Instituto Tecnológico de Las Américas

o Materia
Conmutación y Enrutamiento
o Nombre
Winder Andrés Valdez Del Orbe
o Matrícula
2024-1584
o Maestro
Nelson Mieses
o Fecha
16/08/2025
8.1.1 Redes privadas virtuales

Las redes privadas virtuales (VPN) son utilizadas por las organizaciones para asegurar la
comunicación entre sitios y usuarios, proporcionando conexiones privadas de extremo a
extremo. Aunque la VPN utiliza una red pública para transmitir información, la encapsula
dentro de una red privada, manteniendo la privacidad gracias a la encriptación. Esto
asegura que los datos viajen protegidos mientras atraviesan redes públicas.

Una VPN permite que sitios remotos y usuarios se conecten de forma segura al sitio
principal de una empresa. Este sitio puede incluir un firewall Cisco ASA conectado a la
red corporativa, el cual, a través de Internet, también se conecta con socios comerciales,
oficinas regionales, entornos de oficina pequeña/oficina en casa (SOHO) y trabajadores
móviles mediante Cisco AnyConnect.

Un firewall Cisco ASA no solo ofrece conectividad segura con VPN, sino también acceso
continuo para usuarios móviles y sucursales remotas. Por su parte, un enrutador
habilitado para VPN en un entorno SOHO permite una conexión segura al sitio principal
de la empresa. Para los trabajadores remotos, Cisco AnyConnect proporciona una
solución basada en cliente para acceder a la red corporativa.

Las primeras VPN solo consistían en túneles IP, sin ofrecer autenticación o encriptación.
Un ejemplo es el protocolo Generic Routing Encapsulation (GRE), desarrollado por
Cisco para encapsular tráfico IPv4 e IPv6 dentro de un túnel IP, creando un enlace virtual
punto a punto.

8.1.2 Beneficios del VPN

Las VPN actuales incluyen cifrado avanzado mediante protocolos como Internet Protocol
Security (IPsec) y Secure Socket Layer (SSL), lo que garantiza la protección del tráfico
entre sitios. Estos sistemas proporcionan varios beneficios, detallados en la tabla
correspondiente.
8.1.3 VPN de sitio a sitio y acceso remoto

Las VPN se implementan bajo dos modelos principales:

1. VPN de sitio a sitio: Los dispositivos en cada extremo, conocidos como puertas
de enlace VPN, están preconfigurados para establecer un túnel seguro. El cifrado
solo ocurre entre estos dispositivos, de modo que los usuarios internos no notan
que la conexión está siendo protegida por una VPN.

2. VPN de acceso remoto: Permite a usuarios individuales conectarse desde

ubicaciones externas a la red corporativa.

En el caso de una VPN de sitio a sitio, una puerta de enlace VPN en la red conecta a
través de Internet con otra puerta de enlace, que puede estar representada por un router o
firewall ASA. Los usuarios, sin darse cuenta, disfrutan de una conexión segura a través
del túnel VPN.

8.1.4 VPN de empresas y proveedores de servicios

Las soluciones VPN pueden gestionarse de manera interna por las empresas o delegarse a
proveedores de servicios:

• VPNs Empresariales: Las organizaciones administran su propia infraestructura

VPN para proteger el tráfico de Internet. Esto incluye tanto VPN de sitio a sitio
como de acceso remoto, utilizando protocolos como IPsec y SSL.

• VPNs de Proveedor de Servicios: Los proveedores implementan soluciones

VPN utilizando Multiprotocol Label Switching (MPLS) en capas 2 o 3, lo que
permite la creación de canales seguros que separan el tráfico de cada cliente.
Tecnologías más antiguas, como Frame Relay y ATM, también se utilizan en
algunas implementaciones heredadas.

Los tipos de VPN se agrupan en dos columnas:

1. VPN empresariales: Incluyen IPsec, GRE sobre IPsec, Cisco DMVPN, y las
interfaces de túnel virtual (VTI). Las conexiones de acceso remoto incluyen
VPN IPsec basadas en cliente y conexiones SSL sin cliente
2. VPN de proveedores de servicios: Utilizan MPLS y tecnologías antiguas
como Frame Relay y ATM para segregar el tráfico y garantizar la seguridad.
8.2.1 VPN de acceso remoto

Las VPN de acceso remoto han ganado popularidad como una solución eficiente para la
conectividad remota. Estas permiten a los usuarios y contratistas conectarse de forma
segura a los recursos empresariales a través de un túnel encriptado, replicando el acceso
seguro como si estuvieran en las instalaciones de la empresa. Además, proporcionan
acceso limitado a recursos específicos, como servidores o archivos, permitiendo la
colaboración sin comprometer la seguridad.

Los usuarios pueden activar las VPN dinámicamente según sea necesario, utilizando
protocolos como IPsec o SSL. Existen dos modalidades principales:

• VPN sin cliente: Utiliza un navegador web para establecer una conexión SSL,
protegiendo el tráfico HTTPS y protocolos de correo.
• VPN basada en cliente: Requiere la instalación de un software, como Cisco
AnyConnect Secure Mobility Client, para conectarse mediante IPsec o SSL
tras autenticar al usuario en la puerta de enlace VPN.

