REDES PRIVADAS VIRTUALES - VPN (Virtual Private Networks)

Tamaño: px
Comenzar la demostración a partir de la página:

Download "REDES PRIVADAS VIRTUALES - VPN (Virtual Private Networks)"

Transcripción

1 REDES PRIVADAS VIRTUALES - VPN (Virtual Private Networks) Introducción. Tunelización. Aplicaciones. Introducción El nuevo concepto de la RED de la empresa, conocida como INTRANET, se extiende sobre un área geográfica amplia, a veces un país o un continente. No importa cuánto se exagere, una Intranet simplemente es tecnología de Internet puesta al servicio de una red privada. En los últimos años las redes se han convertido en un factor crítico para cualquier organización. Cada vez en mayor medida, transmiten información vital para la empresa, por lo tanto deben cumplir con atributos tales como: Seguridad Fiabilidad Alcance geográfico Efectividad Costos. Las redes reducen en tiempo y dinero, eso significa una gran ventaja para las organizaciones sobre todo las que tienen oficinas remotas. Esta situación incitó el crecimiento de Internet y sus servicios de información popular, normalmente conocida como World Wide Web. Al final de logró el éxito que la comunidad había estado esperando durante años: Protocolos simples Plataforma independiente Comunicación más eficaz. Pero también es cierto que han provocado curiosidad, espionaje, ataques a los servidores por diversión o por intereses, de manera de obtener información confidencial. Por tal motivo la seguridad en las redes es de suma importancia, de allí que escuchemos hablar tanto sobre firewall y VPN Diferencia entre red pública y privada Hasta ahora ha habido siempre una clara división entre red pública y privadas. Una red pública, como el sistema de telefonía pública y la Internet, es una gran colección de dispositivos no relacionados que intercambian información entre si en forma más o menos libre. Las personas que acceden a la red pública pueden o no tener nada en común, y cualquier persona dada en esa red sólo puede comunicarse con un pequeño fragmento de sus potenciales usuarios. 1

2 Una red privada está compuesta de computadoras de una sola organización que comparten la información específicamente entre sí. En este caso existe la seguridad de que son los únicos que usan la red, y que la información solo será entre ellos. En el peor de los casos, sólo podrá ser vista por otros usuarios del mismo grupo. La típica Red del Área Local corporativa (LAN) o la Red de Área Extensa (WAN) es un ejemplo de una red privada. La línea de separación entre la red privada y la pública siempre ha sido trazada por el router. Alí puede colocarse un firewall para mantener alejado a los intrusos, o para impedir a los usuarios interiores acceder a la red pública RED PRIVADA RED PUBLICA SERVIDOR ROUTER INTERNET FIREWALL Por qué una Red Privada Virtual? Figura 18 Hasta no hace mucho, LAN operaban en forma aisladas. Cada oficina podía tener su propia LAN. Luego apareció la necesidad de interconectar estas oficinas. Tradicionalmente se comenzó con las líneas telefónicas arrendadas con velocidades variadas, lo que proveía una conexión segura y siempre disponible. Pero estas son prohibitivas cuando aumenta la distancia. La conexión entre oficinas centrales y sucursales tienen las siguientes opciones: Acceso Dial-up vía Módem: Costosa y poco eficiente y poco seguras Líneas Privadas: Redes creadas con recursos propios (limitada a áreas geográficas pequeñas). Algunas wireless estarían incluidas en esta categoría. Son muy seguras. solo mueven tráfico de la empresa. Líneas Dedicadas: Alternativa a la anterior, sobre todo para grandes extensiones geográficas. Consiste en arrendar líneas a terceros, generalmente empresas que se dedican al servicio de comunicaciones. Son similares a las anteriores, solo circula tráfico de la empresa. 2

3 Red Pública (Internet): Ofrecen una alternativa económica y de buena calidad de acceso, como así también buena velocidad. Son muy inseguras. La información viaja sin ninguna protección. Las redes privadas virtuales (VPN), desdibujan la línea entre la red pública y la red privada. Una VPN le permiten crear una red segura, sobre de una red pública, usando software, hardware, o una combinación de los dos para crear un enlace seguro sobre la red pública. Esto se hace a través de la encriptación, autenticación, tunneling de paquetes, y firewalls. OFICINA HOGAREÑA CASA CENTRAL OFICINA REMOTA COMPAÑÍA ASOCIADA (PARTNER) USUARIO MÓVIL Qué es una VPN? Figura 19 Según la definición estándar proporcionada por el Internet Engineering Task Force (IETF), una VPN es: "An emulation of [a] private Wide Area Network (WAN) using shared or public facilities, such as the Internet or private backbones". "Una emulación de una Red WAN usando medios compartidos o públicos, como Internet o backbones privados." En términos más simples, una VPN es una extensión de una Intranet privada a través una red pública (Internet) que asegura conectividad segura y confiable entre dos extremos. La Intranet privada es extendida con la ayuda de "túneles lógicos" privados. Estos túneles permiten a los dos extremos intercambiar datos de una manera parecida a una comunicación punto a punto. Resumiendo: 3

4 Una VPN es un una red privada que se extiende, mediante un proceso de encapsulación y encriptación de paquetes creando un seguro túnel privado de comunicación entre dos o más dispositivos a través de una red pública (por ejemplo Internet). Una red privada virtual es una manera de simular una red privada sobre una red pública, como Internet. Se llama "virtual" porque depende del uso de conexiones virtuales, que son conexiones temporales sin presencia realmente física. Solo consisten en el encaminamiento de paquetes a través de los distintos dispositivos dentro de la Internet. Las conexiones virtuales seguras son creadas entre dos máquinas, una máquina y una red, o dos redes. Estos dispositivos pueden ser cualquier computadora ejecutando software VPN o un dispositivo especial como por ejemplo un router con facilidades VPN. Esto permite conectar la computadora hogareña a la red de la oficina, también permite que dos computadoras en diferentes ubicaciones se conecten en forma segura sobre Internet. Usando Internet para el acceso remoto se ahorra mucho dinero. Se puede acceder de cualquier lugar donde el proveedor de servicio (ISP = Internet Service Provider) tenga un punto de presencia (POP = Point Of Presense). Si se escoge un ISP nacional, habrá muchas posibilidades que el acceso a la LAN sea solo una llamada local. Figura 19: Modelo de conexión VPN Pueden usarse redes privadas virtuales para extender el alcance de una Intranet. Dado que las Intranets son típicamente usadas para comunicar información propietaria, no es deseable que sea accesible desde Internet. Puede haber casos, sin embargo, dónde se querrá compartir datos con usuarios remotos conectados a su Intranet, y estos usuarios pueden usar Internet como medios de conexión. Una VPN les permitirá conectar seguramente a Intranet, sin temores de que la información sensible quede desprotegida. Este tipo de conexión también se conoce como una "Extranet." Podemos ver ahora como una VPN puede extender las funcionalidades de la Intranet. Bajo este contexto no hay ninguna razón por qué los clientes o vendedores no puedan usar la Internet para acceder al servidor web que aloja la base de datos de clientes por cuanto puede proporcionar un enlace entre los usuarios móviles y el web server de la Intranet. Esto provee flexibilidad, y permite que cualquier servicio de la red pueda ser usado a través de la Internet. Cómo opera una VPN? A través de tecnología de tunelización, las VPN proveen medidas de seguridad y mecanismos para resguardar el pasaje de datos sensibles por un medio no seguro. 4

5 Encriptación: Es el proceso de cambio de datos de manera que sólo puede leer el receptor apropiado. Autenticación: Es que el proceso que asegura que los datos se entregan al destinatario acertado. Además, asegura la integridad del mensaje y su fuente. En su forma más simple, exige un username y una contraseña. Autorización: Es el proceso de conceder o negar acceso a los recursos después de que el usuario se ha identificado con éxito y se ha autenticado. Evolución de las VPN Ahora que tienen una idea básica de lo que implica una VPN, veremos cómo evolucionó su tecnología. Contrariamente a lo que la mayoría cree, el concepto de VPN tiene alrededor de 15 años y ha sufrido varias generaciones hasta llegar a su última forma. Las primeras VPN, conocidas como SDN (Software Defined Networks), fueron ofrecidas por AT&T en los 80. SDN permitía construir WAN con enlaces dedicados o conmutados y basadas en bases de datos para clasificar intentos de acceso local o remoto. Basado en esta información, el paquete era ruteado a su destino a través de la infraestructura de la red pública conmutada. La segunda generación surgió con la aparición de X.25 y la Red Digital de Servicios Integrados (ISDN) a comienzos de los 90. Estas dos tecnologías permitieron transmisión de paquete por la red pública. La idea de transmisiones económicas por una red pública ganó popularidad rápidamente. Pero como las tasas de transmisión no crecían a los niveles esperados, la segunda generación fue efímera. Después de la segunda generación, el avance fue lento hasta la aparición de las tecnologías Frame Relay (FR) ATM. La 3ra generación está basada en el concepto de conmutación virtual de circuitos en las cual los paquetes de datos no contienen las direcciones origen/destino, sino indicadores de los circuitos virtuales involucrados en la transacción origen/destino. Ante las necesidades de e-commerce a mediados de los 90, los requisitos del usuario estaban mejor definidos. Las organizaciones necesitaban una solución fácil de implementar, escalar y administrar; globalmente accesible y capaz de proporcionar alto nivel de seguridad de extremo a extremo. La generación actual de VPN (las IP VPN) reúnen todos estos requisitos mediante el empleo de tecnología de tunelización. Qué puede ofrecer una VPN? Extensión geográfica de la conectividad Mejora de la seguridad Reducción de costos operacionales respecto de la WAN tradicional Reducción de tiempos y costos de transporte para usuarios remotos Mejora de la productividad Simplificación de la topología de la red Oportunidades globales de networking Soporte de telecomunicaciones a distancia Compatibilidad de conexiones de banda ancha Retorno de la inversión más rápido que la tradicional WAN 5

