INSTITUTO SUPERIOR SISE
SEGURIDAD DE REDES I
TEMA:
VPN
INTEGRANTES:
ALIAGA YUPANQUI, KEVIN
HUAMN ESCOBAR, GIORGIA
HUARI GUERRERO CYNTHIA
DOCENTE:
VICTOR TERRONES
CICLO:
TURNO:
5TO MODULO B
NOCHE
LIMA, OCTUBRE 2015
INDICE
I.
MARCO TERICO
�I.1. DEFINICION DE UNA VPN
1.2. CARACTERISTICAS FUNCIONALES DE UNA VPN
1.3. VENTAJAS E INCONVENIENTES DE UNA VPN
1.3.1. VENTAJAS
1.3.2. INCONVENIENTES
1.4. ELEMENTOS PRINCIPALES DE UNA VPN
1.4.1. SERVIDOR VPN
1.4.2. CLIENTE VPN
1.4.3. TNEL
1.4.4. CONEXIN VPN
1.4.5. PROTOCOLOS DEL TNEL
1.4.6. DATOS DEL TNEL (TUNELED DATA)
1.4.7. RED DE TRANSITO
1.5. REQUERIMIENTOS BSICOS DE LA VPN
1.5.1. AUTENTICACIN DE USUARIO.
1.5.2. ADMINISTRACIN DE DIRECCIN.
1.5.3. ENCRIPTACIN DE DATOS.
1.5.4. ADMINISTRACIN DE LLAVES.
1.5.5. SOPORTE DE PROTOCOLO MLTIPLE.
1.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs
2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN)
2.6.2. SITE-TO-SITE VPN (VPN entre sitios)
2.6.3. EXTRANET VPN
1.7. TOPOLOGAS DE VPN
2.7.1. TOPOLOGA DE VPN UTILIZANDO ACCESO REMOTO (firewall cliente)
1.7.2. TOPOLOGA DE VPN LAN-TO-LAN
1.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
II. CONCLUSIONES
III. RECOMENDACIONES
�I. INTRODUCCION
�Una RED se extiende sobre un rea geogrfica amplia, a veces un pas o un continente;
contiene una coleccin de mquinas dedicadas a ejecutar programas de usuario
(aplicaciones).
En los ltimos aos las redes se han convertido en un factor crtico para cualquier
organizacin. Cada vez en mayor medida, las redes transmiten informacin vital, por tanto
dichas redes cumplen con atributos tales como seguridad, fiabilidad, alcance geogrfico y
efectividad en costos.
Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de
las empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las
que cuentas con oficinas remotas a varios kilmetros de distancia, pero tambin es cierto
que estas redes remotas han despertado la curiosidad de algunas personas que se dedican
a atacar los servidores y las redes para obtener informacin confidencial. Por tal motivo la
seguridad de las redes es de suma importancia, es por eso que escuchamos hablar tanto de
los famosos firewalls y las VPN.
II. MARCO TERICO:
II.1.
DEFINICION DE UNA VPN
�Una Red Privada Virtual (VPN) es una forma de compartir y transmitir informacin
entre un crculo cerrado de usuarios que estn situados en diferentes reas
geogrficas. Es una red de datos de gran seguridad que utilizando Internet como
medio de transmisin permite la transmisin de informacin confidencial entre la
empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus
empleados o sus clientes. Aunque Internet es una red pblica y abierta, la
transmisin de los datos se realiza a travs de la creacin de tneles virtuales,
asegurando la confidencialidad e integridad de los datos transmitidos.
Figura: Esquema de una Red VPN
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por
medio de la conexin de los usuarios de distintas redes a travs de un "tnel" que se
construye sobre Internet o sobre cualquier otra red pblica, negociando un esquema
de encriptacin y autentificacin de los paquetes de datos para el transporte,
permitiendo el acceso remoto a servicios de red de forma transparente y segura con
el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN
estn implementadas con firewalls, con routers para lograr esa encriptacin y
autentificacin.
�Es as como las Redes Privadas Virtuales (VPN) se convierten en un componente
importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar
una infraestructura de redes pblicas para la comunicacin en vez de utilizar
conexiones privadas o estructuras de acceso remoto que poseen un costo elevado,
permitiendo compartir y transmitir informacin de forma segura y confidencial
entre una empresa y sus sucursales, socios, proveedores, etc.
