Este documento resume los conceptos básicos de las redes virtuales privadas (VPN). Explica que una VPN proporciona un túnel seguro a través de Internet para conectar redes privadas de manera remota. Detalla los diferentes tipos de enlaces VPN y protocolos como PPTP, L2TP e IPSec. También discute el uso de firewalls y las ventajas e inconvenientes de las VPN.
1. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
UNIVERSIDAD ADVENTISTA DE BOLIVIA
FACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS
VPN
POR: JUAN MAMANI VIVEROS
PROTOCOLO
2. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Introducción
¿Qué es una VPN?
Tipos de Enlaces
¿Para que sirve?
Aspectos Técnicos
Firewalls
Alternativas a las VPN’s
Ventajas e Inconvenientes
Webgrafía
3. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
¿Qué es una VPN?
Red privada y segura sobre red pública y no segura.
Proporciona un túnel ip encriptado y/o encapsulado a través
de internet.
4. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Tipos de Enlaces (I)
Enlace Cliente - Red:
– El cliente se conecta remotamente a una LAN.
– Se usa PPP para establecer una conexión entre el cliente y la
LAN.
5. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Tipos de Enlaces (II)
Enlace Red - Red:
– Se encapsula el tráfico de una red local.
– Nos ahorramos el paso PPP ( las tramas se encapsulan
directamente).
6. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
¿Para que sirven?
Se pueden hacer servir como una Extranet.
Es más segura que una Extranet.
Permitiría conectar diferentes delegaciones de una
empresa, simulando una red local de una manera
transparente y económica.
Da acceso a clientes, socios i consultores a los diferentes
recursos de la red de forma remota.
7. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (I)
Nivel 2 (OSI)
– PPTP, L2F, L2TP
Nivel 3 (OSI)
– IPSec
8. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (II)
PPTP (Point-to-Point Tunneling Protocol):
– Protocolo desarrollado por Microsoft y normalizado por la
IETF (Internet Engineering Task Force, RFC 2637)
– Permite el tráfico seguro de datos desde un cliente
remoto a un servidor corporativo privado.
– PPTP soporta multiples protocolos de red (IP, IPX,
NetBEUI, … ).
– Tiene una mala reputación en seguridad.
– Muy usado en entornos Microsoft.
9. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (III)
L2F (Layer 2 Forwarding):
– Protocolo desarrollado por Cisco Systems.
– Precursor del L2TP.
– Ofrece metodos de autentificación de usuarios remotos
– Carece de cifrado de datos
10. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (IV)
L2TP (Layer 2 Tunneling Protocol):
– Estándar aprobado por la IETF (RFC 2661)
– Mejora combinada de PPTP y L2F.
– No posee cifrado o autentificación por paquete (ha de combinarse
con otro protocolo, como el IPSec).
– Combinado con IPSec ofrece la integridad de datos y
confidencialidad exigidos para una solución VPN.
– Permite el encapsulado de distintos protocolos (IP, IPX, NetBEUI,
…)
11. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (V)
– Tunneling:
• Añade una cabecera IP adicional (cabecera del protocolo de
transporte ) al paquete original para que éste pueda circular a través de
Internet hasta el router de la empresa corporativa donde es eliminada.
• El router que permite accesos vía tunel a una red privada se denomina
servidor de túneles.
12. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (VI)
IPSec :
– Proporciona servicios de seguridad a nivel 3.
– Permite seleccionar protocolos de seguridad, algoritmos que se
van a utilizar y las claves requeridas para dar estos servicios.
– Servicios de seguridad que proporciona:
• Control de acceso
• Integridad
• Autentificación del origen de los datos
• Confidencilidad
– Es estándar dentro de IPv6 y ha sido adaptado para IPv4.
13. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (VII)
– Protocolos de Seguridad:
• AH (Authentication Header): Protocolo de autenticación que usa una firma
hash para integridad y autenticidad del emisor.
Datagrama IPv4:
• ESP (Encapsulating Security Payload): Protocolo de autenticación y cifrado
que usa mecanismos criptográficos para proporcionar integridad,
autenticación del origen y confidencialidad.
Datagrama IPv4:
Cabecera AH Datos
Cabecera Datos encriptados
14. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Aspectos Técnicos (VIII)
– Gestión de Claves:
• IKE (Internet Key Exchange): Autentica a cada participante en una
transacción IPSec. Negocia las normas de seguridad y gestiona el
intercambio de claves de sesión.
– Fase 1: Los nodos IPSec establecen un canal seguro para realizar el
intercambio de informacion (SA).
– Fase 2: Los nodos IPSec negocian por el canal establecido:
* Algoritmo de cifrado
* Algoritmo hash
* Método de autenticación
15. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Firewall
Como medida adicional de seguridad se recomienda utilizar
firewall para garantizar que solo tendrán acceso a la LAN
los clientes autorizados.
16. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Alternativas a las VPN’s
RAS (Remote Acces System)
– Sistemas de acceso remoto basado en llamadas conmutadas
(RTC, RDSI).
– Se produce una llamada del cliente al servidor de RAS.
– El coste de esta llamada es el de una llamada conmutada entre
los dos extremos de la comunicación.
– Podremos tener tantas conexiones simultanias como dialers
(modems) tengamos disponibles.
17. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Alternativas a las VPN’s
Alquiler de linias dedicadas:
– Son seguras ya que solo circulamos nosotros.
– Alto coste económico
– El ancho de banda del que queramos disponer va en proporción a
lo que se esté dispuesto a pagar.
WAN :
– Coste elevadisimo no asumible por la mayoria de empresas.
– Ej: FDDI, ATM, ...
18. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Ventajas e Inconvenientes (I)
Ventajas:
– Ahorro en costes.
– No se compromete la seguridad de la red empresarial.
– El cliente remoto adquiere la condicion de miembro de la LAN
( permisos, directivas de seguridad).
– El cliente tiene acceso a todos los recursos ofrecidos en la LAN
(impresoras, correo electronico, base de datos, …).
– Acceso desde cualquier punto del mundo (siempre y cuando se
tenga acceso a internet).
19. Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPER
Departament. d’Arquitectura de Computadors
Ventajas e Inconvenientes (II)
Inconvenientes:
– No se garantiza disponibilidad ( NO Internet --> NO VPN).
– No se garantiza el caudal.
– Gestión de claves de acceso y autenticación delicada y laboriosa.
– La fiabilidad es menor que en una linia dedicada
– Mayor carga en el cliente VPN (encapsulación y encriptación)
– Mayor complejidad en la configuración del cliente ( proxy, servidor
de correo, … )
– Una VPN se considera segura pero no hay que olvidar que
viajamos por Internet ( no seguro y expuestos a ataques).