe ppp_mppe

Aparecerá un mensaje pero será solo de advertencia, no impedirá que trabaje bien.

CONFIGURACION DE PPPD CON SOPORTE MPPE

Compilamos el nuevo pppd: # cd /usr/src/ppp-2.4.2_cvs_20021120/linux/mppe # make

Luego salvamos el pppd actual por si hay que volver atrás, para eso solo lo renombramos, y usamos el comando dpkg-divert el cual elimina la versión de pppd instalada por Debian, pero guardando los atributos en el archivo copiado. # cp /usr/sbin/pppd /usr/sbin/pppd.debian# dpkg-divert –divert /usr/sbin/pppd.debian /usr/sbin/pppd# cp pppd/pppd /usr/sbin/pppd

CONFIGURANDO EL SERVIDOR VPN (PPTPD)

Descargar la ultima versión de los fuentes de PPTPD (al momento de escribir estedocumento es pptpd-1.4-b2.tar.gz).

Descompactar y compilar del siguiente modo# tar -xvzf pptpd-1.4-b2.tar.gz# cd poptop-1.1.4# ./configure --prefix=/usr/sbin# make# make check# make install

32


Copiar el archivo pptpd.init (ubicado en el directorio de la compilacion) a /etc/init.d (en Red Hat seria /etc/rc.d/init.d) y darle permisos de ejecución: # chmod 755 pptpd.init

Luego hacer el link al runlevel adecuado: #cd /etc/rc2.d/ (en debian el runlevel 2 es modo multiuser) #ln -s ../init.d/pptpd.init S97vpn

Editar el archivo pptpd.init y cambiar la linea 23 "daemon /usr/sbin/pptpd"por "/usr/sbin/pptpd -d"

Editar el /etc/pptpd.conf y dejarlo de la siguiente manera debug #Esta línea puede ser removida una vez que la vpn esta funcionandooption /etc/ppp/options.pptplocalip 192.168.1.1remoteip 192.168.1.10-50localip: IP que tendrá el servidor vpn (IP del tunel), esto puede ser un rango, por lo cual asignara(en el servidor) una IP por cada túnel que se genere. A veces para mejor control es mejor que el server tenga la misma IP siempre. remoteip: rango de IPs que se asignan a los usuarios que se conecten, en caso de proveer una sola IP, permitirá un cliente por vez, pero todos los clientes obtendrán esamisma IP. Es importante tener en cuenta la cantidad de conexiones que se van a permitir,porque si se requiere asignar direcciones IP estáticas a usuarios (esto se hace en el /etc/chap-secrets) las IPs deberán estar contempladas en el rango.

Ahora deberemos editar el archivo /etc/ppp/options.pptp que debería tener como mínimo las siguientes opciones: lock debug +chap +chapms+chapms-v2mppe-40mppe-128mppe-statelessproxyarpy con esto quedaría configurado el servidos PPTPD, ahora pasemos a dar de alta los usuarios VPN.

CONFIGURANDO USUARIOS VPN

La configuración de usuarios se hace en el archivo /etc/ppp/chap-secrets, no es necesario que el usuario que se conecte por VPN tenga que ser usuario del sistema: La primer columna corresponde a el nombre de usuario(para autenticar dominios de windows, poner el nombre de dominio mas dos barras invertidas antes del usuario) En la segunda columna va el nombre del servidor (puede ir solamente un asterico asumiendo que es el mismo donde esta corriendo el pptp)En la tercera columna va el password.

33


En la cuarta columna va la IP, en caso de asignar estáticamente una a un usuario, de lo contrario, con un asterisco (*) el servidor le dará a ese usuario una IP arbitraria que va a estar comprendida en el rango que especifico en /etc/pptpd.conf ).

