Universidad Nacional del Nordeste Facultad de Ciencias Exactas, Naturales y Agrimensura

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Universidad Nacional del Nordeste Facultad de Ciencias Exactas, Naturales y Agrimensura"

Transcripción

1 Universidad Nacional del Nordeste Facultad de Ciencias Exactas, Naturales y Agrimensura Trabajo Final de Aplicación Aplicación e-learning para el Aprendizaje de Redes Virtuales Privadas Alumno: Gerardo G. Brollo- L.U.: Profesor Coordinador: Agr. Herrmann, Castor F. Profesor Orientador: Mgter. David L. la Red Martínez Licenciatura en Sistemas de Información Corrientes- Argentina 2010

2 Un agradecimiento especial para la Lic. Valeria E. Uribe

3 Índice general 1. Redes Virtuales Privadas Introducción TecnologíasAnterioresalasVPNs EnlacesDedicados EnlacesConmutados PPP-ProtocoloPuntoaPunto Tunelamiento VPN EtapasNecesariasparaunaConexiónVPN Conexión ControldeConexión Autenticación Cifrado ControldeAcceso Tunelamiento FuncionamientodelTúnel TiposdeTúneles Protocolos VPN PPTP-ProtocolodeTúnelPuntoaPunto RelaciónEntrePPPYPPTP ComponentesdeunaVPNPPTP EstructuradelProtocolo ConexióndeControl OperacióndelTúnel CabeceraMejoradaGRE CifradoenPPTP FiltradodePaquetesPPTP ControldeAccesoalosRecursosdelaRed

4 ÍNDICEGENERAL 3.2. L2TP-ProtocolodeTúneldeCapa ComponenetesBásicosdeunTúnelL2TP TopologíadeL2TP EstructuradelProtocoloL2TP FormatodeunaCabeceraL2TP AutenticaciónenL2TP ProcesosdeunaComunicaciónL2TP ComparativaEntrePPTPyL2TP ProblemasdeL2TP IPSec(InternetProtocolSecurity) ComponentesdeIPSec BasesdeDatosdeSeguridad AuthenticationHeader(AH) EncapsulatingSecurityPayload-ESP InternetKeyExchange-IKE ArquitecurasVPNconIPsec LimitacionesdeIPSec VPN-SSL SSL/TLS Secure Sockets Layer/Transport Layer Security ArquitecturadeSSL FuncionamientoBásicodeSSL AplicacioneseImplementacionesdeSSL ConceptosyTécnicasdeVPN-SSL InconvenientesdelasVPN-SSL VentajasdeSSL-VPNsobreIPSec SoftwareVPN-SSL Implementaciones VPN s Introducción EscenarioPreviodelI.O.S.COR RedLANInstitucional RedVirtualPrivada(VPN)Institucional ModificacionesaRealizar SoluciónProvisoria SegmentacióndelaRedLAN Redistribución de Carga de Trabajo Entre los Routers VPN s Implementación de una VPN-Backup por Software SoluciónDefinitiva

5 ÍNDICEGENERAL 5. E-Learning Introducciónale-learning ElConceptodeAprendizajeElectrónico PorquéelE-Learning? LaTecnologíayelAcceso LaGlobalizacióndeMercados Quéesele-Learning E-Learningvs.OnlineLearning ReduccióndeCostes IncrementodelaRetencióndelosContenidos LasMejorasdelaInteractividadenelE-Learning Ventajasdele-learning QuéNoshaLlevadoaElegirE-learning Quéfrenaale-Learning MediadoreseInteroperabilidadenE-Learning TendenciasFuturasdele-learning Aplicación e-learning Para VPN Introducción EscenariodelaAplicación UsuariodelSistema-(a) RouterHuaweiMT882-(b) ServidorE-Learning-(c) ServidoresVirtuales DescripcióndelaAplicaciónWeb PantalladeInicio MenúdeUsuarios MenúProfesor Herramientas IntroducciónalLenguajeJava EstructuraGeneraldeunProgramaJava ConceptosBásicos VariablesDentrodelLenguajeJava OperadoresenJava WebSphere QueesWebSphere? PlataformadeSoftware ApplicationServer ArquitecturasdeTresNiveles

6 ÍNDICEGENERAL 7.3. IntroducciónaDB DB2UniversalDatabase(DB2UDB) FuncionesComplementarias ConfiguracionesdeParticionesMúltiples ParalelismoMejorAdaptableacadaEH DB2UDBVersión SunVirtualBox MicrosoftVisio OpenVPN Conclusiones LíneasFuturas Bibliografía 217 Índice alfabético 221

7 Índice de figuras 1.1. TecnologíasAnterioresalasVPNs EsquemaBásicodeunaRedFrameRelay EscenarioFrameRelay InterfazFrameRelay EscenarioTípicodeunaRedFrameRelay DispositivosqueIntervienenenunaRedATM CaminosVirtuales EnacesConmutados Escenario Típico de una Conexión Analógica de Datos Sobre la RTPC EnlacesAnalógicosdeÚltimoKilómetrodeAmbosLados AdaptadordeTerminalRDSI AccesoRemotoaRedes RedVirtualPrivadasobreRAS FormatodeTramaPPP EtapasNecesariasParaEstablecerunTúnelVPN EsquemaCriptográfico ServidoresRadiusdeAutenticación EsquemadeCifradoconLLavePública ControldeAccesoCliente-Servidor ObjetosenActiveDirectory EsquemaGeneraldeActiveDirectorydeMicrosoft TúnelesVoluntarios TúnelesObligatorios ModelosdeEntunelamiento EstructuradeunTúnelPPTP FormatodelPaqueteIP

8 ÍNDICEDEFIGURAS 3.3. EscenarioTípicoL2TP RelaciónEntreTramasPPPyMensajesL2TP FormatodeCabeceraL2TP FormatodeTramaIPSecenModoTransporteyTúnel EjemplodeunaEntradadeBasedeDatosdePolíticasdeSeguridad CabeceradeAutenticaciónAH NuevoPaqueteIPProcesadoconESP FuncionamientodelProtocoloIPSec ProtocoloIPSecenModoTransporte ProtocoloIPSecenModoTúnel NegociacióndeLlavesenIKE IPsecSobreDistintasRedes EstructuradeProtocolosdelProtocoloSSL IntercambiodeMensajesenSSL Advertencia de Instalación de Plugins en Internet Explorer Interfaz GUI de OpenVPN Para Sistemas Operativos Windows EscenacioPreviodelaRedLANInstitucional Router3ComOfficeConnect RackMuralenunodelosPisosdelEdificio Túneles PPTP formados con las Delegaciones del Interior TúnelesPPTPenlaCiudaddeCorrientesCapital PaneldeConfiguracióndelServerPPTP PaneldeEstadodelosTúnelesenServerPPTP ClienteVPNNativodelS.O.WindowsXP DispositivoLinksysRVL SegmentacióndelaRedLAN NuevoEscenarioVPN ClienteDNSDinámicoendispositivo3Com PruebasdeConectividadconelComandoPing ResultadosdelComandoNslookup PaneldeEstadodeTúnelesSSLenLinksysRVL EjemplodeunCertificadoX Interfaz Web del Cliente SSL del Dispositvio Linksys RVL Mensaje de Advertencia Ante la Instalación del Plugins en InternetExplorer InterfazdeConfiguracióndeArquitecturaLan-to-Lan PaneldeEstadodeTunelesenServerPPTP ConexiónFísicadelPuentedeCapa

9 ÍNDICEDEFIGURAS Configuración del Modo Puente en Dispositivo Huawei MT Panel de Estado de los Túneles en 3Com Officce Connect ADSL ClientePPPoE ConfiguraciónLan-to-Lanen3ComOfficeConnect CertificadoEmitidoporlaA.C.IOSCOR InterfazGráficadeOpenVPNparaS.O.Windows RedireccionamientodePuertos(PortForwarding) ConfiguracióndeRutasEstáticasenLinksysRVL ServidoresVPN-SSLdeDistintosFabricantes RouterCiscoASA ArquitecturadeSistemaMediador ElMundoConectadoporunSoloClick EscenariodelaAplicación NúmerosdePuertosporcadaProtocolodeRed Redireccionamiento de Puertos en el Router Huawei MT PantalladeIniciodelaAplicación FormulariodeAltadeUsuario MenúdeUsuario MenúdeDescargadeTeoría CuestionariodeAutoevaluación PrácticasconTúnelesReales PrácticasconTúnelesReales Portal de Actualización de Túnel Establecido Correctamente ConexiónOBDCdeunPortalWebconlaBasedeDatosdela Aplicación DetalledelaConexiónVPN Resultados de las Prácticas y Evaluaciones de los Usuarios ValidacióndeProfesor MenudeAdministración AltadePreguntadeAutoevaluación ActualizacióndeApuntes ActualizacióndeActividadesdeTúnles PlataformadeWebSphere AlmacenamientoXMLdeDB CentrodeDuplicacióndeDB2versión CapturadePantalladeunaMáquinaVirtual

10

11 Índice de cuadros 7.1. TiposdeVariables CategoríasdeVariables TiposPrimitivosdeVariables Operadoresdeasignación Operadoresrelacionales PrecedenciadeOperadores Paralelismo mejor Adaptable a cada Entorno de Hardware

12

13 Prefacio En un pasado no muy lejano la prioridad era la necesidad de procesar y almacenar información, con lo que nacieron los equipos informáticos individuales entre otros, posteriormente surgió la necesidad no sólo de procesar y almacenar la información sino que además era preciso compartir la información en tiempo real entre distintos equipos informáticos, por ello surgieron las redes. A medida que las redes de las organizaciones fueron creciendo se extendieron en distintos edificios, localidades, regiones y países, nuevamente surgió la necesidad de compartir la información entre los distintos puntos que se encontraban mucho más espaciados. Para cubrir esta demanda aparecen las redes de área extensa(wan) implementándose las interconexiones de formas muy distintas(conexión punto a punto, X25, Frame Relay, etc.). Finalmente aparece la red de redes, Internet, y rápidamente surgen aplicaciones que la utilizan como soporte para transmitir información bajo una cobertura de alcance mundial. Las deficiencias en seguridad, falta de confidencialidad e integridad en las transmisiones sobre Internet, las costosas soluciones que implicaban los enlaces dedicados y nuevas necesidades como el Acceso Remoto a los recursos informáticos, provocaron el surgimiento de las Redes Privadas Virtuales(VPN - Virtual Private Network). UnaVPNesunatecnologíaquepermiteextenderunaredLANcomoasí también conectar distintas redes LANs para la transmisión segura de la información a través de un túnel, utilizando otra red como medio que generalmente es Internet. Este Trabajo Final de Aplicación contempló el estudio de las tecnologías VPN, su aplicación a la solución de los principales problemas de conectividad remota segura en un caso concreto (la red provincial de datos del IOSCOR: Instituto de Obra Social de la Provincia de Corrientes), la implementación de las soluciones propuestas, y el desarrollo de una aplicación interactiva para la enseñanza- aprendizaje de los principales aspectos relacionados con las VPN. Objetivos Logrados Se han alcanzado plenamente la totalidad de los objetivos planteados para el presente trabajo:

14 ÍNDICEDECUADROS Comprender las principales tecnologías acerca de las VPN, aplicarlas a un caso concreto de magnitud(una red de datos de alcance provincial) y desarrollar un sistema multiplataforma, basado en web, que permita realizar al visitante un autoaprendizaje y una autoevaluación de sus conocimientos acerca de las VPN. Para el desarrollo se tuvo en cuenta los principales aspectos del aprendizaje electrónico (e-learning) como marco conceptual teórico del trabajo propuesto. Clasificación del Trabajo El trabajo se encuadra en el estudio de las tecnologíasdelasvpnydelsoftwaredebasequepermiteeldesarrollodeaplicaciones web multiplataforma con acceso a base de datos, que pueden estar distribuidas. Desarrollo de un sistema de autoaprendizaje y autoevaluación referido a las VPN, basado en web, utilizando tecnologías y software de base multiplataforma. Etapas de Desarrollo Se ha efectuado una amplia recopilación bibliográfica específica a los temaspertinentesalatareaplanificadayalosproductosdesoftwarey dehardwarequeseemplearonparalaconcrecióndeltrabajofinal.seha estudiado un caso problemático concreto(la red provincial de datos del IOSCOR) y se han implementado las soluciones de seguridad de conexionado remoto en dicha red. Se ha desarrollado una aplicación educativa interactiva acerca de las VPN, con contenidos teóricos y prácticas, y la posibilidad de evaluación de los aprendizajes. Gracias a las gestiones realizadas por el Profesor Orientador Mgter. David Luis la Red Martinez ante IBM Argentina se han recibido materiales tanto en CD s como en libros de dicha empresa, en el marco de Scholars Program de la misma, destinado a Universidades de todo el mundo. Se ha efectuado el estudio del software específico para gestión de las VPN. Se ha realizado el estudio del software de virtualización de equipos(virtualbox de Oracle). Se ha realizado el análisis y diseño de la base de datos que utiliza la aplicación.