6 TUNELIZADO o TUNNELING Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños. Las VPN confían en el tunneling para crear la red privada a través de Internet. Ambos extremos, por donde ingresa y sale el paquete se llaman interfaces de túnel. Tunneling es la técnica de encapsular un paquete de datos en un protocolo de tunelización, como IPSec, PPTP, o L2TP. El paquete es finalmente encapsulando ( tunelizado ) generalmente en un paquete IP y enrutado al destino. Dado que el paquete original puede ser de cualquier tipo, el tunneling soporta tráfico multiprotocolo, incluido IP, PPP, ISDN, FR y ATM. El tunneling requiere de tres protocolos diferentes: De transporte (Carrier protocol): Usado por la red que transporta la información. De encapsulamiento (Encapsulating protocol): Es el que empaqueta o envuelve a los datos originales (GRE, IPSec, L2F, PPTP, L2TP). Protocolo viajero (Passenger protocol): Protocolo original de los datos transportados (IPX, NetBeui, IP) Requerimientos básicos de una VPN Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: Identificación de usuario: debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a aquellos que no estén autorizados. Así mismo, proporciona registros estadísticos que muestren quien accedió, cuando y que información utilizó. Administración de direcciones: debe establecer una dirección para el cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así. Codificación de datos: Los datos que a transmitir por la red pública deben ser previamente encriptados para que no puedan ser leídos por usuarios no autorizados. Administración de claves: debe generar y renovar las claves de codificación para el cliente y el servidor. Soporte a protocolos múltiples: debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de Internet (IP), el intercambio de paquete de Internet (IPX) entre otros. Distintos tipos de TUNNELING Los distintos tipos de túneles que se pueden implementar son; (ver figura 20) VPN extremo a extremo (Site-to-Site VPN) VPN de acceso remoto 6

7 INTRANET VPN * Bajo Costo * Tunneled con cuantiosos servicios VPN tales como encriptación IPSec, y QoS que asegura rendimiento muy confiable * Más económica frente a Frame Relay y líneas dedicadas OFICINA HOGAREÑA CASA CENTRAL OFICINA REMOTA EXTRANET VPN * Extiende la WAN a partners * Provee seguridad de Capa 3 (L3) COMPAÑÍA ASOCIADA (PARTNER) USUARIO MÓVIL VPN DE ACCESO REMOTO * Muy segura * Escalable * Túnel encriptados a través de redes públicas mediante software del cliente * Ahorro mediante discado gratuito Figura 20 VPN extremo a extremo (Site-to-Site VPN) Permite conectar múltiples sitios fijos, sobre una red pública como la Internet a través de equipos dedicados y gran escala de encriptación. (figura 21) El protocolo de encapsulamiento que generalmente proporciona la estructura para encapsular el protocolo viajero para el transporte basado en IP, es el GRE (Generic Routing Encapsulation). De incluir información sobre qué tipo de paquete está encapsulando e información sobre la conexión entre el cliente y servidor. En el modo túnel también se usa como protocolo de encapsulamiento IPSec, que opera tanto en protocolos VPN site-to-site como de acceso remoto. IPSec debe ser soportado por ambas interfaces del túnel. Figura 21: Tunneling extremo a extremo 7

8 Las Site-to-site VPN pueden ser de dos tipos: Basadas en Intranet: Se pueden conectar múltiples LAN remotas mediante una Intranet VPN de manera de crear una única red privada (P.ej. Conexión de distintas sucursales con casa central). Basadas en Extranet: Permite construir una conexión LAN a LAN mediante una Extranet, lo que permite que varias compañías trabajen en un ambiente compartido (P.ej. compañía con partners, proveedores o clientes) VPN de acceso remoto También conocida como Red dial-up Privada Virtual (VPDN: Virtual Private Dial-up Network), consiste conexiones remotas de usuarios que necesitan conectarse a la LAN de la compañía desde varios sitios remotos Típicamente, la corporación pasa los requerimientos a un ESP (Enterprise Service Provider). Este prepara un servidor de acceso de red (NAS: Network Access Server) y les proporciona el software a los usuarios remotos mediante el empleo de tecnología de tunelización. En una VPN de acceso remoto, normalmente se utilizan protocolo basados en PPP (Point-to- Point Protocol). PPP es el portador para otros protocolos de IP que se comunican a través de la red. El tunneling por acceso remoto confía en PPP. Los protocolos indicados en la figura 22, que son empleados por las VPN de acceso remoto, usan la estructura básica de PPP: Servidor con acceso restringido a usuarios de la red / Origen: Destino: Ping ISP Túnel POP (Point of Presence) Red /24 ISP Origen: Destino: Origen: Destino: Servidor de Túneles Rango Red /24 Figura 22: Funcionamiento de un túnel VPN para usuario remoto Bloques Constructivos de una VPN Como muestra la figura 23, una solución basada en VPN esta formada por seis elementos fundamentales (o bloques constructivos) que se detallan debajo. 8

9 Figura 23 Hardware VPN: Incluye servidores de VPN, clientes y otros dispositivos de hardware como las router, gateways y concentradores. Software VPN: Incluye software de servidores clientes VPN y herramientas de administración. Infraestructura de seguridad de la organización: Incluye RADIO, TACACS, NAT y soluciones basadas en AAA. Protegen la Intranet de muchos desastres. Es una combinación de los siguientes mecanismos: Firewalss NAT Servidores de autenticación y bases de datos: RADIUS (Remote Access Dial-In User Services) y TACACS (Terminal Access Controller Access Control System), los más conocidos. Arquitectura AAA: (Authentication, Authorization, Accounting) IPSec El proveedor de servicio que soporta la infraestructura: Incluye el switch de acceso a la red y backbone Internet. Las redes públicas: Incluyen Internet, PSTN (Public Switched Telephone Networks) y las viejas POTS (Plain Old Telephone Services) Túneles: pueden ser basados de PPTP, L2TP, L2F, etc. Arquitecturas de VPN Pueden realizarse de muchas maneras. Por ejemplo, si dependen de que extremo se implementa, de los requisitos básicos de seguridad, disponibilidad, QoS y así sucesivamente, se pueden clasificar en tres categorías. Si dependen de los requisitos de seguridad, pueden dividirse en cuatro categorías. Si dependen de la capa del modelo OSI en la cual funciona la infraestructura global de VPN, puede ser dividido en dos grupos. Finalmente, dependiendo de la escala y la complejidad, pueden ser clasificadas en cinco clases. 9

10 Arquitecturas de VPN basadas en seguridad Las siguientes categorías de VPN ofrecen una mejora de la seguridad de las Intranet: Router a router. Figura 24 Firewall a firewall. Figura 25 Iniciada por el cliente Dirigida: no hace uso de túneles bidireccionales. Se establece un túnel unidireccional entre los extremos. Los datos son encriptados a nivel de Capa de Sesión (L5) OSI. El protocolo usado es el SOCKS v5. Figura 24 Figura 25 Arquitecturas VPN basadas en Capas Dependen de la capa del modelo OSI en la cual funciona la VPN. VPN de Capa de Enlace (Link-layer VPN) VPN de Capa de Red (Network-layer VPN) 10

11 Link-layer VPN Como lo sugiere el nombre, las VPN de Capa de Enlace usan conectividad de Capa 2. Las transacciones están limitadas a la red local porque usan direcciones MAC; por consiguiente, las L2-VPN son funcionalmente similares a las redes privadas. Basadas en tecnologías de Capa 2, tenemos cuatro tipos: Conexiones virtuales Frame Relay: Usa conexiones virtuales en la que ambos extremos usan clocking adaptativo durante la transmisión. La tasa se ajusta a la aplicación y señalización. Tecnología VPN barata y CIR garantizado. Conexiones virtuales ATM: Similares a FR, pero usan infraestructura ATM. Son más rápidas y buena performance. Son más caras que FR. Multi-protocolo sobre ATM (MPOA): Basadas en ATM, pero soportan múltiples protocolos dependientes de los routers localizados al borde de la red privada. No es popular porque ATM no es aceptable en una intranet híbrida con varias tecnologías de gestión de redes. Multi-Protocol Label Switching (MPLS): Provee un medio eficaz para establecer VPN basadas en IP a través de backbones WAN ATM. El router construye la VPN en la tabla de enrutamiento. A cada ruta se le asigna una etiqueta que envía información de ruteo a cada router conectado. Durante la transmisión, el dispositivo MPLS que recibe estos paquetes IP los encapsula usando etiquetas MPLS. Es la etiqueta MPLS y no el IP Header el que se usa para rutear los paquetes a través de la WAN. En el borde de la Intranet, cuando el paquete está a punto de acceder a la infraestructura basada en IP, la etiqueta de MPLS es removida. Network-layer VPN Las VPN de Capa de Red, también conocidas como L3-VPN, usan la funcionalidad de la Capa de Red y pueden organizarse dos categorías: Modelo Peer-VPN: En este modelo, la Capa de Red envía los paquetes en un camino basado en saltos (hop-to-hop). El camino a cada router es considerado como el camino a la red destino. Todos los router en el camino de tránsito son consideradas como pares. Modelo Overlay VPN: Al contrario del modelo Peer-VPN, este modelo no calcula el camino a la red del destino en una base hop-to-hop. La infraestructura de internetworking usa como un "cut-through" al próximo router en el camino de tránsito. Las tecnologías VPN basadas en ATM, FR y VPN usando tunneling son algunos ejemplos del modelo Overlay VPN. Las redes VPN Layer 3 también son conocidas como VPDN (Virtual Private Dial Networks) y usan dos tecnologías de tunneling de Capa 2: PPTP y L2TP. Tecnología de Tunneling Básica Como hemos visto, las tecnologías VPN descansan en el tunelizado (tunneling). Mientras se atribuye la efectividad del costo de las VPN al uso de Internet, la seguridad que ofrecen las VPN es el resultado directo de la tunelización. El túnel es el componente más significativo de la tecnología VPN. Permite crear redes virtuales por Internet y otras redes públicas. Esta red virtual no puede se accedida por usuarios extraños o computadoras que no son una parte de la Intranet de la organización. 11

12 Tunneling es la técnica de encapsular un paquete de datos dentro de un paquete de otro formato. En otras palabras, el encabezado (header) del protocolo de tunneling se añade al paquete original. El paquete resultante se transfiere al destino a través de la infraestructura de red intermedia. El aspecto más importante del tunneling es que el paquete original, también llamado carga útil (payload), puede pertenecer a un protocolo no soportado por la red. En lugar de transferir el paquete original que no sería ruteable por la red el protocolo de tunneling subyacente anexa el encabezado para el paquete tunelizado (tunneled packet). Este header proporciona la información de asignación de ruta necesaria para la entrega exitosa del paquete. El tunnelig es análogo al correo al enviar una carta. Luego de escribir la carta, la coloca en un sobre. Este sobre lleva la dirección del destinatario y del remitente (direcciones origen y destino). Cuando envía esta carta, se entrega al destinatario según la dirección del sobre. El destinatario necesita abrir el sobre para leer la carta. En tecnología de tunnelizado, la carta es equivalente a la carga útil original y el sobre representa el paquete del protocolo ruteable que encapsula la carga útil. La dirección en el sobre representa la información de la asignación de ruta que se añade al paquete. Cuando un paquete tunelizado es ruteado al destino, viaja por la red a través de un camino lógico. Este camino lógico es llamado el túnel. Al recibir un paquete tunelizado, el destinatario devuelve el paquete a su formato original. La figura 26 muestra el proceso. Componentes del Tunneling Figura 26 Para establecer un túnel entre dos extremos, son necesarios cuatro componentes: La red designada (Target network): Es la red que contiene los recursos que necesitan los clientes para el acceso remoto que inician la sesión VPN. (La red designada también es llamada la red residente (home network) en algunas VPN). El nodo iniciador: Es el cliente remoto o servidor que inicia la sesión VPN. El nodo iniciador puede ser una parte de una red local o puede ser un usuario móvil usando una laptop. Agente Local HA (Home Agent): La interface de software que reside en el nodo de acceso (router) de la red designada. Sin embargo, un nodo destino, como un servidor de acceso 12