Ejemplo de /etc/ppp/chap-secrets: juan * bostero * pedro * de3th58 192.168.1.22 alberto * 123456 192.168.1.23

Para autenticar una maquina windows: Ej: dominio\\pedro * d3th58 192.168.1.22 Habrá tantos usuarios en el chap-secrets como conexiones sepermitan realizar(no se pueden loguear dos usuarios al mismo tiempo) , recordemostambién que en este archivo se encuentran los nombres de usuario y password deNUESTRO acceso a internet

FILTRADO DE PAQUETES

Si tenemos un firewall en el servidor VPN, deberemos agregar algunas reglas de iptables para permitir que se establezca el túnel, los puertos que nos interesan son el 1723 y el 47.

Reglas de entrada: # iptables -A INPUT -p tcp --dport 1723 -j ACCEPT # iptables -A INPUT -p 47 -j ACCEPT Reglas de salida: # iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT # iptables -A OUTPUT -p 47 -j ACCEPT

Ahora solo resta por levantar el demonio pptpd del siguiente modo: #/etc/init.d/pptpd.init start o directamente # pptpd

El servidor PPTPD se pondrá automáticamente en background escuchando por el puerto TCP 1723 en espera de conexiones entrantes

34


CONFIGURANDO CLIENTES VPN

Configuración de clientes bajo windows:

1- Primero deberemos dar soporte a windows para establecer conexiones vpn.Desde las propiedades de red, agregar dispositivo(o adaptador) para redes privadasvirtuales.

2- Ir a Panel de Control > Configuración de Acceso Telefónico a redes. Crear un nuevo perfil de conexión utilizando el dispositivo con soporte para vpn, estableciendo el nombre o numero IP del servidor vpn, nombre de usuario que hemos establecido en el /etc/chap-secrets del equipo servidor y la misma password.

3- Luego de creada la conexión, entramos a Propiedades y le decimos (tildando las opciones) que queremos cifrado de datos y contraseña cifrada. Llegados a este punto, ya se puede establecer la conexión cliente<->servidor, conectando como si lo hiciéramos a un isp normal.

TIPOS DE CONEXIÓN

CONEXIÓN DE ACCESO REMOTO

Una conexión VPN de acceso remoto es realizada por un cliente de acceso remoto, o un equipo de usuario único, que se conecta a una red privada. El servidor VPN proporciona acceso a los recursos del servidor VPN o de toda la red a la que está conectado el servidor VPN. Los paquetes enviados a través de la conexión VPN se originan en el cliente de acceso remoto.

El cliente de acceso remoto (el cliente VPN) se autentica ante el servidor de acceso remoto (el servidor VPN) y, para la autenticación mutua, el servidor se autentica al cliente.

CONEXIÓN VPN ROUTER A ROUTER

Una conexión VPN de enrutador a enrutador se hace por un router y conecta dos partes de una red privada. El servidor VPN proporciona una conexión enrutada a la red a la que está conectado el servidor VPN. En una conexión VPN de enrutador a enrutador, los paquetes enviados desde cualquier router a través de la conexión VPN típicamente no se originan en los routers.

35


El enrutador de llamada (el cliente VPN) se autentica ante el enrutador de respuesta (el servidor VPN), y, para la autenticación mutua, el enrutador de respuesta se autentica en el enrutador de llamada.

CONEXIÓN VPN FIREWALL A FIREWALL

Un servidor de seguridad emplea el filtrado de paquetes para permitir o no permitir el flujo de tipos muy específicos de tráfico de la red. filtrado de paquetes IP proporciona una manera de definir con precisión lo que el tráfico IP se le permite cruzar el cortafuegos. filtrado de paquetes IP es importante a la hora de conectar redes privadas a redes públicas como Internet.

VPN Server y configuraciones de servidor de seguridad

Hay dos enfoques para la utilización de un firewall con un servidor VPN:

El servidor VPN está conectado a Internet y el servidor de seguridad está entre el servidor VPN y la intranet.

El servidor de seguridad está conectado a Internet y el servidor VPN está entre el servidor de seguridad y la intranet.