15 ÍNDICEDECUADROS Se ha realizado el estudio del manejador de bases de datos DB2 UDB 9.5. Se ha realizado un detallado estudio del entorno de trabajo Scientific WorkPlace para la escritura del libro correspondiente al informe final. FinalizadalaaplicaciónserealizólagrabaciónenDVDdetodoelmaterial correspondiente al trabajo final: una versión de la aplicación, otra referente al libro en formato LaTex y el PDF generado. También se incluyó los instaladores de los productos utilizados para el desarrollo, es decir DB2 UDB, Rational WebSphere Studio Application Developer, como así también las imágenes de exportación de servidores virtuales VPN. Organización del Informe Final El trabajo final de aplicación comprende un informe final impreso y un DVDademásdeunresumenydeunresumenextendido. El informe final está organizado en capítulos los que se indican a continuación: Redes Virtuales Privadas: Se presenta una visión global y las principales características de las Redes Virtuales Privadas, las Tecnolgías Anteriores a éstas y una descripción de los Accesos Remotos a Redes bajo el protocolo PPP. Tunelamiento: Se describe este concepto y el detalle de las estapas necesarias en una conexión VPN, organizada como Conexión, Control de Conexión, Autenticación, Cifrado y Control de Acceso. Protocolos VPN: Se describen los protocolos más importantes para implementar VPNs, entre ellos: PPTP, L2TP, IPSec y SSL. Implementación VPN: Se describe un caso concreto de implementación deunasoluciónvpnllevadoacaboenelioscor(institutodeobra Social de la Provincia de Corrientes) donde se detalla el escenario previo, lasituaciónactualdelared yloqueseconsideraenestetrabajocomo el escenario óptimo.

16 ÍNDICEDECUADROS E-learning: Se indican las principales características socio/ económicas, se describe acerca de qué es, qué aporta, qué frena y las ventajas del mismo. Herramientas: Se detallan los conceptos y principales características de las herramientas utilizadas. Descripción de la Aplicación: Se describe el escenario en el que funciona la aplicación desarrollada y los aspectos más importantes de ésta. Conclusiones: Se presentan las conclusiones a las que se ha llegado al finalizar el presente trabajo y las posibles líneas futuras de acción. El DVD adjunto al informe final impreso, contiene lo siguiente: Instaladores del software utilizado. Resúmenes del trabajo realizado. Informe final en formato digital. Presentación para la defensa final. Aplicación desarrollada. Gerardo Gabriel Brollo Licenciatura en Sistemas de Información Universidad Nacional del Nordeste L.U.: Prof. Orientador: Mgter. David Luis La Red Martínez Corrientes; 05 de Agosto de 2010

17 Capítulo 1 Redes Virtuales Privadas 1.1. Introducción La expresión Redes Virtuales Privadas se ha hecho muy popular en estos días, pero probablemente muchas personas tengan apenas una idea de su 1

18 2 CAPÍTULO 1. REDES VIRTUALES PRIVADAS significado. A menudo se la asocia con la conectividad de las empresas, cuando trabajadores remotos acceden a la red corporativa, pero actualmente el concepto está ganando popularidad entre los usuarios domiciliarios y las pequeñas organizaciones[1]. Con una red privada virtual, dos o más ordenadores o redes remotas pueden conectarse entre sí, de forma segura, para forma una red local virtual que utiliza una infraestructura pública como Internet, como medio para transmitir datos internos. Sedenominaredprivadavirtualporquenosetratadeunaredfísica,pero tiene todas las características de una red de área local (LAN, Local Área Network). Estas clases de redes virtuales son construidas sobre la infraestructura de una red pública (recurso público, sin control sobre el acceso de los datos), normalmente Internet. Es decir, en vez de utilizarse enlaces dedicados para conectar redes remotas, se utiliza la infraestructura de Internet; una vez que las redes están conectadas es transparente para los usuarios. La principal motivación para la implantación de las VPNs es la financiera: los enlaces dedicados son demasiado caros, principalmente cuando las distanciassonlargas.porotroladoexisteinternet,queporserunareddealcance mundial, tiene puntos de presencia diseminados por el mundo. Internet es una red pública, donde los datos en tránsito pueden ser leídos por cualquier equipo. La seguridad en la comunicación entre las redes privadas es imprescindible, se hace necesaria una forma de cambiar los datos codificados, de forma que si fuesen capturados durante la transmisión no puedan ser descifrados. Los datos se transiten codificados por Internet en túneles virtuales creados por dispositivos VPNs que utilizan criptografía; esos dispositivos que son capaces de entender los datos codificados forman una red virtual sobre la redpública.esesaredvirtuallaqueesconocidacomovpn. Los dispositivos responsables para la formación y administración de la red virtual, para proporcionar una comunicación segura, deben ser capaces de garantizar la seguridad, integridad y autenticación de los datos que están siendo trasmitidos o recibidos.

19 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS Tecnologías Anteriores a las VPNs Desde el principio de los tiempos, la humanidad ha tenido la necesidad de comunicarse. Paralelamente también ha existido la necesidad de hacerlo de manera privada, es decir que el mensaje sólo le llegue a determinados receptores. En las redes de comunicaciones pasa exactamente lo mismo. En especial el sector corporativo siempre ha requerido la implementación de enlaces privados para transportar de forma segura toda su información confidencial. Este capítulo trata sobre la manera en que se realizan los enlaces privados, y las diferentes tecnologías que los soportan. En la figura 1.1 de la pág. 3 se presenta un esquema resumido de las tecnologías anteriores a las VPNs. Figura 1.1: Tecnologías Anteriores a las VPNs Enlaces Dedicados Los enlaces dedicados, como su nombre lo indica, son conexiones permanentes punto-punto, o punto-multipunto, que se valen de una infraestructura de transporte de Capa 1 o de conmutación (Capa 1 y 2). Los primeros son

20 4 CAPÍTULO 1. REDES VIRTUALES PRIVADAS comúnmente llamados enlaces Clear Channel y los segundos son enlaces Frame RelayoATM. Clear Channel Son enlaces donde sólo interviene la red de transporte del proveedor de servicios. Para el mercado corporativo comúnmente van desde los 64 kbit/s hasta los 2048 kbit/s. Los enlaces Clear Channel ofrecen un rendimiento efectivocasidel100%yaquenousanningúntipodeencapsulacióndenivel2,es decir, no hay presentes cabeceras de ningún tipo. Por lo general, la compañía (o cliente en general) debe tener un puerto disponible DTE que cumpla con las especificaciones técnicas del equipo de comunicaciones entregado por el proveedor. Típicamente la mayoría de los equipos que se usan para recibir los enlaces Clear Channel por parte del cliente sonenrutadoresoswitchesdenivel3.sonéstoslosqueseencargandemanejar losniveles2y3. En general, las topologías de los enlaces Clear Channel son robustas pero a su vez estáticas. Esto significa que para aumentar o disminuir la velocidad del enlace es necesario cambiar equipos o manipularlos localmente. Lo que se transfiere al cliente en indisponibilidades del servicio no deseadas. Vale la pena aclarar, que los enlaces Clear Channel fueron la primera tecnología WAN que se adoptó usando la infraestructura de voz de los distintos operadores de telefonía locales, nacionales e internacionales. Como era de esperarse, por provenir de una tecnología que no había sido pensada para transmitir datos fue superada rápidamente por otros tipos de tecnologías como Frame Relay y ATM, aunque aún muchas empresas siguen teniendo enlaces ClearChannel.Lafigura1.2delapág.5muestraunesquemabásico,donde se observa la transparencia para una organización del enlace Clear Channel contratado. Frame Relay FrameRelay esunprotocolowandealtorendimientoquetrabajaenla capa física y de enlace de datos del modelo de referencia OSI. Frame Relay fue diseñado originalmente para trabajar con redes RDSI. Frame Relay es una tecnología de conmutación de paquetes, que permite compartir dinámicamente elmedioyporendeelanchodebandadisponible.lalongituddelospaquetes es variable para hacer más eficiente y flexible las transferencias de datos. Estos paquetes son conmutados por varios segmentos de la red hasta que llegan hasta

21 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 5 Figura 1.2: Esquema Básico de una Red Frame Relay. eldestinofinal.todoelaccesoalmedioenunareddeconmutacióndepaquetes es controlado usando técnicas de multiplexación estadística, por medio de las cuales se minimizan la cantidad de demoras y/o colisiones para acceder al medio. Ethernet y Token Ring, los protocolos de redes LAN más usados, también usan conmutación de paquetes y técnicas de difusión. FrameRelay esunaevolucióndelasredesx.25,nohaceretransmisiónde paquetes perdidos ni windowing, características que si ofrecía su antecesor ya queenlosaños70(épocaenlaqueaparecex.25)losmediosfísicosnoeran tanconfiablescomolosdehoydía,yportantosenecesitabamayorrobustez. Todaslasventajasqueofrecenlosmediosdehoydía,hanposibilitadoaFrame Relay ofrecer un alto desempeño y una gran eficiencia de transmisión[2]. Una conexión Frame Relay usa dispositivos que pueden dividirse en dos categorías: Equipos Terminales de Datos (DTEs) y Equipos Terminales de CircuitosdeDatos(DCEs).Lafigura1.5delapág.8ilustralaubicaciónde losdtesylosdcesenunredframerelay. Los DTEs son generalmente considerados equipos terminales de una red específica y típicamente son enrutadores, computadores personales, terminales obridges.estosequiposselocalizanenlaspremisasdelclienteyenlamayoría deloscasossonpropiedaddelosmismos. Los DCEs son dispositivos normalmente propiedad del carrier. El propósito de los equipos DCEs es proveer o generar señales de reloj y conmutar los paquetes de la red. Por lo general, son llamados packet switchs o conmutadores de paquetes.

22 6 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Figura 1.3: Escenario Frame Relay. Figura 1.4: Interfaz Frame Relay.