8.2.2 SSL VPNs

Cuando un cliente negocia una VPN SSL, la conexión realmente utiliza Transport Layer
Security (TLS), la versión moderna de SSL. Ambas tecnologías se basan en certificados
digitales para autenticar la conexión. Aunque tanto IPsec como SSL ofrecen acceso
seguro a aplicaciones, IPsec es preferido cuando la seguridad es prioritaria, mientras que
SSL destaca por su facilidad de implementación. Las organizaciones pueden implementar
ambas tecnologías para cubrir diversas necesidades de acceso remoto.

8.2.3 VPN IPsec de sitio a sitio

Las VPN de sitio a sitio conectan redes separadas a través de una red pública como
Internet. El tráfico se encapsula y encripta en la puerta de enlace VPN de origen y se
transmite a través de un túnel IPsec hasta la puerta de enlace del sitio remoto, donde se
desencripta y reenvía. Este tipo de VPN utiliza principalmente IPsec para asegurar el
tráfico.

8.2.4 GRE sobre IPsec

El protocolo GRE encapsula varios tipos de tráfico de red, incluyendo multicast y

broadcast, pero carece de encriptación. Para resolver esta limitación, GRE puede
combinarse con IPsec. En este modelo, el tráfico se encapsula primero con GRE y luego
con IPsec para asegurar la transmisión. Esta configuración es útil cuando se necesita
intercambiar información de enrutamiento que no es compatible con IPsec por sí solo.
8.2.5 VPN dinámicas multipunto

La VPN dinámica multipunto (DMVPN) facilita la conexión de múltiples sitios

utilizando una topología de concentrador y radios (hub-and-spoke). Esta solución permite
que los sitios establezcan túneles seguros con el sitio central y, cuando sea necesario,
también entre sí. DMVPN utiliza IPsec para la seguridad y mGRE para admitir múltiples
túneles dinámicos desde una única interfaz.

8.2.6 Interfaz virtual del túnel IPsec (VTI)

Las interfaces virtuales de túnel IPsec (VTI) simplifican la configuración de VPN al

eliminar la necesidad de asignaciones estáticas entre interfaces físicas. VTI admite tráfico
encriptado de unicast y multicast, permitiendo el uso de protocolos de enrutamiento sin
necesidad de túneles GRE adicionales. Esta solución se aplica tanto en topologías de hub-
and-spoke como entre sitios.

8.2.7 Proveedor de servicios VPN MPLS

Los proveedores de servicios ofrecen VPN mediante Multiprotocol Label Switching

(MPLS), que garantiza la separación del tráfico de distintos clientes. Existen dos tipos
principales de soluciones MPLS:

• MPLS de capa 3: El proveedor participa en el enrutamiento del cliente,

distribuyendo rutas entre las ubicaciones del cliente.
• MPLS de capa 2: El proveedor implementa un servicio de LAN privada
virtual (VPLS) para emular un segmento LAN a través de la red MPLS sin
participar en el enrutamiento.

Estos servicios MPLS permiten a los proveedores gestionar el tráfico entre los sitios del
cliente de forma segura, aprovechando la infraestructura de red existente para ofrecer
soluciones escalables y eficientes.

8.3.2 Tecnologías IPsec

IPsec es un estándar del IETF (RFC 2401-2412) diseñado para asegurar las
comunicaciones a través de redes IP. Este protocolo autentica y protege los paquetes IP
desde el origen hasta su destino, cubriendo desde la Capa 4 hasta la Capa 7 del modelo
OSI. Entre sus principales funciones de seguridad se encuentran:

• Confidencialidad: Encripta los paquetes para evitar que sean leídos por
terceros no autorizados.
• Integridad: Utiliza algoritmos de hash para asegurar que los datos no se hayan
modificado durante su transmisión.
 • Autenticación de Origen: Emplea Internet Key Exchange (IKE) para verificar
la autenticidad del origen y destino mediante contraseñas compartidas,
certificados digitales o RSA

Intercambio seguro de llaves (Diffie-Hellman): Asegura el intercambio de llaves entre las

partes.

IPsec permite integrar nuevas tecnologías sin modificar sus estándares, lo que le otorga
gran flexibilidad. Las combinaciones específicas de protocolos y algoritmos crean
asociaciones de seguridad (SA) únicas, esenciales para establecer una VPN segura.

8.3.3 Protocolo de Encapsulación IPsec

IPsec encapsula los paquetes mediante dos protocolos: Authentication Header (AH) y
Encapsulation Security Protocol (ESP).

• AH: Solo proporciona autenticación e integridad, pero no encripta los datos,

por lo que el contenido del paquete se transmite sin cifrar.
• ESP: Ofrece tanto confidencialidad como autenticación, encriptando los
paquetes IP y verificando la autenticidad del paquete y su encabezado.

La elección entre AH y ESP depende de las necesidades de seguridad de la organización,

permitiendo configurar la VPN según los requisitos específicos.