Servidor VPN delante del servidor de seguridad

Con el servidor VPN delante del servidor de seguridad conectado a Internet, como se muestra en la Figura 7 es necesario agregar filtros de paquetes para la interfaz de Internet que sólo permiten el tráfico VPN hacia y desde la dirección IP de la interfaz del servidor VPN en Internet.

Para el tráfico entrante, cuando los datos del túnel es descifrado por el servidor VPN que se envía al servidor de seguridad, que emplea a sus filtros para permitir el tráfico que se remitirá a la intranet de los recursos. Debido a que el único tráfico que está cruzando el servidor VPN es tráfico generado por autenticado clientes VPN, firewall de filtrado en este escenario se puede utilizar para impedir que los usuarios de VPN de acceso a recursos específicos de la intranet.

Debido a que el tráfico de Internet sólo se permite en la intranet debe pasar por el servidor VPN, este enfoque también evita el intercambio de transferencia de archivos (FTP) o recursos web de la intranet con los usuarios de Internet no VPN.

36


Figura 11. Servidor VPN en Internet en el Frente del Firewall

Para la interfaz de Internet del servidor VPN, configurar la siguiente entrada y los filtros de salida con el Servicio de enrutamiento y acceso remoto en.

Filtros de paquetes de PPTP

Configurar los filtros de entrada siguiente con la acción de filtrado Descartar todos los paquetes que no cumplan con los siguientes criterios:

Dirección IP de destino de la interfaz de Internet del servidor VPN, máscara de subred 255.255.255.255 y puerto de destino TCP 1723 (0x06BB). Este filtro permite el tráfico de mantenimiento del túnel PPTP desde el cliente PPTP con el servidor PPTP.

Dirección IP de destino de la interfaz de Internet del servidor VPN, máscara de subred de 255.255.255.255, y Id. de protocolo IP 47 (0x2F). Este filtro permite un túnel PPTP datos desde el cliente PPTP con el servidor PPTP.

Dirección IP de destino de la interfaz de Internet del servidor VPN, máscara de subred de 255.255.255.255, y TCP [establecido] puerto de origen de 1723 (0x06BB).

Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se selecciona TCP [establecido], el tráfico sólo se acepta si el servidor VPN inició la conexión TCP.

Configurar los filtros de salida siguiente con la acción de filtrado Descartar todos los paquetes que no cumplan con los siguientes criterios:

Dirección IP de origen de la interfaz de Internet del servidor VPN, máscara de subred 255.255.255.255 y puerto de origen TCP 1723 (0x06BB). Este filtro permite el tráfico de túnel PPTP de mantenimiento del servidor VPN para el cliente VPN.

37


Dirección IP de origen de la interfaz de Internet del servidor VPN, máscara de subred de 255.255.255.255, y Id. de protocolo IP 47 (0x2F). Este filtro permite un túnel PPTP datos desde el servidor VPN para el cliente VPN.

Dirección IP de origen de la interfaz de Internet del servidor VPN, máscara de subred de 255.255.255.255, y TCP [establecido] puerto de destino de 1723 (0x06BB). Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se selecciona TCP [establecido], el tráfico es enviado sólo si el servidor VPN inició la conexión TCP.

Filtros de paquetes para L2TP sobre IPSec


Dirección IP de destino de la interfaz de Internet del servidor VPN, máscara de subred 255.255.255.255 y puerto de destino UDP 500 (0x01F4). Este filtro permite Internet Key Exchange (IKE) el tráfico hacia el servidor VPN.

Dirección IP de destino de la interfaz de Internet del servidor VPN, máscara de subred 255.255.255.255 y puerto de destino UDP 1701 (0x6A5). Este filtro permite el tráfico L2TP desde el cliente VPN con el servidor VPN.

Configurar los filtros de salida siguiente con la acción de filtrado Descartar todos los paquetes que no cumplan con los siguientes criterios:

Dirección IP de origen de la interfaz de Internet del servidor VPN, máscara de subred 255.255.255.255 y puerto de origen UDP 500 (0x01F4). Este filtro permite el tráfico IKE desde el servidor VPN.