23 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 7 En la conexión entre los dispositivos DCE y DTE intervienen dos componentes,unodenivelfísicoyotrodeniveldeenlacededatos.enelnivelfísico se definen todas las características físicas, eléctricas y mecánicas entre los dos, yel nivel deenlacededatosdefinetodaslas especificaciones FrameRelay o FrameRelayLMIsegúnseaelcaso. Circuitos virtuales Frame Relay Frame Relay es una tecnología WAN que usa enlaces orientados a conexión, estosignificaqueunacomunicaciónsedefineentreunpardedispositivosyque cada una de las conexiones existentes en la red tiene un identificador asociado particular. Este servicio es implementado usando circuitos virtuales, los cuales son conexiones lógicas creadas entre dos dispositivos DTE a través de la red conmutada de paquetes Frame Relay. Un circuito lógico puede crearse a través de múltiples dispositivos intermediarios DCE dentro de la red Frame Relay. Los circuitos virtuales Frame Relay se pueden dividir en doscategorías: Circuitos Virtuales Conmutados(SVCs): son conexiones temporales yqueseusanensituacionesdondelatransferenciadedatosentreunparde dispositivos DTE es esporádica a través de la red Frame Relay. Circuitos Virtuales Permanentes (PVCs): son conexiones establecidas permanentemente y que se usan en donde la transferencia de datos es continua entre dos dispositivos DTE. Este tipo de conexiones no requieren hacer una llamada de configuración ni de terminación como en los SVCs. ATM(Asynchronous Transfer Mode) El Modo de Transferencia Asíncrono(ATM) es un estándar desarrollado por la Unión Internacional de Telecomunicaciones (ITU-T) para transmitir múltiples tipos de servicios, tales como voz, video y datos usando técnicas de conmutación de celdas pequeñas de tamaño fijo. Las redes ATM son, al igual que las redes Frame Relay, orientadas a conexión[2]. ATM es una tecnología de multiplexación y de conmutación de celdas que combina los beneficios de una red de conmutación de circuitos (capacidad garantizada, retardos constantes) y de una red de conmutación de paquetes (flexibilidad y eficiencia para tráfico intermitente). Permite transmisiones desde unos pocos megabits por segundo hasta cientos de gigabits por segundo. Su naturaleza asíncrona, hace de ATM una tecnología más eficiente que las síncronastalescomotdm.entdmalosusuariosselesasignauntimeslot,

24 8 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Figura 1.5: Escenario Típico de una Red Frame Relay. y ningún otro cliente puede transmitir en ese timeslot así el propietario no este transmitiendo. Esto hace que la red no sea muy eficiente. En ATM los timeslots siempre están disponibles y se asignan por demanda basándose en la información que está contenida en las cabeceras de cada celda. Conexiones Virtuales ATM Las redes ATM son básicamente redes orientadas a conexión, esto significa que se tienen que configurar canales virtuales (VC)atravésdelaredparalaadecuadatransferenciadedatos.Haciendola analogía con Frame Relay, un canal virtual equivale a un circuito virtual. En ATM existen dos tipos de conexiones: los caminos virtuales (Virtual Paths - VPs), los cuales son identificados por medio de VPIs (Virtual Path Identifiers), y los canales virtuales, los cuales son identificados con una combinación de VPIs y de VCIs(Virtual Channel Identifier). Uncaminovirtualesunasumadecanalesvirtuales,cadaunodeloscuales esconmutadotransparentementesobrelaredatm.lafigura1.7delapág. 9muestraestarelaciónentreVCsyVPs.

25 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 9 Figura 1.6: Dispositivos que Intervienen en una Red ATM. Figura 1.7: Caminos Virtuales.

26 10 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Enlaces Conmutados Los enlaces conmutados se dividen en dos tipos: los analógicos y los digitales. Los primeros llegan hasta velocidades de 53 kbit/s para el downlink y hasta de 48 kbit/s para el uplink, los segundos transmiten y reciben a 64 kbit/s o 128 kbit/s. Estos últimos son conocidos como enlaces RDSI(o ISDN, en inglés) que son las siglas de Red Digital de Servicios Integrados. Mediante estos enlaces se pueden establecer un Acceso Remoto a una Red, el antecesor máspróximoalasvpn. Enlafigura1.8delapág.10semuetraunesquemadelosdistintostipos de enlaces conmutados. Figura 1.8: Enaces Conmutados. Enlaces Conmutados Analógicos Fue quizá la primera tecnología de transmisión de datos que usó el hombre para construir redes privadas entre dos sitios remotos. Esto lo hizo aprovechandolareddetelefoníapúblicaconmutada-rtpc(pstn,eninglés),dicha red ha tenido muchos desarrollos en los últimos 20 años. El servicio tradicional quelartpchaprestadohasidocomunicacióndevoz,ysólorecientementese empezó a usar para soportar un creciente mercado de transferencia de datos. En un enlace conmutado de datos, intervienen varios equipos desde el usuario inicial hasta el punto o equipo destino. La figura 1.9 de la página 11 muestra los componentes de un enlace típico de datos sobre la red telefónica pública, se puede notar la necesidad de realizar una conversión A/D y

27 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 11 otra D/A. La inercia que resulta de todo este proceso electrónico es la que en últimas limita a 56 kbit/s una comunicación analógica, que incluso puede llegar a 33.6 kbit/s cuando aparece una tercera y cuarta conversión entre la Central Telefónica 2 y el terminador de la llamada. Figura 1.9: Escenario Típico de una Conexión Analógica de Datos Sobre la RTPC. Sepuedenotarquelaconexiónentreeliniciadordelallamadaylacentral telefónica es análoga, y se lleva a cabo usando el mismo par de cobre de la líneatelefónica,paraestoseusaunmodemanálogo,mientrasqueenellado delsitioremotolaconexiónesdigital,yparaestoseusanenlacesrdsi. Cuandoesteenlaceestambiénanálogo,entoncessepuedenotarqueenel proceso total de la conexión intervienen cuatro conversiones, dos A/D y dos D/A, esto hace que la velocidad de transmisión y de recepción máximas sean apenas de 33.6 kbit/s. La figura 11 ilustra este escenario. Figura 1.10: Enlaces Analógicos de Último Kilómetro de Ambos Lados.

28 12 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Enlaces Conmutados Digitales- RDSI La Red Digital de Servicios Integrados (RDSI), es un sistema de telefonía digital que se desarrollo hace más de una década. Este sistema permite transmitir voz y datos simultáneamente a nivel global usando 100% conectividad digital. EnRDSI,lavozylosdatossontransportadossobrecanalesB(delinglés Bearer) que poseen una velocidad de transmisión de datos de 64 kbit/s, aunque algunos switches ISDN limitan esta capacidad a solo 56 kbit/s. Los canales D (o canales de datos) se usan para señalización y tiene velocidades de 16 kbit/s o 64 kbit/s dependiendo del tipo de servicio. Los dos tipos básicos de servicio RDSI son: BRI (del inglés Basic Rate Interface) y PRI(del inglés Primary Rate Interface). Un enlace BRI consiste de dos canales B de 64 kbit/s y un canal D de 16 kbit/s para un total de 144 kbit/s. Este servicio está orientado a brindar capacidad de conexión para usuarios residenciales. ParaaccederaunservicioBRI,esnecesariotenerunalíneaRDSI.Sisólo se desean comunicaciones de voz es necesario tener teléfonos digitales RDSI, y para transmitir datos es necesario contar con un adaptador de Terminal- TA (del inglés Terminal Adapter) o un enrutador RDSI. Figura 1.11: Adaptador de Terminal RDSI.

29 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 13 A diferencia de las conexiones conmutadas analógicas en una conexión RD- SIelcaminoes100%digitaldesdelacentralhastaelsitiodelabonado,por locualnoexisteningúntipodeconversionesa/doviceversa,loquefacilita laobtencióndevelocidadesde64kbit/so128kbit/s,locualselograconvirtiendolosdoscanalesbde64kbit/soenuncanallógicode128kbit/s.esta característica es usada solo en transmisión de datos y depende de la facilidad que tenga el equipo terminal de realizar esto. Típicamente esta característica tiene el nombre de Multilink. Acceso Remoto a Redes Generalmente cuando hablando de Servicio de Acceso Remoto lo relacionamos con un enlace conmutado ya se analógico o digital en escenarios como los descriptos en el apartado anterior. EnestetipodearquitecturasexisteunRAS(RemoteAccessServer)que actúacomounapuertadeenlaceentreel clienteremotoylared(verfigura 1.12delapágina14).Despuésdequeunusuariohayaestablecidolaconexión por medio de una llamada, la línea telefónica es transparente para el usuario, yestepuedeteneraccesoatodoslosrecursosdelaredcomosiestuvieraante unequipodirectamenteconectadoaella.sepodríadecirqueelrashaceque unmódemactúecomounatarjetaderedalproyectarunequiporemotosobre una LAN. Este tipo de implementación fue el antecesor más próximo de las VPN, sus deficiencias radican en los costos de las llamadas que se deben efectuar, principalmente las de larga distancias y la falta de confidencialidad en la transmisión de la información ya que no soportan encriptación de datos. Un punto a favor para este tipo de conexiones es que no necesita acceso a Internet (o corrersobretcp-ipentodocaso)comolasvpn. Hoy en día los clientes lo utilizan para conectarse con un Proveedor de Servicios Internet (ISP, Internet Service Provider), también es muy común utlizarlo para realizar la coexión a Internet, la que luego se utilizará para establecerunavpn.enlafigura1.13delapágina 14sepuedeapreciarun escenario típico de una VPN sobre una Conexión de Acceso Remoto PPP-ProtocoloPuntoaPunto ElProtocoloPuntoaPunto(PPP)esunprotocoloWANdeniveldeenlace estandarizado en el documento RFC 1661, 1662, Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. Proporciona un

30 14 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Figura 1.12: Acceso Remoto a Redes. Figura 1.13: Red Virtual Privada sobre RAS.

31 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 15 método estándar para transportar datagramas multiprotocolo sobre enlaces simples punto a punto entre dos pares. Estos enlaces proveen operación bidireccional full dúplex y se asume que los paquetes serán entregados en orden. Generalmente, se utiliza para establecer la conexión a Internet de un particular con su proveedor de acceso a través de un módem telefónico. Ocasionalmente también es utilizado sobre conexiones de banda ancha(como PPPoE opppoa).otrousoquesehavenidodandoesutilizarloparaconectaratrabajadores desplazados(p. ej. ordenador portátil) con sus oficinas a través de uncentrodeaccesoremoto desuempresa. Este protocolo cuenta con tres componentes: 1. Un mecanismo de enmarcado (armado de tramas) que delinea sin ambigüedadel final delatramayel iniciodelasiguiente. Permiteladetección de errores. 2. Un protocolo de control de enlace (LCP, Link Control Protocol) para establecer, configurar y probar la conexión de datos. 3. Una familia de protocolos de control de red (NCPs, NetworkControl Protocols) para establecer y configurar los distintos protocolos de nivel de red. FasesdePPP Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP. Cada una de estas cuatro fases debe completarse de manera exitosa antesdequelaconexióndelpppestélistaparatransferirlosdatosdelusuario: Fase Previa: se establece una conexión física por ejemplo, un modem realiza una llamada telefónica al modem del ISP. Fase1: Establecer el enlace del PPP. PPP utiliza el protocolo de control de enlace LCP para establecer, mantener y terminar la conexión física. Durante la fase LCP inicial, se seleccionan las opciones básicas de comunicación. Nótese que durante la fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de Autenticación, pero no se implementan efectivamente hasta la fase de Autenticación de conexión(fase2).demanerasimilar,duranteellcp,setomaunadecisiónen cuanto a que si dos iguales negociarán el uso de compresión y/o encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de compresión / encriptación y otros detalles. Entonces se puede decir que los parámetros que son determinados mediante el protocolo LCP en esta fase son:

32 16 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Tamañomáximodelatrama-1500bytesporomisión. Negociar multivínculo para conexiones de un solo vínculo. Esta opción permite la separación de canales de alta y baja prioridad en una conexión de un solo vínculo. Si el servidor de acceso remoto acepta esta característica, puede apreciar un aumento en la calidad del audio. Sin embargo, puesto que esta característica es incompatible con muchos servidores de acceso remoto, no debe habilitarla a menos que se le indique lo contrario. Selección(solamente) del método de autenticación. Selección(solamente) del protocolo NCP de capa 3. Por ejemplo, el NCP de TCP/IP es el Protocolo de control de protocolo Internet(IPCP, Internet Protocol Control Protocol). Fase 2: Autenticar al usuario. La mayoría de las implementaciones del PPP proporcionan métodos limitados de Autenticación, típicamente el Protocolo de autenticación de contraseña (PAP), el Protocolo de autenticación de saludo Challenge(CHAP) y Microsoft Challenge Handshake Authentication Protocol(MSCHAP). Vale aclarar que esta face no es obligatoria. Una variante es el uso de EAP - Protocolo de Autenticación Extensible, que constituye uan extensión de PPP. Proporciona un mecanismo estándar para aceptar métodos de autenticación adicionales, permite añadir módulos de verificación en ambos extremos. Al utilizar EAP, se pueden agregar varios esquemas de autenticación, entre los que se incluyen: Tarjetas de Identificación. Autenticación por Clave Pública mediante tarjetas inteligentes, certificados y otros. Fase 3: Control de rellamado del PPP. La implementación de Microsoft del PPP incluye una Fase opcional de control de rellamado. Esta fase utiliza el Protocolo de Control de Rellamado (CBCP) inmediatamente después de la fase de autenticación. Si se configura para rellamado, después de la autenticación, se desconectan tanto el cliente remoto como el NAS. Entonces, el NAS vuelve a llamar al cliente remoto en el número telefónico especificado. Esto proporciona un nivel adicional de seguridad a las redes de marcación. El NAS permitirá conexiones a partir