8.3.4 Confidencialidad

La confidencialidad se logra encriptando los datos para evitar accesos no autorizados. La

seguridad de la encriptación depende del algoritmo y la longitud de la llave utilizada.
Cuanto mayor sea la longitud de la llave, más difícil será para un atacante descifrar los
datos mediante fuerza bruta. Los algoritmos disponibles incluyen:

• DES: Utiliza una llave de 56 bits y es el menos seguro.

• 3DES: Usa tres llaves de 56 bits, ofreciendo más seguridad que DES.
• AES: Ofrece longitudes de llave de 128, 192 y 256 bits, proporcionando
mayor seguridad y eficiencia.
• SEAL: Emplea una llave de 160 bits y encripta los datos de forma continua.
8.3.5 Integridad

Para garantizar que los datos no hayan sido alterados durante su transmisión, IPsec utiliza
códigos de autenticación basados en hash (HMAC). Los algoritmos más comunes son:

MD5: Ofrece una longitud de hash de 128 bits, pero es menos seguro.

SHA: Utiliza una longitud de hash de 160 bits y se considera más seguro. Cisco
recomienda utilizar al menos SHA-256 para asegurar la integridad de los datos en la
actualidad.

8.3.6 Autenticación

La autenticación en IPsec asegura que los dispositivos al otro lado del túnel sean
confiables antes de permitir la comunicación. Existen dos métodos principales de
autenticación:

PSK (Pre-Shared Key): Cada par de dispositivos debe tener configurada una clave
compartida. Este método es sencillo, pero poco escalable.

RSA: Utiliza certificados digitales y un par de claves pública y privada para autenticar a
los dispositivos de forma más segura.

8.3.7 Intercambio seguro de llaves con Diffie-Hellman

Diffie-Hellman (DH) es un método para intercambiar llaves de forma segura a través de

canales inseguros, estableciendo una llave secreta compartida entre las partes. Existen
varios grupos DH, cada uno con diferentes niveles de seguridad:

• DH 1, 2 y 5: Ofrecen seguridad limitada con tamaños de llave de 768, 1024 y

1536 bits, respectivamente, y ya no se recomiendan.
• DH 14, 15 y 16: Utilizan tamaños de llave de hasta 4096 bits y son seguros
hasta 2030.
• DH 19, 20, 21 y 24: Implementan criptografía de curva elíptica (ECC),
ofreciendo mayor eficiencia en la generación de llaves.

La elección del grupo DH dependerá del nivel de seguridad requerido para las claves
IPsec negociadas. Por ejemplo, para algoritmos de encriptación con llaves de 128 bits, se
recomiendan los grupos DH 14, 19 o superiores, mientras que para llaves de 256 bits se
sugiere utilizar los grupos DH 21 o 24
Conclusión
Las Redes Privadas Virtuales (VPN) se han convertido en una solución crucial para
garantizar la seguridad y privacidad en la conectividad a través de Internet. Permiten que
organizaciones, trabajadores remotos, socios y oficinas distribuidas accedan a los
recursos empresariales de manera segura, simulando una conexión privada mediante
túneles encriptados. Entre los principales tipos, destacan las VPN de acceso remoto y
sitio a sitio, que proporcionan flexibilidad según las necesidades de la empresa.

Las VPN de acceso remoto permiten a los usuarios conectarse desde cualquier lugar,
utilizando conexiones SSL o IPsec para encriptar el tráfico. Las VPN de sitio a sitio, por
su parte, conectan redes completas a través de Internet, protegiendo la información
mediante protocolos como IPsec y GRE. A medida que aumentan los sitios, tecnologías
como DMVPN y VTI facilitan la gestión y escalabilidad de las VPN.

IPsec, por otro lado, es un estándar fundamental en la seguridad de VPNs, ofreciendo

confidencialidad, integridad, autenticación y seguridad en el intercambio de llaves. IPsec
combina diversos protocolos y algoritmos de encriptación, como ESP, AES, MD5 y
SHA, permitiendo adaptar la seguridad a las necesidades específicas de cada red. El uso
de métodos de autenticación, como PSK y RSA, y el intercambio seguro de llaves con
Diffie-Hellman, garantiza comunicaciones seguras y confiables.

En la actualidad, los proveedores de servicios han implementado tecnologías como

MPLS para ofrecer VPNs administradas, permitiendo a las empresas delegar la seguridad
y gestión del tráfico entre sus sedes. Esto asegura la protección del tráfico sin necesidad
de complejas configuraciones internas.

En resumen, las VPN, junto con tecnologías avanzadas como IPsec, juegan un papel
fundamental en el entorno empresarial moderno, permitiendo conectividad segura y
eficiente. La combinación de encriptación, autenticación y gestión dinámica asegura que
los datos estén protegidos frente a amenazas, mientras que las opciones de configuración
escalable permiten que las redes crezcan sin comprometer la seguridad. Con estas
herramientas, las organizaciones pueden enfrentar los desafíos de ciberseguridad actuales
y futuros, facilitando la productividad sin sacrificar la protección de la información.