Dirección IP de origen de la interfaz de Internet del servidor VPN, máscara de subred 255.255.255.255 y puerto de origen UDP 1701 (0x6A5). Este filtro permite el tráfico L2TP desde el servidor VPN para el cliente VPN.

No hay filtros necesarios para el tráfico ESP de IPSec para el protocolo IP 50. El Servicio de enrutamiento y acceso remoto servicio de acceso de filtros se aplican después de que el módulo de IPSec de TCP / IP elimina la cabecera ESP.

Servidor VPN detrás del firewall

En una configuración más común, que se ilustra en la Figura 12, el servidor de seguridad está conectado a Internet y el servidor VPN es otro recurso intranet conectada a una zona desmilitarizada (DMZ). La zona desmilitarizada es un segmento de red IP que normalmente contiene los recursos disponibles para los usuarios de Internet, tales como

38


servidores Web y servidores FTP. El servidor VPN tiene una interfaz en la zona de distensión y una interfaz de la intranet.

En este enfoque, el servidor de seguridad se debe configurar con filtros de entrada y salida en la interfaz de Internet para permitir el paso del tráfico del túnel de mantenimiento y un túnel de datos con el servidor VPN. Filtros adicionales se pueden permitir el paso de tráfico a los servidores Web, servidores FTP, y otros tipos de servidores en la DMZ.

Debido a que el firewall no tiene las claves de cifrado para cada conexión VPN, sólo se puede filtrar por las cabeceras de texto claro de los datos de un túnel, lo que significa que todos los datos del túnel pasan a través del firewall. Sin embargo, esto no es un problema de seguridad porque la conexión VPN requiere un proceso de autenticación que impide el acceso no autorizado más allá del servidor VPN.

Figura 12. Servidor VPN detrás del servidor de seguridad en Internet

Para la interfaz de Internet en el firewall, la siguiente entrada y salida de los filtros se deben configurar con el software del servidor de seguridad de configuración.

Filtros de paquetes de PPTP


Dirección IP de destino de la interfaz DMZ del servidor VPN y puerto de destino TCP 1723 (0x06BB). Este filtro permite el tráfico de mantenimiento del túnel PPTP desde el cliente PPTP con el servidor PPTP.

Dirección IP de destino de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 47 (0x2F). Este filtro permite un túnel PPTP datos desde el cliente PPTP con el servidor PPTP.

Dirección IP de destino de la interfaz DMZ del servidor VPN y TCP [establecido] puerto de origen de 1723 (0x06BB). Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un

39


enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se selecciona TCP [establecido], el tráfico sólo se acepta si el servidor VPN inició la conexión TCP.

Configurar los filtros de salida siguiente con la acción de filtrado Descartar todos los paquetes que no cumplan con los siguientes criterios.

Dirección IP de origen de la interfaz DMZ del servidor VPN y puerto de origen TCP 1723 (0x06BB). Este filtro permite el tráfico de túnel PPTP de mantenimiento del servidor VPN para el cliente VPN.

Dirección IP de origen de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 47 (0x2F). Este filtro permite un túnel PPTP datos desde el servidor VPN para el cliente VPN.

Dirección IP de origen de la interfaz DMZ del servidor VPN y TCP [establecido] puerto de destino de 1723 (0x06BB). Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se selecciona TCP [establecido], el tráfico es enviado sólo si el servidor VPN inició la conexión TCP.

Filtros de paquetes para L2TP sobre IPSec

Configurar los filtros de entrada siguiente con la acción de filtrado Descartar todos los paquetes que no cumplan con los siguientes criterios.

Dirección IP de destino de la interfaz DMZ del servidor VPN y puerto de destino UDP 500 (0x01F4). Este filtro permite el tráfico IKE con el servidor VPN.