33 1.2. TECNOLOGÍAS ANTERIORES A LAS VPNS 17 de los clientes remotos que físicamente residan sólo en números telefónicos específicos,loqueimplicaqueesteniveldeseguridadsólosepuedeusaenun escenario donde la conexión a Internet sea sólamente a través de Dial-Up o ADSL. Fase 4:Invocarlosprotocolo(s)aniveldered. Una vez que se hayan terminado las fases previas, PPP invoca los distintos Protocolos de Control de Red(NCPs) que se seleccionaron durante la fase de establecimiento de enlace(fase1) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación. Para configurar un protocolo de red se usa el protocolo NCP correspondiente.porejemplo,silaredesip,seusaelprotocoloipcpparaasignarla dirección IP del cliente y sus servidores DNS. En la implementación del PPP de Microsoft, el protocolo de control de compresión se utiliza para negociar tanto la compresión de datos(utilizando MPPC) como la encriptación de datos(utilizando MPPE) por la simple razón dequeambosseimplementanenlamismarutina. Fase 5: Transferencia de datos. Una vez que sehan terminado las cuatro fases de negociación, PPP empiezaatransferirdatoshaciaydesdelosdosiguales.cadapaquetededatos transmitidos se envuelve en un encabezado del PPP el cual quita el sistema receptor.siseseleccionólacompresióndedatosenlafase1ysenegocióenla fase4,losdatossecomprimiránantesdelatransmisión.siseseleccionaronyse negociaron de manera similar la encriptación de datos, los datos(comprimidos opcionalmente) se encriptarán antes de la transmisión. Fase 6: Finlalización del enlace. PPP puede terminar el enlace en cualquier momento. Esto puede ocurrir porlapérdidadelaseñalportadora,unafalladeautenticación,unafallade la calidad del enlace, la expiración de un timer, o un cierre administrativo delenlace.lcpesusadoparacerrarelenlaceatravésdeunintercambiode paquetes de terminación. Cuando el enlace ha sido cerrado, PPP informa a los protocolos de capa de red así ellos pueden tomar la acción apropiada. Trama PPP UnatramaPPPestabasadaenHDLC.Tieneunmínimode6bytesyun máximo indeterminado. La trama HDLC con PPP es: ElformatodemarcodePPPseescogiódemodoquefueramuyparecidoal

34 18 CAPÍTULO 1. REDES VIRTUALES PRIVADAS Figura 1.14: Formato de Trama PPP. formatodemarcodehdlc,yaquenohabíarazónparareinventarlarueda. LadiferenciaprincipalentrePPPyHDLCesqueelprimeroestáorientadoa caracteres. PPP, al igual que SLIP, usael relleno de caracteres en las líneas pordiscadoconmódem,porloquetodoslosmarcostienenunnúmeroentero de bytes.

35 Capítulo 2 Tunelamiento VPN 2.1. Etapas Necesarias para una Conexión VPN Toda solución VPN que se requiera implementar, cualquiera sea el protocolo o tecnología a usar, debe cumplir con las siguientes etapas(ver figura 2.1 delapágina20) 1 : Conexión EstablecerlaconexiónenunadeRedVirtualPrivadaesmuysimilaraestablecer una conexión punto a punto mediante conexiones de acceso telefónico odeenrutamientodemarcadoapetición,esmás,encasoscomopptpseusa elmismoprotocolodebase(ppp).haydostiposdeconexionesvpn: Conexión VPN de acceso remoto: un cliente de acceso remoto (el equipo de un usuario) realiza una conexión VPN de acceso remoto que conecta a una red privada. El servidor VPN proporciona acceso a los recursos del servidor VPN o a toda la red a la que está conectado el servidor VPN. Los paquetes enviados desde el cliente remoto a través de la conexión VPN se originan en el equipo cliente de acceso remoto. Conexión VPN de enrutador a enrutador: un enrutador realiza una conexión VPN de enrutador a enrutador queconectados partesdeunared privada. El servidor VPN proporciona una conexión enrutada a la red a la que está conectado el servidor VPN. En una conexión VPN de enrutador a 1 ExistenprotocoloscomoL2TPquenoproporiconaencriptacióndedatos,seránecesario convinarlo con otro protocolo como IPsec, para que éste le brinde el servicio de encriptación enunacapainferior(capa3). 19

36 20 CAPÍTULO 2. TUNELAMIENTO VPN Figura 2.1: Etapas Necesarias Para Establecer un Túnel VPN. enrutador, los paquetes enviados desde uno de los enrutadores a través de la conexión VPN normalmente no se originan en los enrutadores. Durante esta etapa se seleccionan las opciones básicas de la comunicación, donde se presenta una negociación de parámetros necesarios para establecer el túnel. Ejemplos de estos parametros son el método de Autenticación (ej.: CHAP, PAP, IKE, ect.), algoritmo de Cifrado, el uso de Compresión, opciones de Rellanado, tamaño de la Trama, etc Control de Conexión Elcontroldelaconexiónesunaetapaqueestápresentedesdeelestablecimiento de la conexión hasta que finaliza la misma. Su objetivo es mantener la conexión estable, esto se puede implementar dentro del mismo tunel VPN o por medio de una conexión paralela. Por ejemplo en el protocolo PPTP, existe una conexión de Transmisión UPD (puerto 43), y otra conexión de Control TCP(puerto 1723) para el control del túnel.

37 2.1. ETAPAS NECESARIAS PARA UNA CONEXIÓN VPN Autenticación La autenticación es el acto de verificar la identidad de alguien o algo en un contexto definido. En un mundo de seis mil millones de personas no es suficiente simplemente declarar que se es quien se dice ser, se debe probarlo. La autenticación involucra usualmente la interacción entre dos entidades, elobjetodelaautenticación(unusuarioouncliente)queafirmasuidentidady un autenticador realizando la verificación de la identidad. El usuario entrega información de autenticación la cual incluye la identidad proclamada y la información que soporta dicha identidad al autenticador. La información de autenticación puede ir desde un simple password a un juego completo de parámetros y mensajes. De igual manera, puede ser una simplefuncióncomoenelcasodelacomparacióndeclaves,olaaplicaciónde complejos algoritmos criptográficos, como en el caso de firmas digitales. Si la información de autenticación y la función de autenticación están totalmente bajo el control de las dos entidades, el esquema de autenticación es llamado Esquema de Autenticación Compartido (two-party). Sin embargo, enmuchoscasosesmás seguroyescalable ayudarse deuna tercera parte (o de más) para la autenticación. Esos esquemas son llamados de confianza en terceras partes(trusted third-party). Otro factor a tener en cuenta es la integridad y confidencialidad de la información de autenticación. Es importante que la información usada para la autenticación sea segura y no sea obtenida de participantes no autorizados. Esas medidas de seguridad no solo deben ser tomadas en el establecimiento del túnel,sinoduranteel transcursodelintercambiodedatos.enelcasode las VPNs esto es muy importante ya que la información de autenticación es transmitida a través de Internet. Sistemas de Autenticación La autenticación es parte vital dentro de la estructura de seguridad de una VPN. Sin ella no se podría controlar el acceso a los recursos de la red corporativa y mantener a los usuarios no autorizados fuera de la línea. Los sistemas de autenticación pueden estar basados en uno de los siguientes tres atributos: algo que el usuario tiene (por ejemplo la llave de una puerta); algo que el usuario sabe (por ejemplo una clave); ó algo que el usuario es (por ejemplo sistemas de reconocimiento de voz ó barrido de retinas). Es generalmente aceptado el uso de un método sencillo de autenticación tal como el

38 22 CAPÍTULO 2. TUNELAMIENTO VPN password, pero no es adecuado para proteger sistemas. Los expertos recomiendan los llamados sistemas de autenticación complejos, los cuales usan al menos dos de los atributos de autenticación anteriores Cifrado Las Redes Virtuales Privadas gozan de confidencialidad gracias al uso del cifrado de datos, que oculta la información a cualquier interceptor que no este autorizado.enunatareadecifrado,elemisoryelreceptor,debenconocerel conjuntodereglasquerigenelmecanismocomotal.lasllavessonusadaspara transformar los datos original en otros resultantes llamados texto cifrados. Criptografía Simétrica La Criptografía Simétrica es un método que usa una misma clave para cifraryparadescifrarmensajes.lasdospartesquesecomunicanhandeponerse de acuerdo de antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente cifra un mensaje usándola, lo envía al destinatario,yéstelodescifraconlamismaclave.unbuensistemadecifradopone toda la seguridad en la clave y ninguna en el algoritmo. En otras palabras, no debería ser de ninguna ayuda para un atacante conocer el algoritmo que se está usando. Sólo si el atacante obtuviera la clave, le serviría conocer el algoritmo. Dado que toda la seguridad está en la clave, es importante que sea muy difícil adivinar el tipo de clave. Esto quiere decir que el abanico de claves posibles, o sea, el espacio de posibilidades de claves, debe ser amplio. Hoy por hoy, los ordenadores pueden adivinar claves con extrema rapidez, y ésta es la razón por la cual el tamaño de la clave es importante en los criptosistemas modernos. Como ambas partes conocen el cifrado, cualquiera de ellas puede reversar el proceso para abstraer el texto original. El cifrado se basa en dos componentes: un algoritmo y una llave. Un algoritmo criptográfico es una función matemática que combina texto plano o cualquier otra información inteligible con una cadena de dígitos llamada key(llave) para producir un texto cifrado onointeligible.tantolallavecomoelalgoritmosoncrucialesenunproceso decifrado(verfigura2.2delapágina23). El cifrado basado en un sistema de llaves ofrece una gran ventaja, los algoritmos criptográficos son difíciles de idear por lo cual sería traumático usar un nuevo algoritmo cada vez que una parte se quiera comunicar de manera

39 2.1. ETAPAS NECESARIAS PARA UNA CONEXIÓN VPN 23 privada con una nueva. Usando una llave, un usuario podría utilizar el mismo algoritmo para comunicarse con diferentes usuarios remotos; y todo lo que se debería hacer sería utilizar una diferente llave con cada uno de ellos. Figura 2.2: Esquema Criptográfico. El principal problema con los sistemas de cifrado simétrico es el intercambio de claves, sería mucho más fácil para un atacante intentar interceptar una clave que probar las posibles combinaciones del espacio de claves. Otro problema es el número de claves que se necesitan, si tenemos un número n de personas que necesitan comunicarse entre ellos, entonces se necesitan n(n-1)/2 claves para cada pareja de personas que tengan que comunicarse de modo privado. Esto puede funcionar con un grupo reducido de personas, pero sería imposible llevarlo a cabo con grupos más grandes. Algunos de los sistemas de autenticación simétricos más usados son: Passwords Tradicionales: son la forma más simple de autenticar pero es un método inadecuado para garantizar la seguridad en el acceso a una red, dado que los passwords pueden ser adivinados e interceptados durante transmisiones en la red. Por ejemplo, servicios tales como FTP y Telnet transmiten los nombres y las claves en texto plano, haciéndolos fácilmente interceptables. Passwords Únicos:Una forma de prevenir el uso no autorizado de Passwords interceptados es evitar que sean reutilizados. Los sistemas depasswordsúnicosrestringenelusodeunpasswordaunasolasesión de comunicación, es decir que se requiere un password nuevo para cada