13 dial-up, también puede soportar el HA. El HA recibe y autentica el requerimiento entrante para verificar que son confiables. Luego de la autenticación exitosa, el HA permite el establecimiento del túnel. El Agente Externo FA (Foreign Agent). La interface de software que reside en el nodo del iniciador o el nodo de acceso a la red (router) a la cual pertenece el nodo iniciador. El nodo iniciador usa el FA para pedir una sesión VPN al HA de la red designada. Funcionamiento de la Tecnología Túnel Puede ser dividido en dos fases: Fase I: El nodo iniciador (o cliente remoto) solicita una sesión VPN y es autenticado por el correspondiente HA. Fase II: La transferencia de datos ocurre a través del túnel. En la Fase I, se inicia una demanda de conexión y se negocian los parámetros de la sesión. Esta fase también se conoce como establecimiento del túnel Si la demanda se acepta y se negocian los parámetros de la sesión con éxito, se establece un túnel ambos extremos. Esto ocurre de la siguiente manera: 1. El iniciador envía el pedido de conexión al FA de la red. 2. El FA autentica el pedido mediante validación de un login y password emitida por el usuario. (El FA generalmente usa servicio RADIUS-Remote Access Dial-Up Services) para autenticar la identidad del nodo iniciador. 3. Si el login y password no son validos, el pedido de sesión VPN es rechazado. Si el FA autentica la identidad del iniciador positivamente, este envía el pedido al HA de la red designada (target network). 4. Si el pedido es aceptado por el, el FA envía en forma encriptada el login y password correspondientes. 5. El HA verifica la información suministrada. Si la verificación es exitosa, el HA envía al FA una Respuesta Registrada (Register Reply), junto al número de túnel, al FA. 6. Un túnel es establecido cuando el FA recibe el Register Reply y el número de túnel. Si los dos extremos no usan el mismo protocolo de tunneling, son negociados los parámetros variables de configuración túnel, tales como encriptación, parámetros de compresión, y mecanismos de mantenimiento del túnel. Con el establecimiento del túnel, la Fase I es considerada terminada y comienza la Fase II o fase de transferencia de datos. Las transacciones en esta fase ocurren como sigue: 1. El iniciado comienza a enviar los paquetes de datos al FA. 2. El FA crea el encabezamiento de túnel (tunnel header) y lo agrega a cada paquete de datos. Luego se agrega al paquete la información del encabezado del protocolo ruteable (negociado en la Fase I). 3. El FA remite el paquete de datos encriptado resultante al HA usando el número de túnel suministrado. 4. Al recibir la información encriptada, el HA despoja el encabezado del túnel y del protocolo ruteable, obteniendo el paquete en su formato original 5. Los datos originales se envían al nodo destino en la red. Las figuras 27 y 28 muestran las dos fases del tunneling. 13

14 Figura 27 Figura 28 Formato del Paquete Tunelizado (Tunneled Packet) Como se ha descrito, antes de que se entregue a la red designada por el túnel, el paquete de datos original es el encriptado por el FA. Este paquete encriptado, se conoce como paquete tunelizado (Tunneled Packet). El formato de un paquete tunelizado se muestra en Figura 29. Como puede verse, un paquete tunelizado o Tunneled Packet, consiste de tres partes: Figura 29 14

15 Encabezamiento del protocolo ruteable (Header routable protocol): Contienen las direcciones del origen (FA) y del destino (HA). Como habitualmente las transacciones son sobre Internet, este header generalmente es el estándar IP y contiene las IP addresses del FA y HA involucrados en la transacción. Encabezamiento del paquete de túnel (Tunnel packet header): Este header contiene los cinco campos siguientes: Tipo de Protocolo. Indica el tipo del protocolo original del paquete de datos (payload). Checksum. Contiene la suma de verificación usada para chequear si el contenido del paquete se corrompió durante la transmisión. Esta información es opcional. La clave (Key). Es usada para identificar o autenticar el origen de los datos (iniciador). Número de Secuencia. Contienen el número que indica la secuencia en la serie de paquetes transmitidos. Asignación de ruta origen (Source routing). Contiene información adicional de routing. Este campo es opcional. Carga Útil (Payload). Es el paquete original enviado por el iniciador al FA. También contiene el encabezado original. Protocolos de Tunneling La tecnología de Tunneling hace uso de tres tipos de protocolos: Protocolo de Transporte (Carrier protocol): Este protocolo es usado para encaminar los paquetes tunelizados al destino pretendido a través de la red. El paquete tunelizado es encapsulado dentro del paquete de este protocolo. Dado que debe enrutar el paquete a través de redes heterogéneas, tales como Internet, este protocolo debe ser ampliamente soportado. Como resultado, si el túnel es creado a través de Internet, el protocolo de transporte predominantemente usado es IP. No obstante, en caso de intranet privada, los protocolos de enrutamiento nativos pueden también servir de protocolo de transporte. Protocolo de Encapsulamiento (Encapsulating protocol): Estos protocolos son usados para encapsular la carga útil original. Además, también es responsable de la creación, mantenimiento y terminación del túnel. Actualmente los más usados son PPTP, L2TP y IPSec Protocolo Pasajero (Passenger Protocol): Los datos originales que necesitan ser encapsulados para su transmisión a través del túnel pertenecen a este protocolo. PPP y SLIP son ejemplos de protocolos pasajeros. La figura 30 muestra el formato de paquetes tunelizados. Figura 30 15

16 Tipos de Túneles Hay dos tipos de túneles usados durante una sesión VPN. Basados en la forma en la cual es creado un túnel, este puede ser voluntario u obligatorio Túneles Voluntarios También conocidos como túneles extremo a extremo (end-to-end tunnels), son creados a pedido del usuario (cliente). Como resultado, el nodo iniciador actúa como punto final del túnel. Por consiguiente, se crea un túnel por separado para cada sesión de usuarios. Después de que la comunicación entre ambos extremos acaba, el túnel se termina. La figura 31 muestra un túnel voluntario Figura 31 En el caso de un cliente remoto que usa una conexión dial-up, el cliente necesita primero establecer la conexión. Éste es un paso preliminar para establecer los túneles y no es parte del protocolo de establecimiento del túnel. Sólo después que la conexión dial-up se completa puede el iniciador establecer el túnel al nodo destino. La situación es menos compleja en el caso de un cliente que está conectado a la red en forma permanente a la red local. Por consiguiente, no necesita establecer una conexión dial-up. Túneles Obligatorios A diferencia de los túneles voluntarios, solicitados por los clientes, los túneles obligatorios (o compulsivos) se configuran en un dispositivo intermedio. El NAS (Network Attached Storages) o servidor dialup son tales dispositivos intermedios. Este tipo de tunneling es llamado (compulsory tunneling) porque el iniciador debe usar el túnel creado por el dispositivo del intermedio. El dispositivo intermedio usado para preparar los túneles VPN es conocido por los diferentes protocolos de tunelización. Por ejemplo, en la terminología L2TP un dispositivo intermedio se llama LAC (L2TP Access Concentrator). En la terminología PPTP el dispositivo es conocido como FEP (Front End Processor). Para IPSec, el dispositivo intermedio que prepara el túnel durante una sesión VPN normalmente se llama IP Security Gateway. En el caso de tunneling compulsivo, como el mostrado en la figura 32, tanto el cliente remoto como el cliente conectado a la LAN deben conectarse al dispositivo intermedio generalmente 16

17 localizado en POP del ISP. Después de que la conexión se establece con éxito, el dispositivo intermedio crea el túnel. Figura 32 Dado que el nodo iniciador no participa en la creación o configuración del túnel, no actúa como punto final del mismo. En este caso, el dispositivo intermedio responsable del túnel, actúa como punto final. Los túneles compulsivos pueden ser compartidos por múltiples comunicaciones. El túnel no termina hasta que la última comunicación se haya completado. Algunos expertos definen dos tipos de túneles basados en el periodo de actividad, así tenemos túneles estáticos y túneles dinámicos. Los estáticos permanecen activos hasta que son finalizados, sin tener en cuenta la transmisión de datos. Estos tipos de túneles son caros y se usan en VPN site-to-site. Los túneles dinámicos solo se activan, cuando se necesita transferir dato. Son más seguros que los estáticos. Protocolos de Tunneling de Capa 2 Estos protocolos de tunelización son fundamentales para construir VPNs y afianzar las transmisiones. Algunos de los más conocidos funcionan en la Capa de Enlace de Datos del modelo OSI mostrado en la figura 32 Figura 32 17

18 Estos incluyen los protocolos PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding) y L2TP (Layer 2 Tunneling Protocol). Antes de discutir sobre estos protocolos, es conveniente conocer al protocolo PPP (Point-to- Point Protocol) esencial para todos los protocolos de tunelización de Capa 2 que usan PPP. Protocolo Punto a Punto (Point-to-Point Protocol - PPP) PPP es un protocolo de encapsulamiento que facilita el transporte de tráfico de la red a través de enlaces seriales punto a punto. La principal ventaja de PPP es que puede operar DTE o DCE incluso EIA/TIA-232-C (conocido como RS-232C) e ITU-T V.35. Otro punto a favor de PPP es que no restringe las proporciones de la transmisión. Durante la transmisión, las únicas restricciones basadas en la transmisión son impuestas por la interfase DCE/DTE usadas. Finalmente, el único requisito de PPP es la disponibilidad de una conexión dúplex (bidireccional) que puede ser síncrona o asíncrona y puede operar en modo switched o dedicado. Además de la encapsulación de IP y de los datos no IP y su transporte por los enlaces serie, PPP también es responsable de las siguientes funciones: Asignación y administración de direcciones IP en datagramas no IP. Configuración y prueba de los enlaces establecidos. Encapsulamiento asíncrono y síncrono de datagramas. Detección de errores durante la transmisión. Multiplexing de múltiples protocolos de Capa 2. Negociación de parámetros de configuración opcionales, como la compresión de datos y direccionamiento. PPP realiza esta funcionalidad con el uso de tres normas. Un estándar para encapsular paquetes de datos sobre enlaces punto a punto. Este estándar de encapsulamiento de paquetes es similar al protocolo HDLC. Sin embargo hay algunas diferencias entre ambos. Un estándar para establecimiento, configuración y prueba de la conexión punto a punto con ayuda del protocolo LCP (Link Control Protocol) Un estándar para el establecimiento y configuración de varios protocolos de Capa de Red y detección de errores durante la transmisión en la forma del protocolo NCP (Network Control Protocol) Point-to-Point Tunneling Protocol (PPTP) PPTP es una solución propietaria que habilita la transferencia de datos segura entre un cliente remoto y un servidor creando una VPN a través de una internetwork basada en IP. Desarrollado por el Consorcio PPTP (Microsoft Corporation, Ascend Communications, 3COM, US Robotics y ECI Telematics), PPTP ofrece VPN bajo demanda (on-demand VPN) a través de redes inseguras. PPTP no sólo facilita las transmisiones seguras por las redes públicas basadas en TCP/IP, sino también por las Intranet privadas. Históricamente, dos fenómenos han jugado un papel mayor en el éxito de PPTP en conexiones de largas distancias. Éstos incluyen: 18