Dirección IP de destino de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 50 (0x32). Este filtro permite el tráfico ESP de IPSec desde el cliente VPN con el servidor VPN.

Configurar los filtros de salida siguiente con la acción de filtrado Descartar todos los paquetes que no cumplan con los siguientes criterios.

Dirección IP de origen de la interfaz DMZ del servidor VPN y puerto de origen UDP 500 (0x01F4). Este filtro permite el tráfico IKE desde el servidor VPN.

Dirección IP de origen de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 50 (0x32). Este filtro permite el tráfico ESP de IPSec desde el servidor VPN para el cliente VPN.

No hay filtros necesarios para el tráfico L2TP en el puerto UDP 1701. En el servidor de seguridad, todo el tráfico L2TP, incluido el mantenimiento del túnel y los datos del túnel se cifra como una carga útil de ESP de IPSec.

40


ESCENARIOS TÍPICOS DONDE USAS VPN

BRANCH OFFICE O DELEGACIONES

En este supuesto, se trata de localizaciones de una misma empresa separadas geográficamente. y que necesitan intercambiar datos entre ellas, acceder a una misma base de datos, aplicación... La VPN permite conexiones confidenciales de una red a otra.

Figura 13. Branch office o delefaciones

EXTRANET

Empresas diferentes, pero que trabajan conjuntamente (por ej, proveedor y fabricante), pueden compartir información de manera eficiente y segura entre sus respectivos negocios sin que terceras personas tengan acceso a los datos compartidos. En este caso también se interconectan las redes corporativas, aunque sólo se da acceso a un segmento de cada red.

Figura 14. Extranet

USUARIOS MÓVILES

Ahora hablamos de trabajadores que pasan gran parte del tiempo fuera de la empresa, como teletrabajadores o los llamados “road warriors”, personas que necesitan acceder a la red de la empresa pero que están constantemente cambiando de ubicación. Ahora lo que

41


se permite es a un ordenador personal o portátil el acceso a la red corporativa, manteniendo la privacidad.

Figura 15. Usuarios móviles

SEGURIDAD PARA LAS VPN

ENCRIPTACIÓN

Las redes privadas virtuales garantizan la privacidad y la confidencialidad de la información haciendo uso de la encriptación primer nivel de seguridad. En un muy breve resumen, encriptación es una técnica que codifica la información de un modo que hace difícil o imposible su lectura, y la decodifica de modo que pueda ser leída nuevamente. A la información codificada se la llama cipher-text y a la información sin codificar, clear-text. Cuando en una VPN se transmite información de un punto a otro, el Gateway de la VPN del punto de origen encripta la información en cipher-text antes de enviarla. En el otro punto, el Gateway receptor desencripta la información, es decir se vuelve clear-text, y luego la envía a la LAN.

42


CLAVES

Un segundo nivel de seguridad se logra a través del uso de keys (claves) que evitan que alguien no autorizado pueda acceder a la información. Una clave es un código secreto utilizado por el algoritmo de encriptación para crear una versión única de cipher-text. Esta clave podría compararse con la combinación utilizada en una caja fuerte, brindando seguridad a través de la generación de claves únicas y con alta dificultad de ser conocidas. El nivel de seguridad depende en buena parte del largo de la clave (key lenght).

AUTENTICACIÓN

La tecnología de encriptación garantiza la privacidad de la información al atravesar Internet. La tecnología de autenticación tercer nivel de seguridad, garantiza:

1. La identidad de los participantes de la VPN (los gateways y clientes son quienes dicen ser)

2. La integridad de la información recibida (no ha sido alterada en el camino)Existen diversos modos de autenticación, siendo el más utilizado el de usuario y contraseña.

ENCAPSULAMIENTO

Encriptación, claves, autenticación (y eventualmente certificados y firmas digitales) son las tecnologías de seguridad que garantizan la privacidad en una VPN. Ahora, generalmente, el envío de información en una VPN se realiza entre direcciones privadas.