40 24 CAPÍTULO 2. TUNELAMIENTO VPN nuevasesión.estossistemas,deloscualess/keyeselmejorejemplo, facilitan al usuario la escogencia de un nuevo password para la siguiente sesión generando automáticamente una lista de posibles passwords para el usuario. PAP(Protocolo de Autenticación de Passwords): es un protocolo de dos vías, el host que se está conectando envía un nombre de usuario y un password al sistema destino con el cual trata de establecer su comunicación, y el sistema destino(el autenticador) responde si es el caso, que el computador remoto está autenticado y aprueba su comunicación. PAP es un protocolo de autenticación que puede ser usado al comienzo del establecimiento de un enlace PPP, no es seguro porque la información de autenticación es transmitida en texto plano, esto lo hace vulnerable a que atacantes obtengan información de nombres de usuario y claves de manera fácil. CHAP(Challenge Handshake Authentication Protocol): es muy similar a PAP pero es más seguro para autenticar enlaces PPP. CHAP es un protocolodetresvíasyaligualquepap,incorporatrespasosparala autenticación de un enlace, que son: 1. El autenticador envía un mensaje al nodo remoto. 2. El nodo calcula un valor usando una función hash y lo envía de regreso al autenticador. 3. El autenticador avala la conexión si la respuesta concuerda con el valor esperado. El proceso puede repetirse en cualquier momento del enlace PPP para asegurarsequelaconexiónnohasidotomadaporotronodo.adiferencia de PAP, en CHAP el servidor controla la reautenticación. PAP y CHAP tienen algunas desventajas, en ninguno de los dos se pueden asignar diferentes privilegios para acceder a la red a diferentes usuarios remotos que usan el mismo computador. El siguiente protocolo (RADIUS) entrega más flexibilidad para asignar privilegios de acceso. RADIUS(Remote Authentication Dial-In User Service): Es un protocolo AAA(Autenticación, Autorización y Administración) para aplicaciones como acceso a redes o movilidad IP. Usa una arquitectura cliente servidor e incluye dos componentes, un servidor de autenticación y un protocolo cliente. El servidor es instalado en un computador central,

41 2.1. ETAPAS NECESARIAS PARA UNA CONEXIÓN VPN 25 el protocolo cliente es implementado en el servidor de acceso a la red (NAS). El proceso de autenticación con RADIUS tiene los siguientes pasos: 1.UnusuarioremotomarcaaunRAS.Cuandolaconexiónalmodem secompleta,elraspreguntaporunnombredeusuarioypassword. 2. Una vezrecibidos, el RAScreaun paquetededatos llamadorequerimiento de autenticación. Este paquete incluye información tales como el nombre del usuario, el password, el modem de conexión, entre otros. Para evitar que un hacker escuche la información, el RAS actúa como un cliente del RADIUS, cifrando el mensaje con una clave compartida predeterminada entre el RAS y el servidor RADIUS. 3. El requerimiento de autenticación es enviado por la red desde el cliente hasta el servidor RADIUS. 4. Cuando un requerimiento de autenticación es recibido, el servidor RADIUS valida el requerimiento y verifica la información del nombre de usuario y password. 5.Sielnombredeusuarioyelpasswordsoncorrectos,elservidorenvía un reconocimiento de autenticación que puede incluir información del usuarioenlaredylosserviciosqueelrequiere. 6. Si en este punto del proceso la autenticación no se tiene éxito, el RADIUS envía un mensaje de desconexión al RAS y al usuario se le niegaelaccesoalared.lafigura2.3delapágina26muestraelescenario correspondiente a los pasos anteriores. Criptografía Asimétrica La Criptografía Asimetrica o Criptografía de LLaves Públicas se basa en el manejo de una pareja de llaves. Cada llave puede encriptar información que sólo la otra puede desencriptar. La llave privada, únicamente es conocida por su propietario; la llave pública, se pública abiertamente, pero sigue asociada al propietario. Los pares de llaves tienen una característica única: los datos encriptados con una llave sólo pueden desencriptarse con la otra llave del par. Las llaves se pueden usar de dos maneras diferentes: para garantizar confidencialidad al mensaje y para probar la autenticidad del emisor de un mensaje. En el primer caso, el emisor usa la llave pública del receptor para encriptar

42 26 CAPÍTULO 2. TUNELAMIENTO VPN Figura 2.3: Servidores Radius de Autenticación. un mensaje, de manera que el mensaje continúe siendo confidencial hasta que sea decodificado por el receptor con la llave privada. En el segundo caso, el emisor encripta un mensaje usando la llave privada, una llave a la cual sólo tiene acceso él. La llave pública del receptor asegura la confidencialidad; la llave privada del emisor verifica la identidad del mismo. Por ejemplo, para crear un mensaje confidencial, una persona necesita conocer primero la llave pública de su receptor, después deberá usar la misma para encriptar el mensaje y enviarlo. Como el mensaje se encriptó con la llave pública del receptor, sólo éste con su llave privada puede desencriptar el mensaje.aunque una persona puede encriptarunmensajeconunallavepúblicaoconunallavesecreta,usarlallave pública presenta ciertas ventajas. Por ejemplo, la llave pública de la pareja de llavessepuededistribuirenunservidorsintemordequeestocomprometael usodelallaveprivada. Por ello, no se necesita enviar una copia de la llave pública a todos los receptores; ya que ellos la pueden obtener desde un servidor de llaves mantenidoporlacompañía,oatravésdeunproveedordeservicio.lafigura2.4 delapágina27muestraelesquemaconelcualunemisorencriptasumensaje pormediodelallavepúblicadeldestinatarioycomoesteúltimoconsullave privada desencripta el mensaje cifrado que le ha llegado. Otra ventaja de la criptografía con llave pública es que permite que el receptor autentifique al originador del mensaje. La idea básica es esta: ya que el emisor es la única persona que puede encriptar algo con su llave privada, todo aquel que use la llave pública del mismo para desencriptar el mensaje, puede estar seguro de que el mensaje proviene de él. Así, el uso de su llave

43 2.1. ETAPAS NECESARIAS PARA UNA CONEXIÓN VPN 27 Figura 2.4: Esquema de Cifrado con LLave Pública. privada en un documento electrónico es similar a la firma en un documento depapel.perohayquerecordarqueaunqueelreceptorpuedeestarsegurode que el mensaje proviene del emisor, no hay forma de garantizar que alguien más lo haya leído con anterioridad. Usar Algoritmos Criptográficos de LLaves Públicas para encriptar mensajes es computacionalmente lento, así que se ha descubierto una manera para generar con rapidez una representación corta y única del mensaje, llamada resumen (message digest), que se puede encriptar y después usar como firma digital. Algunos algoritmos criptográficos populares y veloces para generar resúmenes se conocen como Funciones Hash o funciones de dispersión de un solo sentido.unafuncióndedispersión(hash)deunsolosentidonousaunallave; simplemente es una fórmula para convertir un mensaje de cualquier longitud en una sola cadena de dígitos, llamada resumen. Por ejemplo, suponiendo que el emisor, A, calcula un resumen para un mensaje, y encripta dicho resumen con su llave privada, luego envía esa firma digitaljuntoconunmensajedetextosimpleab. Después de que B usa la llave pública de A para desencriptar la firma digital,btieneunacopiadelresumendelmensajequeacalculó.dadoqueb pudodesencriptarlafirmadigitalconlallavepúblicadea,sabequealocreó,

44 28 CAPÍTULO 2. TUNELAMIENTO VPN autentificando así al originador. B usa entonces la misma función de dispersión (que se acordó de antemano) para calcular su propio resumen del mensaje de textosimpledea.sisuvalorcalculadoyelqueaenviósoniguales,entonces Bpuedeestarsegurodequelafirmadigitalesauténtica,loquesignificaque Anosóloenvióelmensaje,sinoqueelmensajenofuealterado. Existe una amplia variedad de algoritmos criptográficos para llaves públicas,peroquizádosdelosmásimportanteshansidodiffie-hellmanyrsa Control de Acceso El control de acceso es un conjunto de políticas y mecanismos que permiten a las partes acceso autorizado a determinados recursos. De esta manera protege al recurso de accesos maliciosos o accidentales de usuarios que no están autorizados a accederlos. Lafigura2.5delapágina28muestrauncontroldeaccesoenunmodelo cliente-servidor. Se considera usuario a cualquier entidad(usuario o aplicación trabajando en nombre de ese usuario) que desee acceder al recurso. Se determina por recurso a cualquier objeto que puede ser manipulado de alguna manera, tales como lectura, escritura o modificación, causadas por la realización de algunaacción,talescomolaejecucióndeunprogramaoelenvíodeunmensaje. Figura 2.5: Control de Acceso Cliente-Servidor. Un usuario tiene una identidad y un conjunto de atributos asociados. El

45 2.1. ETAPAS NECESARIAS PARA UNA CONEXIÓN VPN 29 cliente envía la identificación del usuario, los atributos y el requerimiento de una operación al servidor. El servidor puede autenticar la identidad del usuario y remitirlo junto con los atributos y el requerimiento solicitado a los mecanismos de control de acceso. Las políticas son preestablecidas en el mecanismo de control de acceso; la información del usuario es comparada con las reglas de las políticas para determinar los derechos de acceso del usuario a ese recurso. Mecanismos de Control de Acceso Los mecanismos de control de acceso son las formas concretas para expresar unaregla.laslistas de control de acceso ylaslistas de capacidades sondos de los mecanismos más usados para especificar las reglas condicionales. Listas De Control De Acceso Una ACL (Access Control List) asocia cada recurso con una lista ordenada de qué usuarios pueden tener acceso al recurso y cómo esos usuarios pueden accederlo. Este método es de recurso céntrico; dando el nombre del recurso, del usuario, los atributos del mismo y eltipodeoperación,elmecanismodecontroldeaccesopuedebuscarlaacl correspondiente a ese recurso y determinar si el usuario puede o no realizar la operación. Los usuarios en algunas ocasiones son puestos en grupos o en clases equivalentes, las cuales tienen los mismos derechos. Esta práctica tiene como objetivo volver más escalables las ACLs dependiendo del número de usuarios en el sistema. ElsistemadearchivosUNIXusaunaformadeACLparapermitirodenegar las operacionesquepuedenserhechas enlosarchivos. Haytrestipos de operaciones básicas: lectura, escritura y ejecución. Cada archivo tiene asociados tres juegos de permisos: uno para el propietario del archivo, uno para el grupo y uno para cualquier otra persona. Cada permiso contiene los tres derechos: lectura(r), escritura(w) y ejecución(x); los derechos que no son garantizados se llenan con un guión (-). Los tres conjuntos con los tres privilegios forman una cadena de nueve dígitos(rwxrwxrwx). A continuación se detallalasalidadeuncomandounixlacualmuestralospermisosdevarios archivos dentro de ese directorio. -rw -1JuanContable383Mar1323:32Cuentas -rw-rw-r 1 Juan Contable 584 Mar 13 18:17 Empleados -rwxr-x 1Juanproject164Mar1318:17useful* En el anterior ejemplo el archivo Cuentas tiene permisos de lectura y escritura para el propietario (Juan); el archivo Empleados tienen permisos de

46 30 CAPÍTULO 2. TUNELAMIENTO VPN lectura y escritura para propietario y para el grupo(contable), y de lectura para cualquier otra persona; y el archivo useful tiene permisos de lectura, escritura y ejecución para el propietario y de lectura y ejecución para el grupo. Listas de Capacidades Las listas de capacidades(c-list) son equivalentes alasaclsperosoncentradasenelusuarioadiferenciadelasaclsqueson centradas en el recurso. En una C-list cada usuario tiene una lista de recursos que puede acceder. Una C-list es usada si los recursos pueden ser agrupados en clases equivalentes, por ejemplo en la clasificación de seguridad militar, donde un documento puede ser marcado como: no clasificado, secreto o supersecreto. Administración de las Políticas de Control de Acceso Las políticas de control de acceso usualmente son dinámicas, es decir que nuevas políticas deben ser aplicadas cada vez que nuevos recursos o nuevos usuarios aparecen en la red. El proceso de crear, mantener y distribuir las políticas de control de acceso es llamado administración de las políticas de control de acceso. Una administradora de políticas es la entidad que tiene el control sobre todas las políticas deacceso en un sistema. El manejador de las políticas es el servicio responsable de proveer a los administradores de una interfaz fácil de usar que defina, instale, modifique y despliegue políticas. El manejador de políticas también es el encargado de traducir las reglas del lenguaje abstracto que maneja el administrador a expresiones que son usadas en los mecanismos de control de acceso. Cuando múltiples puntos de control de acceso existen en una red, la administración de las políticas puede ser hecha de una manera centralizada o de una manera distribuida. Directorio Activo (Active Directory de Microsoft) Un ejemplo de listas de de accesos con administración centralizada es el Directorio Activo de Microsoft. En una red Microsoft Windows, el servicio de directorio Active Directory proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red.. Active Directory proporciona la capacidad de administrar centralmente la red de Windows. Esta capacidad significa que puede almacenar centralmente