19 Uso de PSTN (Public Switched Telephone Networks). PPTP permite el uso de PSTN para la implementación de VPN. Como resultado, el proceso de desarrollar VPN es notablemente simple y el costo total es significativamente pequeño. La razón de esto es simple, la necesidad de soluciones de conectividad basadas en líneas arrendadas y dedicadas son totalmente eliminadas. Soporte para protocolos no IP. A pesar que da a entender que se trata de redes basadas en IP, también soporta otros protocolos de red, como TCP/IP, IPX, NetBEUI, y NetBIOS. Por consiguiente, PPTP ha demostrado ser exitoso en el desarrollo de VPN para LAN privada y para crear VPN a través de redes públicas. Rol de PPP en Transacciones PPTP PPTP es una extensión lógica de PPP ya que no cambia la tecnología PPP subyacente. Sólo define una nueva manera de transportar tráfico PPP por las redes públicas no seguras. Realmente como PPP, PPTP tampoco soporta conexiones múltiples. PPTP soporta conexiones punto a punto. Además, PPP cumple las siguientes funciones en las transacciones basadas en PPTP: Establece y termina las conexiones físicas entre ambos extremos. Autentica clientes de PPTP. Encripta IPX, NetBEUI, NetBIOS, y datagramas TCP/IP dentro de datagramas PPP y asegura el intercambio de datos entre las partes involucradas. PPP es muy similar en transacciones L2F y L2TP La figura 33 muestra el papel de PPP en las transacciones basadas en PPTP Figura 33 Componentes de Transacciones PPTP Cualquier transacción basada en PPTP implementa por lo menos, tres componentes, como se muestra en la figura 34. Estos componentes de PPTP son: 19

20 Un cliente PPTP Un Servidor de Acceso de Red (NAS - Network Access Server) Un servidor PPTP Figura 34 Clientes PPTP Un cliente PPTP es un nodo de la red que soporta PPTP y puede requerir otro nodo para una sesión VPN. Si la conexión es solicitada desde un servidor remoto, el cliente PPTP debe usar los servicios NAS de un ISP. Para esto, el cliente debe conectarse a un módem que se usa para establecer una conexión PPP dial-up al ISP. El cliente PPTP también debe conectarse a un dispositivo VPN para que pueda tunelizar la demanda (y los datos subsecuentes, si la demanda se acepta) al dispositivo VPN en la red remota. El enlace al dispositivo VPN remoto usa la primera conexión dial-up al NAS del ISP para establecer un túnel por Internet u otra red. A diferencia de los requerimientos remotos de sesiones VPN, las demandas para una sesión de VPN a un servidor local no requieren una conexión al NAS del ISP. Tanto el cliente y el servidor están físicamente conectados a la misma red (LAN), haciendo una conexión al NAS del ISP innecesaria. El cliente, en este caso, sólo requiere una sesión dial-up con el dispositivo de VPN en el servidor. Como los requisitos de asignación de ruta a los paquetes PPTP para una demanda remota y una local son diferentes, se procesan los paquetes asociados con dos demandas diferentemente. Los paquetes PPTP se ubican en un servidor local en el medio físico conectado al adaptador de red del cliente PPTP. Recíprocamente, el paquete PPTP a un servidor remoto se rutea a través de los medios de comunicación físicos conectados a un dispositivo de la telecomunicaciones, como un router. La colocación de paquetes PPTP en los medios de red se ilustra en la figura

21 PPTP Servers Los Servidores PPTP son nodos de la red que soportan PPTP y son capaces de satisfacer demandas de servicio para sesiones VPN de otros nodos remotos o locales. Para responder a las demandas remotas, estos servidores deben soportar también capacidades de enrutamiento. Un Servidor de Acceso Remoto (RAS - Remote Access Server) y cualquier otro Sistema Operativo de Red (NOS) que soporte PPTP, como Windows NT Server 4.0, puede actuar como un servidor de PPTP. Figura 35 PPTP Network Access Servers (NAS) Los PPTP NAS se ubican en el sitio del ISP y proporcionan conectividad a Internet a clientes que usan PPP. Como la probabilidad de que muchos clientes pidan una sesión VPN simultáneamente es alta, estos servidores deben ser capaces de soportar múltiples concurrencia de clientes. Los PPTP NAS debe ser capaz de manejar una amplia gama de clientes. Procesos PPTP PPTP emplea tres procesos para afianzar la comunicación basada en PPTP sobre medios de comunicación no seguros. Estos procesos son Establecimiento de conexión basada en PPP Control de conexión Tunneling PPTP y transferencia de datos Data Tunneling y Procesamiento PPTP Un paquete de datos PPTP experimenta múltiples etapas de encapsulamiento que incluyen lo siguiente: 21

22 1. Encapsulamiento de datos. La información original (carga útil) es encriptada y encapsulada dentro de una trama PPP. Se agrega un encabezado PPP a la trama. 2. Encapsulamiento de tramas PPP. La trama PPP resultante se encapsula dentro de un paquete GRE (GRE - Generic Routing Encapsulation). El encabezado GRE tiene 4 byte. Un campo de Reconocimiento (Acknowledgement) y su correspondiente bit de reconocimiento que notifica sobre la presencia del campo Acknowledgement. Además, el campo Clave (KEY) en la trama GRE es reemplazado por un campo de 2 bytes de longitud llamado Longitud de Carga Util (payload length) y un campo de 2 byte de longitud llamado Call ID. El cliente PPTP pone este campo cuando crea el túnel PPTP. 3. Encapsulamiento de paquetes GRE. Luego, se agrega un encabezado IP a la trama PPP la cual es encapsulada dentro del paquete GRE. Este encabezado IP contiene las direcciones IP origen del cliente PPTP y la del servidor destino. 4. Encapsulamiento de Capa de Enlace de Datos. PPTP es un protocolo de tunneling de Capa 2. Por consiguiente, el encabezado de Enlace de Datos y el trailer juegan un importante rol en el tunelizado de datos. Antes de ser puestos en el medio de transmisión, la Capa de Enlace de Datos agrega su propio encabezamiento y trailer al datagrama. Si el datagrama tiene que viajar a través de un túnel PPTP local, el datagrama se encapsula con tecnología de LAN (como Ethernet). Por otro lado, si el túnel se ha establecido a trabes de una WAN, el encabezado y trailer que se agregan al datagrama son invariablemente PPP. GRE es un mecanismo de encapsulamiento simple y versátil, de propósitos generales para datos IP. Generalmente es usado por los ISP para enviar información de routing dentro de la intranets. Cuando los datos PPTP son transferidos con éxito al destino, este debe procesar el paquete tunelizado para extraer los datos originales. El proceso de extracción de los datos PPTP es exactamente a la inversa del tunelizado de los datos PPTP. Pros y Contras de PPTP Las principales ventajas ofrecidas por PPTP son: Es una solución para productos Microsoft los cuales se usan ampliamente. Puede soportar protocolos no IP. Es soportado por varias plataformas, como Unix, Linux y Macintosh. Otras plataformas que no soportan PPTP también pueden beneficiarse de los servicios PPTP usando routers con capacidad PPTP. Las aplicaciones PPTP también tienen desventajas, que incluyen: Es una opción más débil. L2TP e IPSec son tecnologías más seguras. Es dependiente de la plataforma Requiere configuración extensiva en el servidor PPTP y en el cliente. Aunque se usa como una solución VPN, se necesita configurar un Servidor de Enrutamiento y de Acceso Remoto (RRAS - Routing and Remote Access Server), en el caso de soluciones Dial-on-Demand routing. 22

23 La mayor desventaja asociada con PPTP es su débil mecanismo de seguridad debido a la encriptación simétrica en el cual la clave se deriva de la contraseña del usuario. Esto es más arriesgado porque las contraseñas se envían en formato en claro para la autenticación. Layer 2 Forwarding (L2F) Como se ha mencionado, los servicios dial-up tradicionales son realizados a través de Internet y por consiguiente está basado en tecnología IP. Esto es por qué las soluciones populares de tunneling, tales como PPP y PPTP, han demostrado tener más éxito con la infraestructura IP que con otras tecnologías de gestión de redes, como ATM y Frame Relay. La seguridad era otro problema. A pesar de las demandas de Microsoft de transacciones seguras, PPTP está basado en el MS-CHAP que, no es muy seguro. Estos problemas hicieron a las organizaciones buscar soluciones alternativas que ofrecieran servicios dial-up multiprotocolo más seguros. Cisco, junto con Nortel, fueron los principales proveedores que comenzaron a trabajar en una solución que debía: Habilitar transacciones seguras. Proporcionar acceso a través de la infraestructura subyacente de Internet y otras redes públicas. Soportar una amplia gama de tecnologías de red, como ATM, FDDI, IPX, Net-BEUI y Frame Relay. La alternativa presentada por Cisco fue L2F. Además de cumplir los objetivos principales expresados más arriba, L2F ofreció un mayor avance en la tecnología de acceso remoto: el tunelizado L2F puede soportar simultáneamente más de una sesión dentro del mismo túnel. En términos simples, más de un usuario remoto puede acceder a una intranet privada usando una sola conexión dial-up. L2F logra esto definiendo conexiones múltiples dentro de un túnel dónde cada conexión representa un solo stream PPP. Estos stream pueden originar un solo usuario remoto o múltiples usuarios. Dado que un túnel puede soportar múltiples conexiones simultáneamente, se requieren menos conexiones desde el sitio remoto al ISP. Esto reduce los costos. La figura 36 muestra el tunneling L2F Figura 36 23

24 Procesos L2F Cuando un cliente remoto inicia una conexión dial-up a un host ubicado en una intranet privada, los siguientes procesos se ejecutan secuencialmente: 1. El usuario remoto comienza una conexión PPP a su ISP. Si el usuario remoto es parte de una LAN, puede emplear ISDN u otro medio de conectividad para conectar al ISP. Como alternativa, si el usuario no es parte de alguna intranet, necesitará usar servicios PSTN. 2. Si los NAS presentes en el POP del ISP acepta la demanda, la conexión PPP se establece entre el NAS y el usuario. 3. El usuario es autenticado por el ISP. Para este propósito es usado CHAP o PAP. 4. Si no existe ningún túnel a la entrada de la red destino, se comienza uno. 5. Después de establecido un túnel, se asigna una MID (Multiplex ID) única a la conexión. Un mensaje de notificación se envía a la entrada del gateway de la red del host. Este mensaje notifica al gatgeway acerca de la demanda para la conexión del usuario remoto. 6. El gateway puede aceptar la demanda de conexión o puede rechazarla. Si la demanda se rechaza, se notifica al usuario sobre el fracaso de la demanda y la conexión dial-up finaliza. Por otro lado, si la demanda se acepta, el gateway envía al cliente remoto la notificación del establecimiento inicial. Esta respuesta puede incluir información de autenticación usada por el gateway para autenticar al usuario remoto. 7. Después de que el usuario es autenticado por el gateway de la red del host, se establece una interface virtual entre ambos extremos. Si se usa CHAP para la autenticación del usuario, la respuesta incluye el desafío, username, y raw response (respuesta en crudo). Para las autenticaciones basadas en PAP, la respuesta incluye username, y password en texto claro (sin encriptar). La figura 37 muestra el proceso completo de establecimiento de un túnel L2F entre dos usuarios finales. Figura 37 24

25 Tunelizado L2F Cuando un usuario remoto se autentica, se establece un túnel entre el NAS del ISP y el gateway de la red del host remoto, como se muestra en la figura 38. Figura 38 Después de haber establecido un túnel entre ambos extremos, pueden intercambiarse las tramas de Capa de Enlace sobre el túnel como sigue: 1. El usuario remoto envía las tramas normales al NAS localizado en el ISP. 2. El POP toma la información de la Capa de Enlace de Datos y agrega el encabezado L2F y trailer de la trama. La trama así encapsulada se envía a la red destino a través del túnel. 3. El gateway acepta estos paquetes tunelizados, extrae el encabezado y trailer L2F y envía las tramas al nodo destino dentro de la intranet. 4. El nodo destino procesa las tramas recibidas como tramas no tunelizadas. Los túneles L2F son también conocidos como "interfaces virtuales". Cualquier respuesta del host destino sufre el proceso inverso. Es decir, el host envía una trama normal de Capa de Enlace de Datos (Data Link) al gatgeway, el cual encapsula la trama en un paquete L2F, y lo remite al NAS localizado en el ISP. El NAS despoja la información de la trama L2F y agrega la información propia de la Capa de Enlace de el. La trama se remite entonces al usuario remoto. Encriptación de Datos en L2F L2F usa MPPE (Microsoft Point-to-Point Encryption) para propósitos básicos de encriptación. Sin embargo, MPPE no es una apuesta segura contra las técnicas de hacking actuales. Como resultado, L2F también usa encriptación basada en el protocolo IPSec (IPSec - Internet Protocol Security) para asegurar la transmisión segura de los datos. IPSec usa dos protocolos para encriptación ESP (ESP - Encapsulating Security Payload) y AH (AH - Authentication Header). Además, para acentuar la clave de seguridad durante la fase de 25

26 intercambio de claves, IPSec usa un tercer protocolo llamado el Internet Llave Intercambio IKE (IKE - Internet Key Exchange). La mayor ventaja de la tecnología de encriptación IPSec es que fuerza la autenticación de cada paquete individualmente en lugar de la práctica común de autenticación del usuario. En los mecanismos de autenticación de usuario, en cada extremo se autentica al usuario sólo una vez al principio de la comunicación. Sin embargo, como podría esperarse, la estrategia de autenticación de paquetes es más lenta que la de autenticación de usuario e incurre en el sobrecargas (overheads) comparativamente grandes. No obstante, IPSec se recomienda como el protocolo de seguridad para todos los protocolos de tunelización VPN, sea PPTP, L2F o L2TP. Autenticación de Datos L2F La autenticación L2F se cumple en dos niveles. El primer nivel de autenticación L2F ocurre cuando un usuario remoto marca al POP del ISP. Aquí, el proceso de establecimiento del túnel sólo comienza después de que el usuario se ha autenticado. El segundo nivel de autenticación se hace en el gateway de la red del host que no establece un túnel entre ambos extremos (NAS y el mismo) hasta que autentique al usuario remoto. Parecido a PPTP, L2F también usa servicios de seguridad soportados por PPP para la autenticación. Como resultado, L2F usa PAP para autenticar un cliente remoto cuando una gateway L2F recibe una petición de conexión. L2F también usa los siguientes esquemas de autenticación para mejorar la seguridad de los datos: CHAP (Challenge Handshake Authentication Protocol). CHAP fue desarrollado para evitar enviar contraseñas en texto claro como es el caso de PAP. En CHAP, cuando un cliente es desafiado para su identificación, responde con un valor hashed secreto derivado del algoritmo de hashing MD5. Si es calculado el mismo valor de hash en el servidor que usa el mismo procedimiento del cliente, este es autenticado con éxito. Por consiguiente, no se intercambia ninguna contraseña en texto claro durante el proceso. Otro problema normalmente asociado con PAP es que los usuarios sólo se autentican una vez durante el proceso de comunicación. CHAP, sin embargo, puede forzar múltiples desafíos de autenticación durante una sesión lo que hace más a un hacker irrumpir en la comunicación. EAP (Extensible Authentication Protocol). A diferencia de los métodos PAP y CHAP que se realizan en el momento de configuración del LCP, durante el establecimiento de la conexión PPP, EAP es realizado después de la fase LCP, cuando se ha efectuado la autenticación PPP. Por consiguiente, EAP permite un incremento en la autenticación porque aumenta el número de parámetros de conexión que pueden usarse opcionalmente como autenticación de la información. L2F también usa SPAP (SPAP - Shiva Password Authentication Protocol) para la autenticación. SPAP es un protocolo propietario que usa contraseñas encriptadas y puede soportar mejoras de funcionalidad, como intercambio de contraseñas y soporte de mecanismos de callback. Además de los mecanismos de la autenticación mencionados, L2F emplea también RADIUS (RADIUS - Remote Access Dial-In User Service) y TACACS (TACACS - Terminal Access Controller Access Control Service) como servicios de autenticación adicionales. Ambos autentican a usuarios que acceden el servidor de acceso remoto local, si el servidor de acceso 26

27 remoto no autentica a estos usuarios. La autenticación RADIUS y TACACS generalmente se lleva a cabo en el ISP y grande organizaciones. Pros y Contras de L2F Aunque L2F exige tratar con diferentes LCP y opciones de autenticación, es más extenso que PPTP porque es una solución de envío de tramas de bajo nivel. También provee una mejor solución para las plataformas VPN que PPTP. Las ventajas principales de llevar a cabo una solución basada en L2F incluyen lo siguiente: Mejora en la seguridad de las transacciones Independencia de la plataforma Ninguna necesidad de arreglos especiales con el ISP Soporta un amplio rango de tecnologías de networking como ATM, FDDI, IPX, NetBEUI y Frame Relay. A pesar de las ventajas arriba mencionadas, existen algunas desventajas asociadas con L2F: Las soluciones basadas en L2F requieren extensa configuración y soporte. La solución de una aplicación basada en L2F es muy dependiente del ISP. Si el ISP no soporta L2F, la aplicación no es posible. L2F no provee control de flujo. Como resultado, si el túnel se congestiona, los paquetes de datos pueden serán descartados arbitrariamente. Esto causa la retransmisión de los datos haciendo más lenta la velocidad de las transacciones. Debido al gran overheads asociado con la autenticación y encriptación L2F, las transacciones transportadas por los túneles L2F son lentas comparadas con PPTP. Con el desarrollo de L2F, había dos tecnologías de tunneling, PPTP y L2F, compitiendo por el control del mercado de VPN. Estos dos protocolos eran incompatibles. IETF decidió acabar con la confusión combinando los rasgos de ambas tecnologías para producir un protocolo que se usaría como un estándar en las soluciones VPN. El protocolo de Tunneling de Capa 2 (L2TP - Layer 2 Tunneling Protocol) era el resultado de este mandato. Layer 2 Tunneling Protocol (L2TP) Desarrollado por IETF y apoyado los gigantes de la industria, como Cisco, Microsoft, 3COM, y Ascend, L2TP es una combinación de protocolos VPN anteriores, PPTP y L2F. De hecho, acopla las mejores características de ambos. L2TP proporciona solución de acceso remoto flexible, escalable y rentable L2F y la conectividad point-to-point rápida de PPTP. La clave se los beneficios ofrecidos por L2TP, son: Soporta múltiples protocolos y tecnologías de networking como IP, ATM, FR, y PPP. Provee acceso a Internet y otras redes públicas, como PSTN. No requiere software extra, como drivers adicionales o soportes del sistema operativo. Permite a los usuarios con IP privadas acceder a la red remota a través de la red pública. La autenticación y autorización de L2TP es ejecutada por los gateway de la red. Por consiguiente, los ISP no necesitan mantener una Base de Datos de autenticación o de derechos de acceso para los usuarios remotos. 27

28 La principal característica de L2TP es establecer túneles PPP que, a diferencia de PPTP, no son terminados por el ISP cercano. Estos túneles se extienden en el gateway destino), como se muestra en la Figura 39. Figura 39: El Túnel L2TP Cuando las tramas PPP se envían a través del túnel L2TP, se encapsulan como mensajes UDP (UDP User Datagram Protocol). Componentes L2TP Las transacciones basadas en L2TP básicamente emplean tres componentes, un Servidor de Acceso de Red (NAS - Network Access Server), un Concentrador de Acceso L2TP (LAC - L2TP Access Concentrator), y un servidor de Red L2TP (LNS - L2TP Network Server). Network Access Server (NAS) Los NAS L2TP son dispositivos de acceso punto a punto que proporcionan la conectividad a Internet bajo demanda a usuarios remotos dial-up que discan (a través de líneas PSTN o ISDN) usando conexiones PPP. Los NAS son responsables de autenticar a los usuarios remotos a los ISP y determinar si realmente se requiere una conexión dial-up virtual. Igual a los NAS PPTP, las NAS L2TP se localizan en el ISP y actúan como clientes en el proceso de establecimiento de túneles L2TP. Los NAS pueden responder y soportar múltiples conexiones para un amplio rango de clientes que solicitan conexiones simultáneamente y puede soportar una amplia gama de clientes (Microsoft, Unix, Linux, VAX-VMS, y más). L2TP Access Concentrators El papel de los LAC en la tecnología de tunelización L2TP es establecer un túnel a través de las redes públicas (como PSTN, ISDN o Internet) para el servidor LNS del extremo del gateway de red del host. De esta manera, los LAC sirven como el punto de la terminación del medio de comunicación físico entre el cliente y el LNS de la red. 28