II.2.
CARACTERISTICAS FUNCIONALES
Para que una VPN proporcione la comunicacin que se espera, el sistema que se
implante ha de contemplar varios aspectos de funcionamiento para determinar que
ser una buena solucin.
Transparente a las aplicaciones
Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el
correcto funcionamiento de las aplicaciones.
Confidencialidad
Los datos que circulan por el canal slo pueden ser ledos por el emisor y el
receptor. La manera de conseguir esto es mediante tcnicas de encriptacin.
Autentificacin
El emisor y el receptor son capaces de determinar de forma inequvoca sus
identidades, de tal manera que no exista duda sobre las mismas. Esto puede
conseguirse mediante firmas digitales o aplicando mecanismos desafo-respuesta.
Integridad
�Capacidad para validar los datos, esto es, que los datos que le llegan al receptor
sean exactamente los que el emisor transmiti por el canal. Para esto se pueden
utilizar firmas digitales.
No repudio
Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo
emiti l.
Control de acceso
Capacidad para controlar el acceso de los usuarios a distintos recursos.
Viabilidad
Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de
tiempo real.
II.3.
VENTAJAS E INCONVENIENTES
II.3.1. VENTAJAS
Una VPN permite disponer de una conexin a red con todas las
caractersticas de la red privada a la que se quiere acceder. El cliente VPN
adquiere totalmente la condicin de miembro de esa red, con lo cual se le
aplican todas las directivas de seguridad y permisos de un ordenador en esa
red privada, pudiendo acceder a la informacin publicada para esa red
privada a travs de un acceso pblico. Al mismo tiempo, todas las conexiones
de acceso a Internet desde el ordenador cliente VPN se realizaran usando los
recursos y conexiones que tenga la red privada.
Representa una gran solucin en cuanto a seguridad, confidencialidad e
integridad de los datos y reduce significativamente el costo de la
transferencia de datos de un lugar a otro.
� Simplifica la integracin y crecimiento de una Red ya que la VPN provee una
solucin propietaria flexible y escalable para su implementacin y
crecimiento.
Permite la integracin de diversos ambientes computacionales en una sola
red de informacin cohesiva. Esto se debe fundamentalmente a estar basado
en estndares abiertos.
Minimiza el costo de administracin y soporte de la red. Las VPN ayudan a
aumentar la productividad del personal de soporte y administracin de la red.
Provee un punto central para la distribucin de software y updates, manuales,
etc. El browser al ser nico, reduce los costos de entrenamiento de personal,
pues emplea aplicaciones existentes o nuevas manteniendo la misma
apariencia a travs de todas las aplicaciones.
II.3.2. INCONVENIENTES
Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de
encapsular los paquetes de datos, situacin que se agrava cuando adems se
realiza encriptacin de los datos; lo cual origina que las conexiones sean
mucho ms lentas.
Mayor complejidad en el trfico de datos que puede producir efectos no
deseados al cambiar la numeracin asignada al cliente VPN y que puede
requerir cambios en las configuraciones de aplicaciones o programas (proxy,
servidor de correo, permisos basados en nombre o nmero IP) .
Las VPN primero deben establecer correctamente las polticas de seguridad y
de acceso.
II.4.
ELEMENTOS PRINCIPALES DE UNA VPN
�II.4.1. Servidor VPN
Es un servidor que se pone como gateway en la salida de Internet de la red. Permite
conectarse con otros servidores VPN generando tneles de comunicacin seguros
con otras redes o usuarios remotos, proporcionando una conexin de acceso remoto
VPN o una conexin de enrutador a enrutador.
II.4.2. Cliente VPN
El cliente VPN permite la comunicacin privada virtual iniciada desde el cliente de
la red (VPN). Es en si una computadora que inicia una conexin VPN con un
servidor VPN.
Un cliente VPN o un enrutador tiene una conexin de enrutador a enrutador a travs
de una red pblica, as es como los usuarios finales logran la comunicacin dentro
de un ambiente de la empresa que requieren una conexin segura del extremo
usuario-a-anfitrin.
II.4.3. Tnel
Porcin de la conexin en la cual sus datos son encapsulados.
II.4.4. Conexin VPN
Es la porcin de la conexin en la cual sus datos son encriptados.
Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma
porcin de la conexin.