47 2.1. ETAPAS NECESARIAS PARA UNA CONEXIÓN VPN 31 información acerca de la empresa, por ejemplo, información de usuarios, grupos e impresoras, y que los administradores pueden administrar la red desde una sola ubicación. Active Directory admite la delegación del control administrativo sobre los objetos de él mismo. Esta delegación permite que los administradores asignen a un grupo determinado de administradores, permisos administrativos específicosparaobjetos,comocuentasdeusuarioodegrupo. En un dominio hay lo que se llama un servidor principal llamado PDC (Primary Domain Controller) que es quien asigna derechos controla usuarios y recursos. Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado BDC (BackupDomainController),ademásencasodefallodelPDC,éstesesitúa eneldominiocomopdc. Los recursos almacenados en el directorio, como usuarios, impresoras, servidores, grupos, computadores y políticas de seguridad, se conocen colectivamente como objetos. Un objeto es un conjunto nombrado de atributos que representan un recursodered.esdecir,losatributossonlascaracterísticasdelosobjetosenel directorio. Figura 2.6: Objetos en Active Directory. Los objetos en Active Directory pueden organizarse en clases, que son agrupamientos lógicos de objetos. Ejemplos de clases son las cuentas de usuario, los grupos, las computadoras, las unidades organizacionales, etc. (ver figura

48 32 CAPÍTULO 2. TUNELAMIENTO VPN 2.6delapágina31). Principalmente, un dominio define un límite de seguridad. Un dominio puede contener millones de objetos AD. Por cada objeto dentro de un dominio, AD mantiene ACLs(Listas de Control de Acceso) que controlan que usuarios puedenteneraccesoalmismoyquetipodeaccesopuedenobtener(verfigura 2.7delapágina32). Figura 2.7: Esquema General de Active Directory de Microsoft Tunelamiento Tunelamiento(Tunneling) es una técnica que usa una infraestructura entreredesparatransferirdatosdeunaredaotra.losdatosolacargapueden ser transferidas como tramas de otro protocolo. El protocolo de tunneling encapsula las tramas con una cabecera adicional, en vez de enviarla como la produjo en nodo original. La cabecera adicional proporciona información de routingparahacercapazalacargadeatravesarlaredintermedia.lastramas encapsuladas son enrutadas a través de un tunel que tiene como puntos finales losdospuntosentrelaredintermedia.eltúnelesunacaminológico através del cual se encapsulan paquetes viajando entre la red intermedia. Cuando un trama encapsulada llega a su destino en la red intermedia, se desencapsula y seenvíaasudestinofinaldentrodelared.tunnelingincluyetodoelproceso de encapsulado, desencapsulado y transmisión de las tramas. Protocolos de Tuneles Paraqueseestablezcaun túnel,tantoelclientedeéstecomoel servidor deberán utilizar el mismo protocolo de túnel. La tecnología de túnel se puede

49 2.2. TUNELAMIENTO 33 basarenelprotocolodeltúneldenivel2,nivel3;onivelesintermedioscorrespondientes OSI(Modelo de referencia de interconexión de sistemas abiertos). Losprotocolosdecapa2correspondenalniveldeEnlacede datos,yutilizan tramas como su unidad de intercambio. PPTP y L2TP son protocolos de túnel de Capa 2, ambos encapsulan la carga útil en una trama de PPP (ProtocoloPuntoaPunto)queseenviaráatravésdelared. Los protocolos de capa 3 corresponden al nivel de Red, utilizan paquetes IP o datagramas de capa de Transporte (por ejemplo TCP)como carga útil. El mododetúneldeseguridadip(ipsec)sonejemplosdelosprotocolosde túnel de capa 3; éstos encapsulan los paquetes IP en un encabezado adicional antesdeenviarlosatravésdeunaredip. Otros protocolo como MPLS que encapsula la carga útlil en una capa adicional entre la Capa 2 y Capa 3. Por último existen también tunelamiento enlacapadeaplicación mediantessl(securelayersoket) Funcionamiento del Túnel ParalastecnologíasdetúneldeNivel2comoPPTPyL2TP,untúneles similaraunasesión;losdospuntosfinalesdebenestardeacuerdorespectoal túnel, y negociar las variables de la configuración, como asignación de dirección o los parámetros de encriptación o de compresión. En la mayor parte de los casos, los datos que se transfieren a través del túnel se envían utilizando protocolos basados en datagramas; se utiliza un protocolo para mantenimiento del túnel como el mecanismo para administrar al mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado fuera de banda todos los temas relacionados con la configuración, normalmente a través de procesos manuales; sin embargo, quizá no exista una fasedemantenimientodetúnel.paralosprotocolosdenivel2(pptpyl2tp) se debe crear, mantener y luego concluir un túnel. Cuandoseestableceeltúnel,esposibleenviarlosdatosatravésdelmismo. El cliente o el servidor utilizan un protocolo de transferencia de datos del túnel a fin de preparar los datos para su transferencia. Por ejemplo, cuando el cliente del túnel envía una carga útil al servidor, primero adjunta un encabezado de protocolo de transferencia de datos de túnel a la carga útil. Luego, el cliente envía la carga útil encapsulada resultante a travésdelared,laqueloenrutaalservidordeltúnel.esteúltimoaceptalos paquetes, elimina el encabezado del protocolo de transferencia de datos del

50 34 CAPÍTULO 2. TUNELAMIENTO VPN túnelyenvíalacargaútilalaredobjetivo.lainformaciónqueseenvíaentre elservidordeltúnelyelclientedeltúnelsecomportademanerasimilar Tipos de Túneles Túneles Voluntarios Un túnel voluntario ocurre cuando, una estación de trabajo o un servidor deentubamientoutilizaelsoftwaredelclientedeltúnel,afindecrearunaconexión virtual al servidor del túnel objetivo; para lograr esto se debe instalar el protocolo apropiado de túnel en la computadora cliente. Para los protocolos que se analizan en este trabajo final de aplicación, los túneles voluntarios requierenunaconexiónip(yaseaatravésdeunalanomarcación). En determinadas situaciones, el cliente debe establecer una conexión de marcaciónconelobjetodeconectarsealaredantesdequeel clientepueda estableceruntúnel(ésteeselcasomáscomún).unbuenejemploeselusuario deinternetpormarcación,quedebemarcaraunispyobtenerunaconexión ainternetantesdequesepuedacrearuntúnelsobreinternet.. ParaunaPCconectadaaunaLAN,elclienteyatieneunaconexiónalared que le puede proporcionar un entubamiento a las cargas útiles encapsuladas al servidordeltúnellanelegido.esteseríaelcasoparaunclienteenunalan corporativa, que inicia, un túnel para alcanzar una subred privada u oculta en la misma LAN. Es falso que las VPN requieran una conexión de marcación, pues sólo requieren de una red IP. Algunos clientes (como las PC del hogar) utilizan conexiones de marcación a Internet para establecer transporte IP; esto es un pasopreliminarenlapreparaciónparalacreacióndeuntúnel,ynoespartedel protocolodeltúnelmismo.enlafigura2.8delapágina35sepuedeapreciar un escenario típico correspondiente a un túnel voluntario. Túneles Obligatorios Diversos proveedores que venden servidores de acceso de marcación han implementado la capacidad para crear un túnel en nombre del cliente de marcación. La computadora o el dispositivo de red que proporciona el túnel para la computadora del cliente es conocida de varias maneras: Procesador frontal (FEP) en PPTP, un Concentrador de acceso a L2TP (LAC) en L2TP o un gateway de seguridad IP en el IPSec. En este apartado, el término FEP se utilizará para describir esta funcionalidad, sin importar el protocolo de túnel.

51 2.2. TUNELAMIENTO 35 Figura 2.8: Túneles Voluntarios. Para realizar esta función, el FEP deberá tener instalado el protocolo apropiado de túnel y ser capaz de establecer el túnel cuando se conecte la computadora cliente. En el ejemplo de Internet, la computadora cliente coloca una llamada de marcaciónalnasactivadoporlostúnelesenelisp;puededarseelcasode que una empresa haya contratado un ISP para instalar un conjunto nacional de FEP. Esta configuración se conoce como túnel obligatorio debido a que el cliente está obligado a utilizar el túnel creado por FEP Cuando se realiza la conexión inicial, todo el tráfico de la red de y hacia el cliente se envía automáticamente a través del túnel. En los túneles obligatorios, la computadora cliente realiza una conexión únicappp,ycuandounclientemarcaenel NASsecreauntúnel ytodoel tráfico se enruta de manera automática a través de éste. Es posible configurar un FEP para hacer un túnel a todos los clientes de marcación hacia un servidor específico del túnel. De manera alterna, el FEP podría hacer túneles individuales de los clientes basados en el nombre o destino del usuario (ver figura2.9delapágina36). A diferencia de los túneles por separado creados para cada cliente voluntario,untúnelentreelfepyservidordeltúnelpuedeestarcompartidoentre varios clientes de marcación. Cuando un segundo cliente marca al servidor de acceso(fep)paraalcanzarundestinoparaelcualyaexisteuntúnel,nohay necesidad de crear una nueva instancia del túnel entre el FEP y el servidor

52 36 CAPÍTULO 2. TUNELAMIENTO VPN Figura 2.9: Túneles Obligatorios. deltúnel.eltráficodedatosparaelnuevoclientesetransportasobreeltúnel existente.yaquepuedehabervariosclientesenuntúnelúnico,eltúnelnose termina hasta que se desconecta el último usuario del túnel. Modelos de Entunelamiento En las VPN los sitios de terminación (terminadores) de los túneles son aquellos donde se toman las decisiones de autenticación y las políticas de control de acceso y donde los servicios de seguridad son negociados y otorgados. En la práctica hay tres tipos posibles de servicios de seguridad que dependen de la ubicación de los terminadores. El primer caso es aquel donde el terminador estáenelhostmismo,dondelosdatosseoriginanyterminan. EnelsegundocasoelterminadorestáenelgatewaydelaLANcorporativa dondetodoeltráficoconvergeenunsoloenlace.eltercercasoesaqueldonde el terminador está localizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) del ISP. DadoqueuntúnelVPNsecomponededosterminadores,sepuedenobtener seis tipos de modelos de seguridad derivados de la posible combinación de las diferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to- LAN,LAN-to-POP ypop-to-pop,enlafiguradelapáginasepuedennotar cadaunodeestascombinaciones(verfigura2.10delapágina37). Enel modeloend-to-end eltúnelvadesdeunextremohastael otrodel sistema. Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y en el destino de la comunicación. Este escenario presenta el másaltoniveldeseguridaddadoquelosdatossiempreestánsegurosentodos lossegmentosdelared,bienseapúblicaoprivada. Sinembargo,el totalde

53 2.2. TUNELAMIENTO 37 Figura 2.10: Modelos de Entunelamiento. túneles que pueden haber en una empresa grande, dificulta el manejo de los servicios de seguridad requeridos por dichos host. Este modelo de seguridad es comúnmente visto en implementaciones de capas superiores, como es el caso de SSL(Secure Sockets Layer). En el modelo End-to-LAN, el túnel comienza en un host y termina en el perímetro de una LAN en la cual reside el host destino. Un dispositivo VPNlocalizadoenelperímetrodelaredeselresponsabledelanegociacióny obtención de los servicios de seguridad de los host remotos. De esta manera, la seguridad de un gran número de dispositivos en una red corporativa puede ser manejada en un único punto, facilitando así la escalabilidad del mismo. El modelo de entunelamiento End-to-POP es aquel en el cual un host remototerminaeltúnelenunpopdelaisp.undispositivovpnounequipo confunciones determinadorvpnyqueseencuentraenlareddelaispes el responsable por la negociación y concesión de los servicios de seguridad. LaentregadelosdatosdesdeelPOPhastaelhostdestinoesporlogeneral asegurada con infraestructura física, la cual separa el tráfico del resto de la red pública.porlogeneralenestecasoelispadministralospermisosycontrola el acceso según las directivas de los administradores de red de las empresas clientes. La arquitectura de acceso remoto VPN también usa este modelo. En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situa-

54 38 CAPÍTULO 2. TUNELAMIENTO VPN dosenlafronteradelaredcorporativaparanegociaryconcederserviciosde seguridad. De esta manera, las funciones de seguridad no necesitan ser implementadas en los hosts finales donde los datos son generados y recibidos. La implementación de los servicios de seguridad es completamente transparente para los hosts. Esta implementación reduce drásticamente la complejidad en el manejo de las políticas de seguridad. La arquitectura Intranet VPN encaja en este modelo. EnelcasodeLAN-to-POP el túnel comienzaenundispositivovpnlocalizadoenlafronteradelaredcorporativayterminaenundispositivovpn elcualseencuentraenunpopdelaisp.enlaactualidadprácticamenteeste entunelamiento no es aplicado. Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizadosenlapropiareddelaisp.porlotantolosserviciosdeseguridadson completamente transparentes para los usuarios finales del túnel. Este modelo permite a los proveedores de servicio implementar valores agregados a los clientes sin que éstos alteren la infraestructura de sus redes. Una tecnología acorde para este modelo es MPLS. De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los más extensamente usados en las soluciones VPN. Sin embargo, el POP-to- POP o modelo de seguridad basado en red, ha cobrado vigencia últimamente dado que permite a las ISPs implementar servicios de valores agregados para sus clientes[3].