Es decir, entre direcciones no routeables vía Internet. Este proceso de poner un paquete dentro de otro es denominado encapsulamiento, y es la base del tunneling.

PARA CIFRAR DATOS SE USAN PASSWORDS O CLAVES DE CIFRADO

OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-compartidas y otro en SSL/TLS usando certificados y claves RSA.

43


Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando el mecanismo conocido como “clave simétrica” y dicha clave debe ser instalada en todas las máquinas que tomarán parte en la conexión VPN.

Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas cuentan con la ventaja de la simplicidad.

Veremos a continuación ese método y otros que aportan mayor seguridad y facilidad de distribución.

CIFRADO SIMÉTRICO Y CLAVES PRE-COMPARTIDAS

Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la obtuviese comprometería el tráfico completo de la organización ya que tomaría parte como un integrante más de la VPN.

Figura 16. Cifrado simétrico

Es por ello que mecanismos como IPsec cambian las claves cada cierto período, asociando a las mismas ciertos períodos de validez, llamados “tiempo de vida” o “lifetime”. Una buena combinación de tiempo de vida y largo de la clave asegurarán que un atacante no pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los noventa y aún no ha sido terminado.

44

http://es.wikipedia.org/wiki/Archivo:Lbutrico_pre-sharedkey.png


CIFRADO ASIMÉTRICO CON SSL/TLS

SSL/TLS usa una de las mejores tecnologías de cifrado para asegurar la identidad de los integrantes de la VPN.

Cada integrante tiene dos claves, una pública y otra privada.

La pública es distribuida y usada por cualquiera para cifrar los datos que serán enviados a la contraparte quien conoce la clave privada que es la única que sirve para descifrar los datos. El par de clave pública/privada es generado a partir de algoritmos matemáticos que aseguran que solo con la clave privada es posible leer los datos originales. El día que alguien encuentre algún defecto a ese algoritmo, todos aquellos conectados a Internet estarán comprometidos en forma instantánea.

Figura 17. Cifrado Asimétrico

Es de destacar que la clave privada debe permanecer secreta mientras que la clave pública debe ser intercambiada para que nos puedan enviar mensajes.

SEGURIDAD SSL/TLS

Las bibliotecas SSL/TLS son parte del sofware OpenSSL que vienen instaladas en cualquier sistema moderno e implementan mecanismos de cifrado y autenticación basadas en certificados. Los certificados generalmente son emitidos por entidades de reconocida confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos en nuestra propia VPN. Con un certificado firmado, el dueño del mismo es capaz de demostrar su identidad a todos aquellos que confíen en la autoridad certificadora que lo emitió.

45

http://es.wikipedia.org/wiki/Archivo:Lbutrico_asimetric_key.png


PROCEDIMIENTO PARA LA IMPLEMENTACIÓN DE UNA VPN – Configuración Básica de una VPN en Windows XP Profesional

Explicaremos el procedimiento para configurar una VPN en Windows (R) XP, tanto en modo cliente como en modo servidor.

VPN (Virtual Private Network) significa literalmente Red Privada Virtual. Básicamente consiste en realizar una conexión a una red externa creando un túnel a través de internet, permitiendo la creación de una red privada dentro de una red pública.

A continuación, reproducimos parte de la explicación contenida en la ayuda de windows xp sobre VPN, por ser bastante ilustrativa:

La VPN utiliza el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol) o el Protocolo de túnel de nivel dos (L2TP, Layer Two Tunneling Protocol), mediante los cuales se puede tener acceso de forma segura a los recursos de una red al conectar con un servidor de acceso remoto a través de Internet u otra red. El uso de redes privadas y públicas para crear una conexión de red se denomina red privada virtual, Virtual Private Network).