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral. UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral. Redes privadas virtuales. VPN Beneficios y desventajas con respecto a las líneas dedicadas. En años pasados si una oficina remota

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

Mecanismos de protección. Xavier Perramon

Mecanismos de protección. Xavier Perramon Mecanismos de protección Xavier Perramon 50 Mecanismos de protección 3. Protección del nivel de red: IPsec. En los apartados anteriores hemos visto los mecanismos básicos de protección, que proporcionan

Más detalles

REDES PRIVADAS VIRTUALES (RPV)

REDES PRIVADAS VIRTUALES (RPV) Page 1 of 12 REDES PRIVADAS VIRTUALES (RPV) En Internet, cada vez más extendida, las empresas y gobiernos usan la red Internet como una herramienta más, confiándole información importante. El problema

Más detalles

Concepto General de VPN

Concepto General de VPN Contenido Qué es una VPN? Tecnologias Anteriores. Descripción de las VPN. Arquitecturas VPN. Tunelamiento. PPTP (Protocolo de Túnel Punto a Punto). L2TP (Protocolo de Túnel de Capa 2). VPN SSL (Secure

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

SEGURIDAD EN REDES IP

SEGURIDAD EN REDES IP SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta Temas Avanzados de Redes de Ordenadores ÍNDICE Vulnerabilidades de los protocolos de la arquitectura TCP/IP IPSec Definición Formato paquetes Modos funcionamiento

Más detalles

SEGURIDAD EN SITIOS WEB

SEGURIDAD EN SITIOS WEB SEGURIDAD EN SITIOS WEB Septiembre 2001 Ing. Carlos Ormella Meyer SSW1 Formas de diagnósticos de seguridad: Evaluación de vulnerabilidades Pruebas de penetración Auditoría de seguridad SSW2 Evaluación

Más detalles

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA CONCEPTO VPN DEFINICIÓN, QUE SE PUEDE HACER CON UN VPN TIPOS DE VPN - ARQUITECTURA VPN ACCESO

Más detalles

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11

Redes Privadas. :: Redes :: transporte. red. enlace. física. aplicación. Versión 28/02/11 Versión 28/02/11 :: Redes :: aplicación transporte red enlace física Redes Privadas David Villa :: http://www.inf-cr.uclm.es/www/dvilla/ 1 Contenidos Introducción Direccionamiento

Más detalles

Cómo funcionan las redes privadas virtuales (VPN)

Cómo funcionan las redes privadas virtuales (VPN) Cómo funcionan las redes privadas virtuales (VPN) Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Antecedentes Qué constituye una VPN? Analogía: cada LAN es como

Más detalles

UTILIZANDO WINDOWS SERVER 2008

UTILIZANDO WINDOWS SERVER 2008 CONFIGURACIÓN DE UNA RED PRIVADA VIRTUAL (VPN) UTILIZANDO WINDOWS SERVER 2008 Por Braulio Alvarez Gonzaga 1 INDICE INTRODUCCIÓN-----------------------------------------------------------------------------------01

Más detalles

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP) Protocolo PPP 1 PPP Hoy en día, millones de usuarios necesitan conectar sus computadoras desde su asa a las computadoras de un proveedor de Internet para acceder a Internet También hay muchas personas

Más detalles

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) La Red Privada Virtual (VPN), cuyo nombre deriva del inglés Virtual Private Network,

Más detalles

Red privada virtual: Una descripción general

Red privada virtual: Una descripción general Windows NT Server Sistema operativo Red privada virtual: Una descripción general Bajado desde www.softdownload.com.ar Resumen Este documento proporciona una descripción general de redes privadas virtuales

Más detalles

Necesidad de procesar y almacenar Información.

Necesidad de procesar y almacenar Información. Necesidad de procesar y almacenar Información. Necesidad de compartir Información (LAN, WAN, Internet). Las Redes Privadas Virtuales, surgen debido a deficiencias en seguridad, falta de confidencialidad

Más detalles

SEGURIDAD EN REDES IP

SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta e-mail: lagarcia@ree.es 1. Introducción: Debilidades de TCP/IP El TPC-IP se creó en una época y en una situación donde la seguridad no era algo que concerniera demasiado. Inicialmente,

Más detalles

Semana 10: Fir Fir w e a w lls

Semana 10: Fir Fir w e a w lls Semana 10: Firewalls DMZ y VPN Aprendizajes esperados Contenidos: Zonas desmilitarizadas (DMZ) Redes privadas virtuales (VPN) Zonas desmilitarizadas En seguridad informática, una ZONA DESMILITARIZADA (DMZ,

Más detalles

Teoría y Aplicación de la Informática 2. Redes Privadas Virtuales en Paraguay

Teoría y Aplicación de la Informática 2. Redes Privadas Virtuales en Paraguay Teoría y Aplicación de la Informática 2 Redes Privadas Virtuales en Paraguay 1- INDTRODUCCIÓN: Mientras vayamos avanzando en el tiempo, el mercado y la alta competitividad, obligarán a cualquier empresa

Más detalles

Cómo las Redes privadas virtuales funcionan

Cómo las Redes privadas virtuales funcionan Cómo las Redes privadas virtuales funcionan Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Antecedentes Qué hace un VPN? Analogía: Cada LAN es una isla Tecnologías

Más detalles

Redes Privadas Virtuales. (Virtual Private Network) VPN. Introducción.

Redes Privadas Virtuales. (Virtual Private Network) VPN. Introducción. Redes Privadas Virtuales (Virtual Private Network) VPN Introducción. Ante la necesidad de comunicar puntos remotos, y lo costoso que significaría tener una WAN (Wide Area Network) que significaría tirar

Más detalles

Redes de Computadoras El Protocolo PPP

Redes de Computadoras El Protocolo PPP Redes de Computadoras El Protocolo PPP Ing. Eduardo Interiano Ing. Faustino Montes de Oca Contenido 1. Descripción de PPP 2. Establecimiento de la sesión 3. Autenticación en PPP 1. Descripción de PPP 2.

Más detalles

Capítulo 6: Servicios de Trabajadores a Distancia

Capítulo 6: Servicios de Trabajadores a Distancia CCNA Exploration 4 Acceso a la WAN Capítulo 6: Servicios de Trabajadores a Distancia Ricardo José Chois Antequera INSTITUTO TECNOLÓGICO DE SOLEDAD ATLÁNTICO - ITSA Version 4.0 2006 Cisco Systems, Inc.

Más detalles

Redes Virtuales Privadas

Redes Virtuales Privadas Redes Virtuales Privadas PUA: Gerardo Gabriel Brollo TELEPROCESO Y SISTEMAS DISTRIBUIDOS 2009 Contenido Qué es una VPN? Tecnologías Anteriores a las VPN s Descripción de las VPN s Arquitecturas VPN s Tunelamiento

Más detalles

Diseño de redes VPN seguras bajo Windows server 2008

Diseño de redes VPN seguras bajo Windows server 2008 Diseño de redes VPN seguras bajo Windows server 2008 PROYECTO FINAL DE CARRERA INGENIERIA TECNICA EN TELECOMUNICACIONES ESPECIALIDAD TELEMATICA ANTONIO TUDELA BOTELLA ESCENARIO INICIAL Fusión de tres industrias

Más detalles

Aplicaciones. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Aplicaciones. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Aplicaciones. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Seguridad en el Acceso Remoto: SSH Seguridad en IP: IPSec Seguridad en el Correo Electrónico: PGP (GPG en Software Libre!!)

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad 2

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad 2 PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad 2 Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Arquitectura de Redes

Más detalles

1. LOS ENLACES PRIVADOS ANTES DE LA APARICION DE LAS REDES PRIVADAS VIRTUALES

1. LOS ENLACES PRIVADOS ANTES DE LA APARICION DE LAS REDES PRIVADAS VIRTUALES Contenido 1. LOS ENLACES PRIVADOS ANTES DE LA APARICION DE LAS REDES PRIVADAS VIRTUALES 1.1. Introducción. 1.2. Enlaces Privados. 1.3. Tipos de Enlaces Privados. 1.3.1. Enlaces Dedicados. 1.3.1.1. Clear

Más detalles

ELO 322: REDES DE COMPUTADORES I

ELO 322: REDES DE COMPUTADORES I ELO 322: REDES DE COMPUTADORES I TUNNELING PROTOCOL Proyecto Grupo Byron Popper 2803050-9 Adrián Vasquez 2921010-1 Yen-kung Yu 2921063-2 Fecha 23/08/2013 Revisado por Nota 1. Resumen: La técnica de tunneling

Más detalles

MPLS COMO TECNOLOGÍA PARA OPTIMIZAR EL ANCHO DE BANDA DE LAS REDES PRIVADAS VIRTUALES (VPN). RESUMEN

MPLS COMO TECNOLOGÍA PARA OPTIMIZAR EL ANCHO DE BANDA DE LAS REDES PRIVADAS VIRTUALES (VPN). RESUMEN MPLS COMO TECNOLOGÍA PARA OPTIMIZAR EL ANCHO DE BANDA DE LAS REDES Manuel Suárez Gutiérrez RESUMEN Esté artículo, tiene como objetivo realizar una comparación, entre las diferentes tecnologías existentes

Más detalles

UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA

UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA FACULTAD DE INGENIERIAS CARRERA DE INGENIERIA DE SISTEMAS TEMA: Diseño de un canal Privado de comunicación entre dos puntos utilizando la infraestructura de

Más detalles

Protocolos de red. Contenido

Protocolos de red. Contenido Protocolos de red Contenido Descripción general 1 Introducción a los protocolos 2 Protocolos y transmisión de datos 6 Protocolos más utilizados 10 Otros protocolos de comunicaciones 15 Protocolos de acceso

Más detalles

Configuración rápida Miura Basic

Configuración rápida Miura Basic Configuración rápida Miura Basic El Miura Basic es un cliente de red inalámbrica profesional. La administración se realiza mediante su interfaz HTTP. Existen dos modos de configurar su Miura Basic: Modo

Más detalles

Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN)

Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN) Seguridad en Sistemas Informáticos Seguridad del canal de comunicaciones Redes privadas virtuales (VPN) Área de Ingeniería Telemática Dpto. Automática y Computación http://www.tlm.unavarra.es/ En clases

Más detalles

Top-Down Network Design. Tema 11

Top-Down Network Design. Tema 11 Top-Down Network Design Tema 11 Selección de Tecnologías y Dispositivos para Red Corporativa Copyright 2010 Cisco Press & Priscilla Oppenheimer Traducción: Emilio Hernández Adaptado para ISI: Enrique Ostúa.

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÌA ESCUELA DE SISTEMAS

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÌA ESCUELA DE SISTEMAS PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÌA ESCUELA DE SISTEMAS DISERTACION PREVIA A LA OBTENCIÒN DEL TÍTULO DE INGENIERO EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÒN DE REDES PRIVADAS

Más detalles

Fundamentos de Redes de Computadoras

Fundamentos de Redes de Computadoras Fundamentos de Redes de Computadoras Modulo III: Fundamentos de Redes de Area Extendida (WAN) Objetivos Redes conmutadas Circuito Paquetes Conmutación por paquetes Datagrama Circuito virtual Frame Relay

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

Ingeniería en Informática (plan 2001)

Ingeniería en Informática (plan 2001) Sistemas de Transporte de Datos (9186) Ingeniería en Informática (plan 2001) Práctica 2. Túneles y VPNs Curso: 2008-2009 Juan Antonio Corrales Ramón Francisco Andrés Candelas Herías Santiago Puente Méndez

Más detalles

LA ARQUITECTURA TCP/IP

LA ARQUITECTURA TCP/IP LA ARQUITECTURA TCP/IP Hemos visto ya como el Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (Open System Interconection- Reference Model) proporcionó a los fabricantes un conjunto

Más detalles

Internet y su Arquitectura de Seguridad

Internet y su Arquitectura de Seguridad Internet y su Arquitectura de Seguridad CINVESTAV-IPN Departamento de Ingeniería Eléctrica E. Rafael Espinosa (respinosa@cs.cinvestav.mx) Guillermo Morales Luna (gmorales@cs.cinvestav.mx) Resumen Con el

Más detalles

UNIVERSIDAD TÉCNICA DEL NORTE

UNIVERSIDAD TÉCNICA DEL NORTE UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERIA EN CIENCIAS APLICADAS ESCUELA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Tesis previa la obtención del título de Ingeniero en Sistemas Computacionales

Más detalles

Unidad II: Tecnologías WAN

Unidad II: Tecnologías WAN Unidad II: Tecnologías WAN Una WAN (Wide Area Network o Red de Cobertura Amplia) es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN. Una de las diferencias primordiales

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.- Cuáles de las siguientes son dos afirmaciones verdaderas acerca de DSL? (Elija dos opciones). los usuarios se encuentran en un medio compartido usa transmisión de señal de RF el bucle local puede tener

Más detalles

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL.

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. 1.- Qué diferencia hay entre NAT y PAT? NAT: Network Adress Translation. El router enmascara la dirección IP origen de los paquetes poniendola

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN

Más detalles

Redes de Área Local: Configuración de una VPN en Windows XP

Redes de Área Local: Configuración de una VPN en Windows XP Redes de Área Local: Configuración de una VPN en Windows XP Tatiana Echegoyen Blasco Facultad de Informática UPV - Curso 2005/2006 Índice 1. Qué es una VPN?...2 2. Cómo funciona una VPN?...2 3. Por qué

Más detalles

Redes Privadas Virtuales Virtual Private Networks

Redes Privadas Virtuales Virtual Private Networks VPN 05/10/06 1 Redes Privadas Virtuales Virtual Private Networks Proporcionan una red de datos privada sobre infraestructuras de telecomunicaciones públicas, como Internet. Permita a los participantes

Más detalles

ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE IV. ACCESO A REDES DE AREA AMPLIA

ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE IV. ACCESO A REDES DE AREA AMPLIA ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE IV. ACCESO A REDES DE AREA AMPLIA Módulo 1: Servicios en una WAN convergente 1.1 Prestación de servicios integrados

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 2. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 2. By Alen.- Examen Cisco Online CCNA4 V4.0 - Capitulo 2. By Alen.- Cuáles de las siguientes son dos afirmaciones verdaderas acerca de la multiplexación por división de tiempo (TDM, time-division multiplexing)? (Elija

Más detalles

Universidad Austral de Chile

Universidad Austral de Chile Universidad Austral de Chile Facultad de Ciencias de la Ingeniería Escuela de Electricidad y Electrónica DISEÑO DE UNA VPN Y VOIP PARA UNA PYME A NIVEL NACIONAL. Tesis para optar al título de: Ingeniero

Más detalles

Universidad de San Carlos de Guatemala Facultad de Ingeniería Escuela de Ingeniería Mecánica Eléctrica

Universidad de San Carlos de Guatemala Facultad de Ingeniería Escuela de Ingeniería Mecánica Eléctrica Universidad de San Carlos de Guatemala Facultad de Ingeniería Escuela de Ingeniería Mecánica Eléctrica IMPLEMENTACIÓN DE UN ENLACE DE RED PRIVADA VIRTUAL UTILIZANDO EL PROTOCOLO DE SEGURIDAD IPSec Belter

Más detalles

TEMA 10 REDES DE COMUNICACIÓN CONMUTADAS. CONMUTACIÓN DE CIRCUITOS.

TEMA 10 REDES DE COMUNICACIÓN CONMUTADAS. CONMUTACIÓN DE CIRCUITOS. TEMA 10 REDES DE COMUNICACIÓN CONMUTADAS. CONMUTACIÓN DE CIRCUITOS. 10.1 REDES CONMUTADAS Desde la invención del teléfono, la conmutación de circuitos ha sido la tecnología dominante en las comunicaciones

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 6 Materia: Sistema Operativo II Facilitador: José Doñe Introducción En este trabajo estaremos tratando

Más detalles

Manual de la Práctica 2: Túneles y Redes Virtuales Privadas

Manual de la Práctica 2: Túneles y Redes Virtuales Privadas Sistemas de Transporte de Datos Ingeniería Informática (9186) Manual de la Práctica 2: Túneles y Redes Virtuales Privadas Francisco Andrés Candelas Herías Santiago Puente Méndez Grupo de Innovación Educativa

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

RED PRIVADA VIRTUAL. Introducción

RED PRIVADA VIRTUAL. Introducción RED PRIVADA VIRTUAL Fernando Martín Moreno Jefe de Servicio de Sistemas y Comunicaciones en el Area de Proyectos Especiales de la Subdirección General de Proceso de Datos del Ministerio de Trabajo y Asuntos

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL ESCUELA DE INGENIERÍA ESTUDIO Y DISEÑO DE UNA RED PRIVADA VIRTUAL PARA INGELSI CÍA LTDA. UTILIZANDO SISTEMAS OPERATIVOS MICROSOFT WINDOWS 2000. PROYECTO PREVIO A LA OBTENCIÓN

Más detalles

INTRODUCCION A WAN REDES DE AREA AMPLIADA WAN CAPITULO 1. ITE PC v4.0 Chapter 1 2007 Cisco Systems, Inc. All rights reserved.

INTRODUCCION A WAN REDES DE AREA AMPLIADA WAN CAPITULO 1. ITE PC v4.0 Chapter 1 2007 Cisco Systems, Inc. All rights reserved. INTRODUCCION A WAN REDES DE AREA AMPLIADA WAN CAPITULO 1 Chapter 1 1 Que es una WAN? Red que opera en los límites de una red LAN Permite la transmisión de datos en áreas de cobertura geográficamente separadas

Más detalles

LABORATORIO VIRTUAL PARA LA DOCENCIA DE REDES DE COMPUTADORES

LABORATORIO VIRTUAL PARA LA DOCENCIA DE REDES DE COMPUTADORES LABORATORIO VIRTUAL PARA LA DOCENCIA DE REDES DE COMPUTADORES José Ángel Berná Galiano, Luis Miguel Crespo Martínez, Manuel Pérez Polo, Fco. Javier Gil Chica jberna@dfists.ua.es, mcrespo@dfists.ua.es,

Más detalles

Prestación de servicios para trabajadores a distancia

Prestación de servicios para trabajadores a distancia Prestación de servicios para trabajadores a distancia Acceso a la WAN: capítulo 6 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Objetivos Describir los requisitos

Más detalles

HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway)

HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway) HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo

Más detalles

Redes WAN. Introducción a las redes WAN. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. 12 abr 2011. Universidad Andrés Bello

Redes WAN. Introducción a las redes WAN. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. 12 abr 2011. Universidad Andrés Bello Introducción a las redes WAN esteban@delaf.cl L A TEX Universidad Andrés Bello 12 abr 2011 Tabla de contenidos 1 En las empresas En los hogares Modelo 3 capas Arquitectura empresarial CISCO 2 Capa física

Más detalles

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP:

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP: a) Escenarios CISCO: Interconexión de redes mediante protocolos NOTAS: PPP, PAP, CHAP. PPP: Point-to-point Protocol (en español Protocolo punto a punto), también conocido por su acrónimo PPP, es un protocolo

Más detalles

REDES VPNs DE ACCESO REMOTO

REDES VPNs DE ACCESO REMOTO REDES VPNs DE ACCESO REMOTO Tesina presentada como trabajo final de los estudios en la carrera de Licenciatura de Informática de la Facultad de Ingeniería de la Universidad Nacional de la Patagonia San

Más detalles

Capítulo 2: Protocolo Punto a Punto Point-to-Point Protocol (PPP)

Capítulo 2: Protocolo Punto a Punto Point-to-Point Protocol (PPP) Capítulo 2: Protocolo Punto a Punto Point-to-Point Protocol (PPP) CCNA Exploration 4 - Acceso a la WAN Ricardo Chois INSTITUTO TECNOLÓGICO DE SOLEDAD ATLÁNTICO - ITSA Version 4.0 2006 Cisco Systems, Inc.

Más detalles

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI.

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI. 3.1 Modelo de referencia OSI. Durante las últimas dos décadas ha habido un enorme crecimiento en la cantidad y tamaño de las redes. Muchas de ellas sin embargo, se desarrollaron utilizando implementaciones

Más detalles

Universidad Nacional de Moreno, Departamento de Ciencias Aplicadas y Tecnología 10

Universidad Nacional de Moreno, Departamento de Ciencias Aplicadas y Tecnología 10 Universidad Nacional de Moreno, Departamento de Ciencias Aplicadas y Tecnología 10 MORENO, 3 0 MAR 2015 VISTO el Expediente N UNM:0000143/2015 del Registro de la UNIVERSIDAD NACIONAL DE MORENO; y CONSIDERANDO:

Más detalles

Tecnología VPN (1ª parte)

Tecnología VPN (1ª parte) Tecnología VPN (1ª parte) Lic. María Teresa Lozano Hernández, Lic. María de Lourdes Olvera Cárdenas, Ing. María del Rocío Velázquez Serrano, Profesoras del CIDETEC-IPN D esde hace mucho tiempo, el mundo

Más detalles

a) Relación con otras asignaturas del plan de estudio

a) Relación con otras asignaturas del plan de estudio 1. DATOS DE LA ASIGNATURA Nombre de la asignatura: Tecnologías WAN Carrera: Licenciatura en Informática Clave de la asignatura: Horas teoría horas prácticas créditos: 3 4 10 2. HISTORIA DEL PROGRAMA Lugar

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL ESCUELA DE FORMACIÓN TECNOLOGÍCA DISEÑO E IMPLEMENTACION DE UNA RED PRIVADA VIRTUAL (VPN) PARA LA EMPRESA HATO TELECOMUNICACIONES PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO

Más detalles

CONFIGURACION DE UN SWITCH

CONFIGURACION DE UN SWITCH CONFIGURACION DE UN SWITCH Redes Jerárquicas Una red jerárquica se administra y expande con más facilidad y los problemas se resuelven con mayor rapidez. El diseño de redes jerárquicas implica la división

Más detalles

TEMARIO TEORÍA. Módulo 1: Escalabilidad de direcciones IP. Módulo 2: Tecnologías WAN

TEMARIO TEORÍA. Módulo 1: Escalabilidad de direcciones IP. Módulo 2: Tecnologías WAN 1 TEMARIO TEORÍA Módulo 1: Escalabilidad de direcciones IP 1.1 Escalabilidad de redes con NAT y PAT 1.1.1 Direccionamiento privado 1.1.2 Introducción al NAT y PAT 1.1.3 Características principales de NAT

Más detalles

UNIVERSIDAD DEL AZUAY

UNIVERSIDAD DEL AZUAY UNIVERSIDAD DEL AZUAY FACULTAD DE CIENCIAS DE LA ADMINISTARCION ESCUELA DE INGENIERÍA DE SISTEMAS ELABORACION DE UN TUTORIAL PARA LA CONSTRUCCION DE UNA RED VIRTUAL PRIVADA (VPN) TRABAJO PREVIO A LA OBTENCIÓN

Más detalles

Introducción Internet no tiene una estructura real, pero existen varios backbone principales. Estos se construyen a partir de líneas y routers de alta velocidad. Conectados a los backbone hay redes regionales

Más detalles

Mikrotik User Meeting - Colombia LOGO

Mikrotik User Meeting - Colombia LOGO Mikrotik User Meeting - Colombia Ponente Nelson López País de origen : Venezuela Ingeniero de Telecomunicaciones CCNA, CCNA SECURITY MTCNA, MTCTCE 6 años de experiencia en Networking CEO / CTO de SERTINET,

Más detalles

Seguridad de red privada virtual de Microsoft

Seguridad de red privada virtual de Microsoft Bajado desde www.softdownload.com.ar Seguridad de red privada virtual de Microsoft Documento estratégico Resumen Este documento estratégico proporciona una descripción general de los temas de seguridad

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA INTRODUCCIÓN A LA SEGURIDAD EN REDES MAG. ELEONORA PALTA VELASCO (Director Nacional) ZONA CENTRO-SUR (CEAD

Más detalles

TECNOLOGÍAS WAN SEGURIDAD

TECNOLOGÍAS WAN SEGURIDAD TECNOLOGÍAS WAN SEGURIDAD (57 horas) Día de inicio: 24/05/2013 Día de finalización: 06/07/2013 Horario: Viernes: 17:30 a 21:00 Sábados: 9:00 a 15:00 Lugar de impartición: Consultoría y formación Balbo

Más detalles

Capítulo 1: Introducción - I

Capítulo 1: Introducción - I Capítulo 1: Introducción - I ELO322: Redes de Computadores Tomás Arredondo Vidal Este material está basado en: material de apoyo al texto Computer Networking: A Top Down Approach Featuring the Internet

Más detalles

Curso de Seguridad Infórmatica

Curso de Seguridad Infórmatica Curso de Seguridad Infórmatica Índice 6.1 Introducción a redes virtuales privadas 6.2 Funcionamiento de las VPN 6.3 Requerimientos de una VPN 6.4 Tunneling y VPN 6.5 Seguridad IP (IPSec) y protocolos vpn

Más detalles

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway)

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades

Más detalles

CÓMO FUNCIONA LA VOZ SOBRE IP

CÓMO FUNCIONA LA VOZ SOBRE IP CÓMO FUNCIONA LA VOZ SOBRE IP La voz sobre IP convierte las señales de voz estándar en paquetes de datos comprimidos que son transportados a través de redes de datos en lugar de líneas telefónicas tradicionales.

Más detalles

Protección de su Red

Protección de su Red Protección de su Red Ing. Teofilo Homsany Gerente General SOLUTECSA PaiBlla Mall, Local 45. Telefono: +507.209.4997 E mail: ventas@solucionesdetecnologia.com Áreas vulnerables de su red Gateway (entrada

Más detalles

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios.

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Encarnación Sánchez Vicente 1. INTRODUCCIÓN No cabe ninguna duda que en nuestros días, la información es la clave. Esta

Más detalles

Como crear una red privada virtual (VPN) en Windows XP

Como crear una red privada virtual (VPN) en Windows XP Como crear una red privada virtual (VPN) en Windows XP Introducción Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos

Más detalles

Seguridad en Internet VPN IPSEC

Seguridad en Internet VPN IPSEC Seguridad en Internet VPN IPSEC Por Pablo Batchi Pablo.Batchi@bellnexia.networks.ca Contenido Entorno real. VPN IPSEC Aspectos técnicos. VPNs PPTP (Point to Point Tunneling Protocol) L2F (Layer 2 Forwarding)

Más detalles

TELEFONÍA A IP. Lic. RODRÍGUEZ GÓMEZ, GISELA. Dpto. INFORMÁTICA. UNIVERSIDAD NACIONAL DEL NORDESTE CORRIENTES

TELEFONÍA A IP. Lic. RODRÍGUEZ GÓMEZ, GISELA. Dpto. INFORMÁTICA. UNIVERSIDAD NACIONAL DEL NORDESTE CORRIENTES TELEFONÍA A IP Lic. RODRÍGUEZ GÓMEZ, GISELA Dpto. INFORMÁTICA. UNIVERSIDAD NACIONAL DEL NORDESTE CORRIENTES Introducción La Telefonía IP es un nuevo sistema de comunicación que permite convertir la voz

Más detalles

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa CCNA Descubrimiento Introducción al enrutamiento y la conmutación en la empresa. Capítulo 1 Networking en la empresa Capítulo1 Networkingenlaempresa 1 Objetivos Describir una empresa. Identificar flujos

Más detalles

Servicios en una red WAN convergente. Accediendo la WAN Capítulo 1

Servicios en una red WAN convergente. Accediendo la WAN Capítulo 1 Servicios en una red WAN convergente Accediendo la WAN Capítulo 1 ITE I Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1 Objetivos Describir cómo la arquitectura empresarial de Cisco

Más detalles

Capítulo 11: Capa 3 - Protocolos

Capítulo 11: Capa 3 - Protocolos Capítulo 11: Capa 3 - Protocolos Descripción general 11.1 Dispositivos de Capa 3 11.1.1 Routers 11.1.2 Direcciones de Capa 3 11.1.3 Números de red únicos 11.1.4 Interfaz/puerto del router 11.2 Comunicaciones

Más detalles

MIB del túnel IP. MIB del túnel IP. Contenido. Encontrar la información de la característica. Requisitos previos para el túnel IP MIB

MIB del túnel IP. MIB del túnel IP. Contenido. Encontrar la información de la característica. Requisitos previos para el túnel IP MIB del túnel IP Descargue este capítulo del túnel IP Descargue el libro completo Guía de configuración de la interfaz y del componente de hardware, Cisco IOS Release 12.2SR (PDF - 3 MB) Feedback Contenido

Más detalles

Redes Privadas Virtuales

Redes Privadas Virtuales Warp Networks S.L. 17 de junio de 2005 1 Cómo funciona una VPN? Qué es una VPN? Escenarios 2 IPSec PPTP L2TP VPNs SSL 3 Seguridad en 4 Índice Cómo funciona una VPN? 1 Cómo funciona una VPN? Qué es una

Más detalles

Redes y Tecnologías de Telecomunicaciones

Redes y Tecnologías de Telecomunicaciones Redes y Tecnologías de Telecomunicaciones Ingeniería de las Telecomunicaciones PUCP 2012 gbartra@pucp.edu.pe Tecnología de Redes WAN Elementos de una red WAN de Datos DTE DTE MODEM MODEM Mainframe Digital

Más detalles

Estructura de buses para control de AGV

Estructura de buses para control de AGV Estructura de buses para control de AGV Con el concepto moderno de sistemas internetworking, se plantea una estructura de control para un vehículo autónomo, considerando al mismo como una celda de proceso

Más detalles

Pontificia Universidad Católica del Ecuador Facultad de Ingeniería Escuela de Sistemas

Pontificia Universidad Católica del Ecuador Facultad de Ingeniería Escuela de Sistemas Facultad de Ingeniería Escuela de Sistemas Tesis Previa a la Obtención del Título de Ingeniero de Sistemas TEMA: Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) y Diseño de una solución

Más detalles

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2 COMUNICACIÓN Y REDES DE COMPUTADORES II Clase 02 Aspetos basicos de Networking Parte 1 de 2 1 Contenido de la Clase 1. Terminología de Networking 1. Redes de Datos 2. Historia de las redes informáticas

Más detalles

Sugerencias. Configuración de VPN con PPTP. Diagrama de red. Productos destacados. Características clave. Para Pequeñas y Medianas Empresas

Sugerencias. Configuración de VPN con PPTP. Diagrama de red. Productos destacados. Características clave. Para Pequeñas y Medianas Empresas Sugerencias Configuración de VPN con PPTP El Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol) es una tecnología de red que admite las redes privadas virtuales (VPN) y permite

Más detalles

Introducción a redes Ing. Aníbal Coto Cortés

Introducción a redes Ing. Aníbal Coto Cortés Capítulo 5: Ethernet Introducción a redes Ing. Aníbal Coto Cortés 1 Objetivos En este capítulo, aprenderá a: Describir el funcionamiento de las subcapas de Ethernet. Identificar los campos principales

Más detalles