II.4.5. Protocolos del Tnel
�Se utiliza para administrar los tneles y encapsular los datos privados. Los datos
que son enviados por el tnel deben de ser encriptados para que sea una conexin
VPN.
II.4.6. Datos del Tnel (Tuneled Data)
Datos que son generalmente enviados a travs de un enlace VPN.
II.4.7. Red de Transito
La red pblica o compartida que es cruzada por los datos encapsulados.
Generalmente una red IP. La red de trnsito debe ser Internet o una intranet IP
privada.
Figura: Elementos de una VPN
�II.5.
REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solucin de red remota, una compaa desea
facilitar un acceso controlado a los recursos y a la informacin de la misma. La
solucin deber permitir la libertad para que los clientes roaming o remotos
autorizados se conecten con facilidad a los recursos corporativos de la red de rea
local (LAN). As como las oficinas remotas se conecten entre si para compartir
recursos e informacin (conexiones de N).
Por ltimo, la solucin debe garantizar la privacidad y la integridad de los datos al
viajar a travs de Internet pblico. Lo mismo se aplica en el caso de datos sensibles
que viajan a travs de una red corporativa.
Por lo tanto, una VPN debe presentar los siguientes requerimientos bsicos:
II.5.1. Autenticacin de usuario.
La solucin deber verificar la identidad de un usuario y restringir el acceso de la
VPN a usuarios autorizados. Adems, deber proporcionar registros de auditoria y
registros contables para mostrar quin accedi a qu informacin, y cundo lo hizo.
II.5.2. Administracin de direccin.
La solucin deber asignar una direccin al cliente en la red privada, y asegurarse
de que las direcciones privadas se mantengan as.
II.5.3. Encriptacin de datos.
Los datos que viajan en una red pblica no podrn ser ledos por clientes no
autorizados en la red.
II.5.4. Administracin de llaves.
�La solucin deber generar y renovar las llaves de encriptacin para el cliente y
para el servidor.
II.5.5. Soporte de protocolo mltiple.
La solucin deber manejar protocolos comunes utilizados en las redes pblicas;
stos incluyen protocolo de Internet. Una solucin de VPN de Internet basada en un
Protocolo de tnel de punto a punto (PPTP).
II.6.
LOS 3 ESCENARIOS MS COMUNES DE VPNs
II.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN)
La mayora de las compaas necesitan proveer acceso remoto a los empleados.
Generalmente se utiliza una conexin dial-up (DUN) del cliente al servidor de
acceso remoto (RAS) va mdems.
Para acceso remoto VPN hay que considerar: tecnologa en la Workstation cliente,
qu sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la
relacin con el usuario remoto.
El usuario remoto puede ser un empleado o individuo de menor confianza (un
consultor a partner de negocios). Usualmente, el cliente de la Workstation estar
corriendo bajo el SO Windows, pero podr ser una estacin MAC, Linux o Unix.
SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones
sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs
pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download
desde Microsoft.
Cmo accede el usuario remoto al VPN Server va Internet no es de importancia.
Pero si debe considerarse el ancho de banda apropiado para que la conexin tenga
sentido. Normalmente los proveedores de Internet (ISP) no bloquean los protocolos
que se utilizan. Slo puede haber problemas en el caso de que el usuario remoto trate
de conectarse al VPN Server (va Internet) desde dentro de una red (un empleado
�visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de
situaciones, una solucin es un http-tunnel, que permite llegar a Internet va el
puerto 80 de http y entonces establecer el tnel VPN.
Una vez que el usuario remoto "disca" al nmero IP del servidor VPN se ingresa a la
etapa de autenticacin y autorizacin. Bsicamente: quin es usted?: Nombre de
usuario y password y luego, de qu modo lo autorizo a entrar en la red? (horario,
protocolo). Toda sta infraestructura deber ser configurara por el administrador
para garantizar seguridad.
Segn el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirn
diferentes modos de autenticar (passwords tradicionales, certificados de usuario,
tokens o biomtrica).
Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo
limitar a reas especficas. Se puede implementar esta "restriccin" de diferentes
modos: en el Server VPN, en los routers, o en las workstations y servers usando
IPSec y polticas asociadas. En servidores VPN con W2K existe la posibilidad de
usar Remote Acceses Policies (RAP).
En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el
servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle
entra en Intranet, se restringe el acceso al servidor correspondiente creando un
grupo llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces
mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una
poltica de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a
la poltica que limite el trfico del usuario remoto a destino, el servidor Oracle.
II.6.2. SITE-TO-SITE VPN (VPN entre sitios)
�Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones
geogrficas, para ello emplea un link VPN a travs de Internet, reemplazando as
lneas dedicadas que en general son muy caras. Todo lo que se necesita es un
servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere
autenticacin de usuario pero s deben autenticarse los servidores VPN entre s.
Cuando se establece la conexin VPN, uno de los servidores VPN asume el rol de
cliente e inicia una conexin con otro servidor VPN. Despus de establecida la
conexin VPN, los usuarios de cada sitio pueden conectarse a los servidores como si
estuvieran en la misma red local.
Cmo saben los servidores VPN que cada uno es autntico y no un impostor? De
acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la
autenticacin site-to-site en contraseas asociadas con cuentas de usuario creadas
para cada servidor, en llaves secretas pre-acordadas o en certificados para cada
mquina emitidos por una autoridad certificadora (CA, Certificate Authority).
II.6.3. EXTRANET VPN
Permite conectar la red de una empresa con uno o ms "partners". Este escenario es
muy similar a site-to-site aunque existen pequeas diferencias. Bsicamente la
confianza entre ambas partes es diferente. Se permitir a una sucursal acceder a
todos los recursos de la red corporativa (site-to-site), pero es posible limitarlos para
un partner. Normalmente se los restringir a slo unos cuantos servidores de la red.
Con el tipo de restriccin ya descriptos en Remote Access, podemos solucionar el
problema.
La segunda diferencia con site-to-site es que muy probablemente nuestro "partner"
use una solucin VPN diferente. Aparece aqu un problema de interoperabilidad a
resolver. Para ello, se deber atender, por ejemplo, a qu protocolos se usan en
ambas soluciones VPNs y a qu tipo de autenticacin se usar.
II.7.
TOPOLOGIAS DE VPN
�Existen muchos tipos de topologas de VPN que pueden adecuarse a las necesidades
de una organizacin o se adaptan a una configuracin de red ya existente.
Estas topologas pueden ser definidas a travs de acceso remoto (por ejemplo, una
laptop tratando de acceder a un servidor de su organizacin), conexin entre dos
LANs (Local rea Network), a travs de Intranet e Extranet, utilizando una
tecnologa Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network
Address Translation).
Examinaremos ahora cmo funcionan algunas de las topologas de VPN mas
usadas.
II.7.1. TOPOLOGA DE VPN UTILIZANDO ACCESO REMOTO (firewall cliente)
Este tipo de VPN es los ms comunes y ms usados en nuestros tiempos. Nace de la
necesidad de un cliente externo que se necesita conectarse a la red interna de una
organizacin. Para que esto sea posible, la organizacin precisar tener un firewall
instalado conteniendo los softwares necesarios para implementar a VPN. El cliente
tiene que tener tambin instalado un software de criptografa compatible con los
software del firewall.
La comunicacin ocurre cuando el cliente necesita de una comunicacin
confidencial con la organizacin, y sin embargo no se encuentre localizado dentro
de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de
organizacin a partir de una red externa.
La figura inferior ilustra cmo se establece este tipo de comunicacin.
�Figura: VPN de acceso remoto
Los pasos siguientes describen el proceso de comunicacin entre el equipo porttil y el
firewall de la organizacin:
El usuario con el equipo porttil marca a su PSI local y establece una conexin
PPP.
El equipo porttil solicita las claves del dispositivo del firewall.
El firewall responde con la clave apropiada.
El software VPN instalado en el equipo porttil ve la solicitud echa por el usuario
del equipo porttil, cifra el paquete y lo enva a la direccin IP publica de el
Firewall.
El firewall le quita la direccin IP, descifra el paquete y lo enva al servidor al que
ha sido direccionado dentro de la LAN local.
El servidor interno procesa la informacin recibida, responde a la solicitud y
enva el documento de regreso.
El firewall examina el trafico y reconoce que es informacin de tnel VPN as que
toma el paquete, lo cifra y lo enva al equipo porttil.
La pila de VPN en el equipo porttil ve el flujo de datos, reconoce que viene del
dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles.
�Figura: Diagrama de acceso remoto
II.7.2. TOPOLOGA DE VPN LAN-TO-LAN
Este tipo de topologa es la segunda mas utilizada, se usa cuando es necesario
comunicar dos redes locales separadas geogrficamente. Las LANs pueden estar
operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado
y un firewall NT del otro.
Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando
el mismo algoritmo de criptografa y estar configurados para saber que cuando
ocurre algn trfico para uno u otro firewall, este tiene que ser criptografiado.
Podemos observar en la figura inferior como se da el acceso entre dos redes de este
tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT
que ser transmitido por FTP (File Transfer Protocol).
El usuario de la LAN UNIX intenta conectarse a travs de una aplicacin FTP con
un servidor LAN NT.
El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es
cifrado y se enva hacia una direccin IP pblica de el firewall LAN NT.
Este firewall acepta y descifra el paquete y enva para o servidor al que se le ha
enviado la informacin.
Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT.
�Este a su vez cifra el paquete y enva la informacin hacia el firewall da LAN UNIX
que descifra y transmite la informacin para el usuario que solicito el requerimiento
Figura: diagrama de VPN LAN
II.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT
(Network Address Translation) Traduccin de Direcciones de Nombres es el proceso
de cambiar una direccin IP de una organizacin (una direccin privada de la
organizacin) por una direccin IP pblica enrutable, es decir poseen la capacidad
para esconder las direcciones privadas de una organizacin.
Entretanto, el NAT interfiere directamente en la implementacin de la VPN, pues
cambia la direccin IP a la hora que el paquete de datos sale de la red interna. La
utilizacin de NAT no resulta complicado, pero la ubicacin del dispositivo VPN es
importante. La figura inferior ilustra el proceso
�Figura: Diagrama VPN con NAT
Los pasos siguientes describen el proceso de comunicacin de entrada y salida con
un dispositivo NAT
Cuando un paquete precisa salir de la red interna, este es enviado hacia el
firewall implementado con NAT. Este por primera vez, cambia la direccin IP
enrutable
El firewall implementado con NAT reenva el paquete al dispositivo VPN que
realiza el proceso de cifrado del paquete.
El paquete es enviado hacia el enrutador externo que sea transmitido a su
destino.
Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia
el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado
hacia el firewall implementado con NAT que cambia la direccin IP por el
nmero original, este es enviado hacia el ruteador interno para ser dirigido
hacia su destino.
III. CONCLUSIONES
Actualmente las VPN ofrecen un servicio ventajoso para las empresas que
quieran tener una comunicacin segura con sus proveedores, clientes u otros,
de forma segura, sin necesidad de implantar una red de comunicacin
costosa que permita lo mismo.
Adems esta solucin VPN nos permitir no solo crear la interconexin con
dos sucursales sino que es escalable, es decir nos permitir crear conexiones
virtuales con otros puntos cuando la empresa lo requiera.
� Por ltimo las VPN representan una gran solucin para las empresas en
cuanto a seguridad, confidencialidad e integridad de los datos y
prcticamente se ha vuelto un tema importante en las organizaciones, debido
a que reduce significativamente el costo de la transferencia de datos de un
lugar a otro, el nico inconveniente que pudieran tener las VPN es que
primero se deben establecer correctamente las polticas de seguridad y de
acceso porque si esto no est bien definido pueden existir consecuencias
serias.
IX
RECOMENDACIONES
Cabe desatacar que algunas aplicaciones que necesitan de procesos
bastantes complejos se tienen que correr en mquinas solamente dedicadas a
esas operaciones ya que como son procesos bastantes pesados como clculo
de planillas, requieren ser procesadas por maquinas potentes y dedicadas a
esta labor para que no se sienta algn retardo o problema en la
interconexin.
Otro punto a tener en cuenta es el proveedor de servicio de Internet a utilizar,
si bien es cierto existen varios proveedores que nos pueden proporcionar este
servicio, algunos que nos proporcionan un buen servicio son realmente muy
�caros para mantener en una empresa relativamente pequea, y los que
ofrecen una interconexin a Internet con precios mdicos, su servicio es muy
inestable y en algunos casos con interrupciones en el servicio de manera
constante haciendo imposible una conexin VPN cuando se corren procesos
largos, es por eso necesario la constante evaluacin de los proveedores de
servicio de Internet.