Un usuario que ya está conectado a Internet utiliza una conexión VPN para marcar el número del servidor de acceso remoto. Entre los ejemplos de este tipo de usuarios se incluyen las personas cuyos equipos están conectados a una red de área local, los usuarios de cables de conexión directa o los suscriptores de servicios como ADSL, en los que la conectividad IP se establece inmediatamente después de que el usuario inicie el equipo. El controlador PPTP o L2TP establece un túnel a través de Internet y conecta con el servidor de acceso remoto habilitado para PPTP o L2TP. Después de la autenticación, el usuario puede tener acceso a la red corporativa con total funcionalidad.

El procedimiento para la configuración constaría de 3 pasos.

Configuración del servidor VPN Configuración del cliente VPN Gestión de puertos o configuración del software de seguridad.

46


CONFIGURACIÓN DEL SERVIDOR.

El procedimiento sería el siguiente:

Iremos a Inicio -> Mis sitios de red (en ocasiones Mis sitios de red no aparece directamente en el menú, y hay que acceder a través de Mi PC)

Dentro de Mis sitios de red, seleccionamos Ver conexiones de red, y a continuación, Crear una conexión nueva.

Se abrirá el asistente para conexión nueva e iremos siguiendo las indicaciones, pulsamos en Siguiente:

47


Seleccionamos la opción Configurar una conexión avanzada y pulsamos en Siguiente, para después elegir la opción Aceptar conexiones entrantes.

En esta pantalla que aparece a continuación, Dispositivos de conexiones entrantes, no debemos marcar ninguno y pulsar directamente en el botón Siguiente. Al hacerlo de este modo, aparecerá la pantalla para empezar a definir Conexión de red privada virtual (VPN) entrante. La verdad es que no es fácil llegar hasta aquí. Volvemos a pulsar Siguiente.

48


Debemos ahora definir un usuario que tenga permisos de acceso a través de la VPN. Podemos elegir uno de los que ya tenemos configurado en el PC o bien crear otro exclusivo. Al crear uno nuevo (pulsar el botón Agregar...), nos pedirá que introduzcamos un nombre de usuario y le proporcionemos una contraseña. Esta contraseña será la que posteriormente nos solicite al realizar la conexión remota.

Una vez creado el usuario nuevo, lo seleccionamos para permitirle la conexión, pulsamos en Siguiente y pasamos a otra pantalla en la que nos muestra los protocolos que usará la conexión para permitir el acceso al cliente remoto. Lo dejamos como está y pulsamos en Siguiente para finalizar esta parte del proceso.

49


Con esto habremos creado la conexión nueva y habremos creado también un usuario con acceso a la VPN. Pulsamos en Finalizar.

Ahora volvemos a Conexiones de red para verificar que se ha creado la conexión. Aparecerá una nueva llamada Conexiones entrantes.

50


CONFIGURACIÓN DEL CLIENTE

Una vez que tengamos configurado el servidor de VPN en, por ejemplo, la oficina, debemos configurar el cliente en el lugar desde donde queramos acceder. Para ello debemos crear en el PC del sitio remoto una nueva conexión de red.

Vamos a Mis sitios de red -> Ver conexiones de red y elegimos la opción Crear una conexión nueva.

Volverá a abrirse el Asistente para nuevas conexiones. Pulsamos en Siguiente. Ahora elegimos Conectarse a la red de mi lugar de trabajo.

Dentro de las 2 opciones que aparecen, elegimos Conexión de red privada virtual y en la pantalla siguiente especificamos un nombre para que la identifique dentro de las conexiones de red que tengamos definidas. Pulsamos en Siguiente.

51


En el siguiente paso nos pedirá que introduzcamos el nombre de host o la dirección IP del servidor remoto. Que será la dirección del servidor que configuramos en la primera parte del documento. Pulsamos en Siguiente y en Finalizar.

La nueva conexión aparecerá ahora en Conexiones de Red, dentro del un nuevo grupo que se llama Red privada virtual. Para establecer la conexión, pulsamos 2 veces sobre ella con el botón izquierdo del ratón.

52


Se abrirá el diálogo de conexión, introduciremos nombre de usuario y contraseña.

Antes de realizar la primera conexión hay que hacer un pequeño ajuste en la configuración para que se pueda seguir navegando con normalidad mientras estemos conectados a la VPN. Para ello pulsamos en Propiedades. En la pestaña Funciones de red, seleccionamos el Protocolo Internet (TCP/IP) y pulsamos de nuevo en Propiedades.

Ahora vamos al apartado Opciones avanzadas y llegaremos a otra pantalla. Ahí debemos quitar la marca de la casilla Usar la puerta de enlace predeterminada en la red remota.

53


GESTIÓN DE PUERTOS O CONFIGURACIÓN DEL SOFTWARE DE SEGURIDAD.

Para establecer la comunicación VPN necesitamos que el ordenador servidor sea accesible por los puertos 1723 TCP y el protocolo GRE (o en su defecto el puerto 47 UDP).

Por tanto debemos configurar tanto el router como los servidores de seguridad o firewall que podamos tener instalados en el servidor para permitirlo. Cada router o firewall tendrá sus procedimientos propios, que no serán objeto del presente manual.

Una vez realizados estos pasos debería ser posible la conexión al equipo remoto. Al menos este equipo debería ser accesible. Para tener acceso a la red completa deberíamos realizar una configuración más completa del servidor, que trataremos en otro manual independiente.

54


CONCLUSIONES

Por lo anterior, entiendo que una VPN es una red privada que opera a través de una red pública, que bien ésta puede ser Internet. Toda la información que se envíe o reciba aparentemente estará operando a través de la red pública. Así toda la red que esté navegando, estará segura de cualquier ataque en la red, por navegadores, curiosos o inexpertos y principalmente de los hackers. Y además el acceso a este tipo de redes será exclusiva para las personas o grupos que estén suscritos a una VPN.

También es cierto que día con día crece la inseguridad en la red, es decir, uno no sabe, que nuestro nombre, domicilio, fecha de nacimiento, preferencias comerciales, entre otras cosas puede estar siendo “pública” en ese momento; y no privada como muchos lo creemos. Sin embargo también la tecnología avanza en la misma medida para bien, es decir, para estar al servicio y en protección de cualquier ataque que se le haga a nuestra privacía.

Las Redes Virtuales Privadas son una opción más para que las grandes (y pequeñas ) empresas se mantengan a salvo de cualquier intento de ataque en contra de esa información tan valiosa. Asimismo pueden auxiliarse de la amplia tecnología de vanguardia en cuanto a software y hardware se refiere.

Debemos tomar conciencia de que la tecnología de vanguardia muchas veces se aplica para mal (para violar información privada); pero que en muchas otras ocasiones ésta misma se encuentra en buenas manos y nos permite comunicar rápidamente y sobre todo ser transmitida de una forma segura y confiable.

Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y practicamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la trasnferencia de datos de un lugar a otro.

El único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias.

55


REFERENCIA BIBLIOGRÁFICAS

http://es.kioskea.net/contents/initiation/vpn.php3

http://www.uv.es/siuv/cas/zxarxa/vpn.htm

http://www.redes-linux.com/manuales/vpn/trabajo.pdf

http://www.josoroma.com/redes-privadas-virtuales

http://blackspiral.org/docs/pfc/itis/node5.html

http://www.worldlingo.com/ma/enwiki/es/Virtual_private_network

http://www.ordenadores-y-portatiles.com/red-privada-vpn.html

http://www.youtube.com/watch?v=0TTu2CGyFi0

http://www.youtube.com/watch?v=US54jUhsJCE&feature=related

http://www.youtube.com/watch?v=Po91EQ7Xasc&feature=related

http://www.youtube.com/watch?v=O4ZGNgKFKGE&feature=related

http://html.rincondelvago.com/redes-privadas-virtuales.html

56

Documents

Red Privada Virtual (VPN)