55 Capítulo 3 Protocolos VPN 3.1. PPTP-ProtocolodeTúnelPuntoaPunto Es quizá el protocolo más sencillo de entunelamiento de paquetes. Es usado, en general, por pequeñas empresas para realizar sus VPNs LAN-to-LAN, y en topologías de acceso remoto, para trabajadores teleconmutados(teleworkers), tales como vendedores externos o trabajadores que se mantienen en constante movimiento por fuera de sus oficinas. El protocolo PPTP fue propuesto por el Foro PPTP(PPTP Forum), compuesto por 3Com, Ascend (ahora Lucent), Microsoft, ECI Telematics y US- Robotics. Debido a la integración que hizo Microsoft en sus sistemas operativos, PPTPtuvogranacogidaenelmercadomundial,atalpuntoqueunprotocolo de capa 2lanzadopor CiscoSystems al mismo tiempo, prácticamentenose conoció, L2F(Layer-2- Forwarding). El protocolo más comúnmente usado para acceso conmutado a Internet es el protocolo punto-a-punto(ppp). PPTP se soporta sobre toda la funcionalidadqueppplebrindaaunaccesoconmutadoparaconstruirsustúnelesa través de Internet. PPTP encapsula paquetes PPP usando una versión modificada del Protocolo de Encapsulamiento Ruteado Genérico(GRE- Generic Routing Encapsulation). Dado lo anterior, PPTP no sólo es capaz de encapsularpaquetesip,sinoipxynetbeui,losprotocolosderedlocalmásusados. PPTP utiliza los mecanismos de autenticación que generalmente están asociadosappptalescomopapychap,unaversiónmejoradadechapllamada MS-CHAP y desarrollada por Microsoft se encuentra en sus sistemas operativoswindowsnt,2000yxp.otramejoraquelehahechomicrosoftal 39

56 40 CAPÍTULO 3. PROTOCOLOS VPN protocolo PPTP es la incorporación del método de cifrado MPPE(Microsoft Point-to-Point Encription). Una de las ventajas que tiene PPTP por ser un protocolo de nivel 2, es que puede transmitir protocolos diferentes a IP en sus túneles, a diferencia de IPSec que se restringe a trabajar sólamente con paquetes IP Relación Entre PPP Y PPTP PPP es el protocolo más comúnmente usado para acceso a Internet, prácticamente el único, además es usado en algunos enlaces seriales punto a punto WAN. PPP trabaja en la capa 2 del modelo OSI, e incluye métodos para encapsular varios tipos de datagramas para ser transferidos sobre enlaces seriales,entreellosip,ipxynetbeui.elprotocolopptpdependedeppp paracrearlaconexiónconmutadaentreelclienteyelservidordeaccesoala red. PPTP confía las siguientes funciones a PPP: Establecimiento y finalización de la conexión física. Autenticación de los usuarios. Creación de datagramas PPP. Luego que el enlace PPP es creado, el protocolo PPTP define dos diferentes tipos de paquetes: paquetesdecontrol y paquetes de datos, cadaunode los cuales es asignado a diferentes canales lógicos. PPTP separa los canales de controlydedatosusandounflujodecontrolquecorresobretcpyunflujo de datos que está encapsulado con cabeceras IP usando GRE. La conexión TCP es creada entre el cliente y el servidor PPTP. Esta conexión es usada para intercambiar mensajes de control. Los paquetes de datos contienen los datos del usuario, es decir, los datagramasdelprotocolodecapaderedusado.lospaquetesdecontrol(control del enlace) son enviados periódicamente para indagar sobre el estado del enlace y lasseñalesdemanejoentreelclienteyelservidorpptp.lospaquetesdecontrol también se usan para enviar información de manejo básica del dispositivo y de configuración. Los mensajes de control establecen, mantienen y finalizan un túnel PPTP. DespuésdequeeltúnelPPTPsehaestablecido,losdatosdelusuarioson transmitidos entre el cliente y el servidor PPTP. Estos datos son transmitidos en datagramas IP contenidos dentro de los paquetes PPP.

57 3.1. PPTP-PROTOCOLODETÚNELPUNTOAPUNTO 41 Los datagramas IP son creados usando una versión modificada del protocolo GRE(Generic Routing Encapsulation); esta modificación consiste en incluir un identificador de los host que puede ser usado para controlar los privilegios de acceso y la capacidad de reconocimiento, la cual es usada para monitorear la velocidad de transferencia a la cual los paquetes están transmitiéndose en el túnel. La cabecera GRE es usada para encapsular el paquete PPP dentro del datagrama IP. La información útil del paquete(payload) es esencialmente el paquete PPP original enviado por el cliente. Dado que PPTP opera con un protocolodecapa2,debeincluirunacabeceraquedependedelmedioenelcual el túnel está transmitiendo, esta puede ser Ethernet, Frame Relay o PPP. La figura3.1delapágina41muestralaestructuraenlosdiferentessitiosdeun túnel de un paquete IP usando encapsulación PPTP desde el sistema cliente hasta la LAN corporativa. Figura 3.1: Estructura de un Túnel PPTP Componentes de una VPN PPTP Servidores PPTP Un servidor PPTP tiene dos funciones básicas, la primera es actuar como elpuntofinaldeltúnelpptpylasegundaesreenviarlospaquetesaydesde el computador en la red privada. Para reenviar los paquetes al computador destino, el servidor desencapsula el paquete PPTP obteniendo el nombre del computadoroladirecciónipprivadaqueseencuentradentrodeeste.unade

58 42 CAPÍTULO 3. PROTOCOLOS VPN las características de los servidores PPTP es la de poder filtrar únicamente el tráfico PPTP dependiendo de si esta condición aparece o no en el perfil del usuario,deestamanera,sepuederestringiraunusuarioparaqueseconecte a la red local o se conecte a Internet. Por lo general los servidores PPTP estánenlaspremisasdelaredcorporativa,enalgunoscasoselservidorpptp está ubicado dentro de la red privada y está protegido por el firewall (zona militarizada). Cuando esto ocurre, es necesario abrir el puerto TCP 1723, o si el firewall permite filtrar no por puerto sino por protocolo, se deberá permitir el protocolo GRE(puerto 47). Software Cliente PPTP Comosedijoanteriormente,sielNASdelISPsoportaPPTPnosenecesita ningún software o hardware adicional en el extremo final del cliente, solamente queéstepuedaestablecerunaconexiónppp.porotrolado,sielispnosoporta PPTP, el cliente deberá utilizar un software cliente PPTP en su computador para poder crear el túnel. La mayoría de los sistemas operativos cuentas con un cliente PPTP nativo. Servidoresde AccesoalaRed Los servidores de acceso a la red también llamados servidores de acceso remoto o concentradores de acceso, son los encargados de soportar las conexionespppdeunagrancantidaddeclientesqueseconectanaestepormediode enlaces telefónicos conmutados. Sus funciones van desde el establecimiento de la conexión física(modulación, demodulación, compresión de datos, corrección deerrores,etc.)hastalaboresdeenrutamientopresentesenlacapa3delmodeloosi.dentrodeuntúnelpptpsepuedenencontrarnasactuandocomo clientes PPTP o simplemente como un concentrador de acceso PPP. PPTP permitequelasfuncionesrealizadasporunservidordeaccesoalared(nas) sean separadas usando una arquitectura cliente-servidor. Comúnmente, las siguientes funciones son implementadas por un NAS: 1. Brindar una interfaz física entre la red telefónica pública conmutada y los módems. Esto incluye conversiones A/D y D/A, conversiones síncronas a asíncronas y manipulaciones de flujos de datos. 2. Terminación lógica de enlaces PPP. 3. Autenticación de enlaces PPP.

59 3.1. PPTP-PROTOCOLODETÚNELPUNTOAPUNTO Sumarización de canales(protocolo multilink PPP). 5. Terminación lógica de protocolos de control de red(ncp). 6. Enrutamiento multiprotocolo y bridging. PPTP divide estas funciones entre los dos componentes que se definen en elprotocolo,asaberpacypns.elpacoconcetrador de acceso PPTP es el responsable delas funciones 1, 2 y algunas veces 3. El PNS oservidor de redpptp,eselresponsabledelasfunciones3,4,5y6. El protocolo PPTPes única y exclusivamente implementado entre el PAC y el PNS. Un PAC puede atender muchos PNSs. Un único PNS puede ser asociado a muchos PACs[4] Estructura del Protocolo PPTP define una conexión de control entre cada pareja PAC-PNS la cual operasobretcp;yuntúnelipoperandosobrelamismaparejapac-pnsel cual es usado para transportar paquetes PPP con encapsulamiento GRE Conexión de Control Antes que el entunelamiento PPP ocurra entre un PAC y un PNS, una conexión de control debe ser establecida entre ellos. La conexión de control es una sesión TCP que mantiene control sobre la llamada e intercambia mensajes de información. Por cada pareja PAC-PNS debe existir una conexión de control y un túnel. La conexión de control es la responsable por el establecimiento, el manejo y laliberación de las sesiones que existenenel túnel,estolo realiza atraves del puerto Operación del Túnel PPTP necesita el establecimiento de un túnel por cada pareja PNS-PAC. Este túnel se utiliza para transportar todos los paquetes PPP de las diferentes sesiones involucradas en la pareja PNS-PAC. Una clave que se encuentra presente en la cabecera GRE indica qué paquetes PPP pertenecen a qué sesión. De ésta manera, los paquetes PPP son multiplexados y desmultiplexados sobre un único túnel existente entre una pareja PNS-PAC. El valor del campo Clave es definido dentro del proceso de establecimiento de la llamada.

60 44 CAPÍTULO 3. PROTOCOLOS VPN La cabecera GRE también contiene información de reconocimiento y de secuencialización con la cual se realiza control de congestión y detección de errores en el túnel. Los datos del usuario transportados por el protocolo PPTP son esencialmente paquetes de datos PPP. Los paquetes PPP son transportados entre el PACyelPNS,encapsuladosenpaquetesGREloscualesasuvezsontransportados sobre IP. Los paquetes encapsulados PPP son esencialmente paquetes de datos PPP sin ningún elemento de tramado de medio específico. Los paquetes IP transmitidos sobre los túneles entre un PAC y un PNS tienen la estructurageneralquesemuestraenlafigura3.2delapágina44. Figura 3.2: Formato del Paquete IP Cabecera Mejorada GRE La cabecera GRE usada por PPTP es una versión ligeramente mejorada de la especificación estándar del protocolo GRE. La principal diferencia es la definición de un nuevo campo de reconocimiento de número (acknowledgment number), usado para determinar si un paquete particular GRE o un conjunto de paquetes ha arribado al lado remoto del túnel. Esta capacidad de reconocimiento no es usada en conjunto con ningún tipo de retransmisión, en vezdeeso,seusaparadeterminarlavelocidaddetransferenciaalacuallos paquetes de datos del usuario son transmitidos sobre el túnel Cifrado en PPTP LatramaPPPsecifraconelcifradopuntoapuntodeMicrosoft (MPPE, Microsoft Point-to-Point Encryption) mediante claves de cifrado generadas en los procesos de autenticación MS-CHAP, MS-CHAP v2 o EAP-TLS. Los clientes de red privada virtual deben utilizar el protocolo de autenticación MS- CHAP,MS-CHAPv2oEAP-TLSparapodercifrarlascargasdelastramas PPP. PPTP aprovecha el cifrado PPP subyacente y encapsula una trama PPP cifrada anteriormente.una llave de encriptación es generada usando una mínima parte del password situados en cliente y server. El RSA RC4 standard

61 3.2. L2TP-PROTOCOLODETÚNELDECAPA2 45 es usado para crear estos 40 bits (128 dentro de EEUU y Canada) de llave de sesión basada en el password de un cliente. Esta llave es después usada para encriptar y desencriptar todos los datos intercambiados entre el server PPTPyelcliente.LosdatosenlospaquetesPPPsonencriptados.Elpaquete PPP que contiene un bloque de datos encriptados es después metido en un datagrama IP para su enrutamiento Filtrado de Paquetes PPTP Esta opción incrementa el rendimiento y fiabilidad de la seguridad de red siestaactivadaenelservidorpptp.cuandoestaactivaaceptayenjutasolo los paquetes PPTP de los usuarios autorizados. Esto prevé el resto de paquetes entrenelredprivadayenelservidordepptp ControldeAccesoalosRecursosdelaRed Después de la autenticación, todo el acceso a la LAN privada continúa usandolasestructurasdeseguridaddelamismalan.elaccesoarecursosen devices NTFS o otros recursos de la red requieren los permisos correctos de cada usuario, tal como si estuvieses conectado físicamente dentro de la LAN. La existencia de un Controlador de Dominio por ejemplo, tiene validez en esta configuración L2TP-ProtocolodeTúneldeCapa2 L2TP[5]fuecreadocomoelsucesordePPTPyL2F.Lasdoscompañías abanderadas de cada uno de estos protocolos, Microsoft por PPTP y Cisco por L2F, acordaron trabajar en conjunto para la creación de un único protocolo decapa2 yasílograrsuestandarizaciónporpartedelaietf. Como PPTP, L2F fue diseñado como un protocolo de entunelamiento usando para ello encapsulamiento de cabeceras. Una de las grandes diferencias entrepptp yl2f, esqueelentunelamientodeésteúltimonodependedeip y GRE, permitiéndole trabajar con otros medios físicos por ejemplo Frame Relay. Paralelamente al diseño de PPTP, L2F utilizó PPP para autenticación de usuarios accesando vía telefónica conmutada, pero también incluyó soporte para TACKCS+ y RADIUS. OtragrandiferenciadeL2FconrespectoaPPTPesquepermitequeun único túnel soporte más de una conexión. Hay dos niveles de autenticación

62 46 CAPÍTULO 3. PROTOCOLOS VPN del usuario: primero, por la ISP antes de crear el túnel; segundo, cuando la conexión está configurada y la autenticación la realiza el gateway corporativo. Todas las anteriores características de L2F han sido transportadas a L2TP. Como PPTP, L2TP utiliza la funcionalidad de PPP para proveer acceso conmutadoquepuedesertunelizadoatravésdeinternetaunsitiodestino.sin embargo, como se ha mencionado anteriormente, L2TP define su propio protocolo de entunelamiento basado en L2F permitiendo transporte sobre una amplia variedad de medios de empaquetamiento tales como X.25, Frame RelayyATM. DadoqueL2TPesunprotocolodecapa2,ofrecealosusuarioslamisma flexibilidad de PPTP de soportar otros protocolos aparte de IP, tales como IPX y NETBEUI. Microsoft incluye L2TP a partir del sistema operativo Windows 2000, ya quelasmejorasdel2tpconrespectoapptpsaltanalavista Componenetes Básicos de un Túnel L2TP Concentrador de acceso L2TP (LAC): es un nodo que se encuentra enunpuntoextremodeuntúnell2tp.ellacseencuentraentreunlns yunsistemaremotoyreenvíalospaquetesaydesdecadauno.lospaquetes enviados desde el LAC hasta el LNS van tunelizados. En algunas ocasiones el sistemaremotoactúacomounlac,estosepresentacuandosecuentaconun software cliente LAC. Servidor de Red L2TP (LNS): es un nodo que se encuentra en un puntoextremodeuntúnell2tpyqueinteractúaconellac,opuntofinal opuesto.ellnseselpuntológicodeterminacióndeunasesiónpppqueestá siendo tunelizada desde un sistema remoto por el LAC. Túnel: un Túnel existe entre una pareja LAC-LNS. El túnel consiste de unaconexióndecontrolydeningunaomássesionesl2tp.eltúneltransporta datagramaspppencapsuladosymensajesdecontrolentreellacyellns Topología de L2TP Lafigura3.3delapágina47describeunescenariotípicoL2TP.Elobjetivo estunelizartramaspppentreunsistemaremotoounclientelacyunlns localizado en la LAN corporativa. ElsistemaremotoiniciaunaconexiónPPPatravésdelareddetelefonía públicaconmutadaaunlac.ellacluegotunelizalaconexiónpppatravés

63 3.2. L2TP-PROTOCOLODETÚNELDECAPA2 47 Figura 3.3: Escenario Típico L2TP. de Internet o una nube Frame Relay o ATM a un LNS por donde accesa a la LAN remota corporativa. La dirección del sistema remoto es dada desde la LAN corporativa por medio de una negociación PPP NCP. La autenticación, autorización y acounting puede ser provista por el dominio de la red corporativaremotacomosielusuarioestuvieraconectadoaunservidordeaccesode la red directamente. Este escenario pertenece a una Sesión Obligatoria L2TP. EnunaSesiónVoluntaria,unclienteLAC(unhostquecorreL2TPnativo) puede también crear un túnel hasta la LAN corporativa sin usar un LAC externo.enestecaso,elhosttieneunsoftwareclientelacypreviamenteha estado conectado a la red pública, tal como Internet. Una conexión PPP virtual esluegocreadayelsoftwareclientelachaceuntúnelhastaelclientelns. Como en el caso anterior, el direccionamiento, la autenticación, la autorización y el acounting pueden ser provistos por el dominio de la LAN corporativa remota Estructura del Protocolo L2TP L2TP utiliza dos tipos de mensajes, los mensajes de control y los mensajes de datos. Los mensajes de control son usados en el establecimiento, mantenimiento y finalización de túneles y llamadas. Los mensajes de datos son usados para encapsular tramas PPP que está siendo transportadas sobre el túnel. Los mensajes de control utilizan un canal de control confiable con el cual L2TP garantiza la entrega. Los mensajes de datos no son retransmitidos cuando ocurren pérdidas de paquetes. Lafigura3.4delapágina48muestralarelacióndelastramasPPPylos mensajes de control con los canales de datos y control L2TP respectivamente. LastramasPPPsontransportadassobreuncanaldedatosnoconfiableyson encapsuladas primero por una cabecera L2TP y luego por una cabecera de transporte de paquetes que pueden ser UDP, Frame Relay o ATM.

64 48 CAPÍTULO 3. PROTOCOLOS VPN Los mensajes de control son enviados sobre un canal de control L2TP confiable, el cual transmite paquetes en banda sobre el mismo transporte de paquetes. Para esto se requiere que números de secuencia estén presentes en todos los mensajes de control. Los mensajes de datos pueden usar esos números de secuencia para reordenar paquetes y detectar pérdidas de los mismos. Figura 3.4: Relación Entre Tramas PPP y Mensajes L2TP Formato de una Cabecera L2TP LospaquetesL2TPparaelcanaldecontrolyelcanaldedatoscomparten un formato de cabecera en común, la figura 3.5 de la página 48 muestra el formato dicha cabecera L2TP: Figura 3.5: Formato de Cabecera L2TP. T: Message Type. 1 bit. Especifica si es un mensaje de control (0) o datos(1).

65 3.2. L2TP-PROTOCOLODETÚNELDECAPA2 49 L: Used Length. 1 bit. Mensajes de Control deben tener configurado este bit. S:UsedSequence.1bit.Siestáconfigurado,loscamposNsyNrtambién deben estar configurados. Los mensajes de Control deben tener configurado este bit. O: Used Offset. 1 bit. Los mensajes de Control deben tener configurado este bit. P: Priority. 1 bit. Este debe recibir tratamiento especial en la cola local. Version: 4 bits. Indica la versión del protocolo L2TP. Debe ser configuradoa2,elvalor1esreservadoparadetecciónl2f. Length: 16 bits. Opcional. El tamaño total del mensaje, este campo existe si L esta configurado. Tunnel ID: 16 bits. Indica el identificador de control de la conexión, los túneles son nombrados por identificadores locales. Session ID: 16 bits. Indica el identificador de la sesión dentro de un túnel. Ns: Sequence Number. 16 bits. Optional. Indica el número de secuencia paraelmensajedecontrololosdatosactuales. Nr: Sequence Number Expected. 16 bits. Optional. Indica el número de secuencia esperado en el siguiente mensaje de control a ser recibido. Offset Size: 16 bits. Optional. Especifica el número de bytes donde la cabecera finaliza y comienzan los datos. Offset Pad: Relleno. Los componentes de mayor importancia son aquellos que definen el punto finaldeuntúnelbasadoenesteprotocolo,entreloscualesseencuentraelconcentradordeaccesol2tp (LAC)comopartedel equipamientodel ISP,yel servidorderedl2tp(lns).enelcasodelosispsademásdelhardwareimplementado en el mismo se tiene en cuenta el software necesario requerido que puede ser reducido para el enlace de los clientes móviles, los cuales necesitaran negociar en la primera fase de autentificación de usuarios. Por otro lado, el LNS deberá ser atendido y mantenido por el personal de la empresa, mientras que estas actividades son responsabilidad del ISP con relación al LAC.

66 50 CAPÍTULO 3. PROTOCOLOS VPN Autenticación en L2TP Laautentificacióndeunusuarioocurreen3fasesenL2TP.Enlaprimera fase,elisppuedeusarelnúmerodeteléfonodelallamadarecibida,elnúmero llamado o el nombre del usuario determinado que el servicio de L2TP requiere y entonces iniciar un túnel de conexión al servidor de red apropiado. Cuando un túnel está establecido, el Concentrador de Acceso (LAC) del ISP asigna unnuevoiddellamadaparaidentificarlaconexiónconeltúneleiniciauna sesión para devolver la información autentificada. El servidor de red corporativa emprende la segunda fase de autentificación para decidir si acepta o no la llamada. La llamada comienza indicando al ISP el método de autenticación o la información de autentificación de otros. El servidor de red usará esta información para decidir si acepta o rechaza la llamada. Después que la llamada ha sido aceptada, el servidor de red puede iniciar latercerafasedeautentificaciónalacapadeppp,lacualaportaunaamplia gama de opciones, incluidos CHAP, MS-CHAP, MS-CHAPv2 y el Protocolo de autenticación extensible EAP(Extensible Authentication Protocol), que admite mecanismos de autenticación de tarjetas token y tarjetas inteligentes. A través de estas 3 fases de autentificación L2TP garantiza que el usuario final,elispyelservidorderedestánconectadosconquiendicenser Procesos de una Comunicación L2TP 1. Conexión y comunicación PPP: el cliente remoto usa el protocolo PPPparaestablecerlaconexiónconunIPS,lacualconstituyelaprimer fase de autenticación L2TP. 2. Conexión de control L2TP(establecimiento del túnel): es la conexióninicialquehayqueestablecerentreellacyellnsantesdeque se puedan establecer sesiones. El establecimiento de la conexión de controlincluyelaautenticacióndelaentidadparporellnsylanegociación de las facilidades soportadas. 3. Establecimiento de la sesión: una vez establecido el túnel entre el LACyelLNSseestableceunasesióndentrodeltúnelporcadaconexión PPPexistenteentreLACyLNS.Cadasesiónsecorrespondeaunflujode tramaspppentreellacyellns.ellacsolicitaallnsqueacepte una sesión para una llamada entrante y el LNS solicita al LAC que acepte una sesión para una llamada saliente. Seguidamente se completa el proceso de autenticación PPP entre el usuario remoto y el LNS. A

67 3.2. L2TP-PROTOCOLODETÚNELDECAPA2 51 continuación se inicia el envío de paquetes NCP para elegir y configurar unoomásprotocolosdered: Ej.:IPCPparaindicarqueelprotocoloderedesIP. Ej.:ECPparaencriptarlastramasdelaconexiónPPPentreelusuario remotoyellns. 4 Envío de datos de usuario: el usuario puede empezar el envío de datos a través del túnel. