Redes de PCs

Redes Privadas Virtuales (VPN)

Ing. Csar Molina

AGENDA
1. Qu es VPN?
1.1. Concepto General
1.2. Por qu Virtual?
1.3. Por qu Private?
1.4. Por qu Network?
2. Tipos de VPN
3. Elementos de una VPN
4. Ventajas y desventajas de la VPN.
5. Implementacin de una VPN
6. Funcionamiento bsico y avanzado de VPN
7. Protocolos usados en las VPN
8. Estndar 802.1Q
9. Conclusiones
 QU ES VPN?
Concepto General
VPNs es un concepto de tecnologa que permite conectar
varias LAN o estaciones remotas entre si, de forma segura y
confidencial, a travs de un medio inseguro como INTERNET,
mediante el uso de la autenticacin, encriptacin y tneles
para las conexiones.
Por qu Virtual?
Porque al momento del establecimiento de una conexin
VPN el cliente virtualmente extiende la red de la empresa
hasta donde l est, esto lo hace trabajar lgicamente
dentro de la misma empresa, pero dentro de un concepto
"virtual.
Por qu Private?

Porque el concepto de privacidad se mantiene una vez

implementada la VPN.
La privacidad en las comunicaciones de la empresa es
parte esencial en las polticas de seguridad.
Las comunicaciones a travs de VPN mantiene su
privacidad sobre medios pblicos ya que van
encapsuladas dentro de un tnel encriptado y
autentificado y solo se mantienen circulando dentro de la
red de la empresa (la que incluye la conexin virtual VPN).
Por qu Network?

Porque son capaces de interconectar, extender y comunicar redes o

segmentos de redes. Las VPNS tambin pueden crear tneles de
comunicacin internos entre una mquina y un servidor dentro de la
red de mi empresa.
Hay empresas que tienen VPNS dentro de sus propias redes para
asegurar comunicaciones con servidores crticos.
 TIPOS DE VPN

1. VPN DE ACCESO REMOTO:

Es cuando usuarios o proveedores se conectan con la
empresa desde sitios remotos (oficinas, hoteles,
domicilios, etc.) utilizando INTERNET como vnculo de
acceso, con las medidas de autentificacin.

2. VPN SITIO A SITIO: Es cuando se conectan oficinas

remotas con la sede central de la organizacin.
 TIPOS DE VPN

...Continuacin

3. VPN INTERNA:
Variante del acceso remoto. No utiliza Internet como
medio de conexin, sino que utiliza la misma red de la
empresa. Sirve para aislar zonas y servicios de la red
dentro de la empresa.
 ELEMENTOS DE UNA VPN

Las VPNs se basan en las siguientes tecnologas

Firewalls
Como mecanismo de proteccin adicional
Autenticacin
Para dar acceso slo a sistemas permitidos
Cifrado
Para asegurar confidencialidad e integridad
Tunneling
Como mecanismo de intercambio de informacin
 VENTAJAS DE LAS VPN

Seguridad: Alta seguridad en la tx de la informacin de

extremo a extremo.

Video, voz y datos: Se puede cursar trfico de datos,

imgenes en movimiento y voz simultneamente.

Bajo costo: Se eliminan los costos de larga distancia.

Ubicuidad: Puede extenderse a cualquier sitio.

Mltiples formas de acceso: Por lnea dedicada

conmutada; por medio fsico o inalmbrico.
 VENTAJAS DE LAS VPN

...Continuacin
Flexibilidad: Facilidad para agregar o retirar conexiones
Remotas, pues todas son conexiones virtuales.

Modularidad: La capacidad de la red puede crecer

gradualmente, segn como las necesidades de conexin lo
demanden.

Menor probabilidad de incomunicacin:

Si en INTERNET un enlace se cae o congestiona
demasiado, existen rutas alternas para hacer llegar los
paquetes a su destino.
 DESVENTAJAS DE LAS VPN

Se deben establecer correctamente las polticas de

seguridad y de acceso.

Mayor carga en el cliente VPN porque debe encapsular

los paquetes de datos y encriptarlos, esto produce una
cierta lentitud en las conexiones.

No se garantiza disponibilidad ( NO Internet NO VPN)

Una VPN se considera segura, pero no hay que olvidar

que la informacin sigue viajando por Internet (no seguro
y expuestos a ataques)
 IMPLEMENTACIN DE UNA VPN

Hay que realizar las siguientes operaciones

Disear una topologa de red y firewalls.
Teniendo en cuenta los costos y la proteccin.
Escoger un protocolo para los tneles.
Teniendo en cuenta los equipos finales.
Teniendo en cuenta las aplicaciones finales.
 IMPLEMENTACIN DE UNA VPN
Disear una PKI (Public Key Infraestructure)
Teniendo en cuenta las necesidades del protocolo
En el mercado hay ofertas de productos que tienen
integradas varias de las opciones anteriores:
Altavista Tunnel, Digital (para redes IP y
protocolo propietario)
Private Internet Exchange (PIX), Cisco Systems
(para redes IP y protocolo propietario)
S/WAN, RSA Data Security (para redes IP y
protocolo estndar (IPSec))
 FUNCIONAMIENTO BSICO DE LAS VPN
1. El usuario remoto marca a su ISP local y se conecta a la red del ISP de
forma normal.
2. Cuando desea conectarse a la red corporativa, el usuario inicia el tnel
mandando una peticin a un servidor VPN de la red corporativa.
3. El servidor VPN autentica al usuario y crea el otro extremo del tnel.
 FUNCIONAMIENTO BSICO DE LAS VPN
4. El usuario comienza a enviar datos a travs del tnel, que son
cifrados por el software VPN (del cliente) antes de ser enviados
sobre la conexin del ISP.
5. En el destino, el servidor VPN recibe los datos y los descifra,
propagando los datos hacia la red corporativa.
6. Cualquier informacin enviada de vuelta al usuario remoto
tambin es cifrada antes de enviarse por Internet.
 FUNCIONAMIENTO AVANZADO DE LAS VPN

Las VPN funcionan creando una conexin "directa" virtual entre 2

mquinas.

La forma de comunicacin entre las partes de la red privada a travs de la

red pblica se hace estableciendo tneles virtuales entre dos puntos para
los cuales se negocian esquemas de encriptacin y autentificacin que
aseguran la confidencialidad e integridad de los datos transmitidos
utilizando la red pblica.
 FUNCIONAMIENTO AVANZADO DE LAS VPN

La tecnologa de tneles ("Tunneling") es un modo de transferir

datos en la que se encapsula un tipo de paquetes de datos dentro
del paquete de datos de algn protocolo, no necesariamente
diferente al del paquete original. Al llegar al destino, el paquete
original es desempaquetado volviendo as a su estado original. En el
traslado a travs de Internet, los paquetes viajan encriptados.
 FUNCIONAMIENTO AVANZADO DE LAS VPN

La Autenticacin

Las tcnicas de autenticacin son esenciales en las VPNs, ya que

aseguran a los participantes de la misma que estn intercambiando
informacin con el usuario o dispositivo correcto.

La mayora de los sistemas de autenticacin usados en VPN estn

basados en un sistema de claves compartidas.

La autenticacin tambin puede ser usada para asegurar la integridad

de los datos. Los datos son procesados con un algoritmo de hashing
para derivar un valor incluido en el mensaje como checksum.
Cualquier desviacin en el checksum indica que los datos fueron
corruptos en la transmisin o interceptados y modificados en el camino.
 FUNCIONAMIENTO AVANZADO DE LAS VPN

La Encriptacin

La encriptacin es considerada tan esencial como la

autenticacin, ya que protege los datos transportados
de la poder ser vistos y entendidos en el viaje de un
extremo a otro de la conexin.

Existen dos tipos de tcnicas de encriptacin que se

usan en las VPN:

- Encriptacin de clave secreta, o privada

- Encriptacin de clave pblica.
 FUNCIONAMIENTO AVANZADO DE LAS VPN

Encriptacin de clave secreta: se utiliza una contrasea secreta

conocida por todos los participantes que necesitan acceso a la
informacin encriptada. Dicha contrasea se utiliza tanto para encriptar
como para desencriptar la informacin.

Encriptacin de clave pblica: esta encriptacin implica la

utilizacin de dos claves, una pblica y una secreta. La primera es
enviada a los dems participantes.

En las VPNs, la encriptacin debe ser realizada en tiempo real.

El protocolo ms usado para la encriptacin dentro de las VPNs es

IPSec.
 PROTOCOLOS USADOS EN VPNs

Dentro de los protocolos que se usan para la metodologa de

tneles se encuentran:

L2F: Layer 2 Forwarding Protocol (Cisco) [capa 2]

PPTP: Point-to-Point Tunneling Protocol [capa 2]
L2TP: Layer 2 Tunneling Protocol (RFC 2661) [capa 2]
GRE: Generic Routing Encapsulation (RFC 1701) [capa 3]
IP/IP: IP over IP (RFC 2003) [capa 3]
IPSec: IP Secure (RFC 2475) [capa 3]
MPLS: Multi-Protocol Label Switching (RFC 2917) [capas 2 y 3]
MPOA: Multi-Protocol Over ATM [capa 3]
 PROTOCOLOS USADOS EN VPNs

Point-To-Point Tunneling Protocol (PPTP)

Orientado al usuario permite establecer un tnel de forma transparente
al proveedor de Internet.
Protocolo desarrollado por Microsoft y normalizado por la IETF (RFC
2637)
Permite el trfico seguro de datos desde un cliente remoto a un
servidor corporativo privado
PPTP soporta mltiples protocolos de red (IP, IPX, NetBEUI )
Tiene una mala reputacin en seguridad.
Muy usado en entornos Microsoft.
 PROTOCOLOS USADOS EN VPNs

PPTP encapsula datagramas de cualquier protocolo de red

en datagramas IP, que luego son tratados como cualquier
otro paquete IP.

Existen dos escenarios comunes para este tipo de VPN:

El usuario remoto se conecta a un ISP que provee el

servicio de PPTP hacia el servidor RAS.

El usuario remoto se conecta a un ISP que no provee

el servicio de PPTP hacia el servidor RAS y, por lo tanto,
debe iniciar la conexin PPTP desde su propia mquina
cliente.
 PROTOCOLOS USADOS EN VPNs

La tcnica de encapsulamiento de PPTP se basa en el protocolo

Generic Routing Encapsulation (GRE), que puede ser usado para
realizar tneles para protocolos a travs de Internet.

Un paquete PPTP est compuesto por:

CAPAS DEL ENCAPSULAMIENTO PPTP

 PROTOCOLOS USADOS EN VPNs
L2F (Layer 2 Forwarding):

Protocolo desarrollado por Cisco Systems

Precursor del L2TP
Ofrece mtodos de autenticacin de usuarios remotos
Carece de cifrado de datos
 PROTOCOLOS USADOS EN VPNs

L2TP (Layer 2 Tunneling Protocol):

Estndar aprobado por la IETF (RFC 2661)
Mejora combinada de PPTP y L2F
No posee cifrado o autentificacin por paquete, por lo
que ha de combinarse con otro protocolo, como IPSec
Combinado con IPSec ofrece la integridad de datos y
confidencialidad exigidos para una solucin VPN
Permite el encapsulado de distintos protocolos (IP,
IPX,NetBE etc).
 PROTOCOLOS USADOS EN VPNs

INTERNET Protocol Security (IPsec)

IPSec trata de remediar algunas falencias de IP, tales

como proteccin de los datos transferidos y garanta de
que el emisor del paquete sea el que dice el paquete IP.

IPSec provee confidencialidad, integridad, autenticidad y

proteccin a repeticiones mediante dos protocolos, que
son Authentication Protocol (AH) y Encapsulated Security
Payload (ESP).

- Confidencialidad que los datos transferidos sean

slo entendidos por los participantes de la sesin.
 PROTOCOLOS USADOS EN VPNs

- Integridad que los datos no sean modificados en el

trayecto de la comunicacin.
- Autenticidad validacin de remitente de los datos.
- Proteccin a repeticiones que una sesin no pueda
ser grabada y repetida salvo que se tenga autorizacin
para hacerlo.

El modo de tnel es usado cuando el header IP entre

extremos est ya incluido en el paquete, y uno de los
extremos de la conexin segura es un gateway. En este
modo, tanto AH como ESP cubren el paquete entero.

IPSec utiliza algoritmos de autenticacin y cifrado.

 ESTNDAR 802.1 Q

El estndar definido por la

IEEE para el manejo de redes
virtuales (VLANs).

Es utilizado con regularidad.

Cada trama se marca con el id

de la LAN a la que pertenece.

Se define el VLAN Tagging

Switch que permite una
identificacin de la VLAN y la
posibilidad de priorizacin del
servicio.

Sirve para asignar la prioridad

a los paquetes.
 ESTNDAR 802.1 Q

Utiliza un campo de prioridad dentro del

encabezamiento del VLAN tag.

En el etiquetado es necesario tener en cuenta el

formato de las tramas.

Cuando se envan las tramas a lo largo de la red

es necesario indicar a que VLAN pertenece la
trama para que el switch enve las tramas
nicamente a aquellos puertos que pertenezcan a
la VLAN, en lugar de enviarla a todos los puertos.
 ESTNDAR 802.1 Q

Permitiendo el etiquetado (tagging) basado en usuario,

grupo y ubicacin.

Permite ubicar el trfico en redes virtuales separadas.

Se modific la trama Ethernet.

 ESTNDAR 802.1 Q

802.1Q --> redundancia, prestaciones y flexibilidad

 CONCLUSIONES

Las VPN representan una gran solucin para las

empresas en cuanto a seguridad, confidencialidad e
integridad de los datos.

Se ha vuelto un tema importante en las organizaciones,

debido a que reduce significativamente el costo de la
transferencia de datos de un lugar a otro.

Permiten conectar diferentes delegaciones de una

empresa, simulando una red local de una manera
transparente y econmica.
 CONCLUSIONES

La funcin VLAN correspondiente al estndar IEEE 802.1q

ayuda en la mejora de las prestaciones y la seguridad,
segmentando la red en varias redes de rea local virtuales

Es aconsejable configurar de redes privadas virtuales

mediante el establecimiento del etiquetado VLAN (IEEE
802.1Q).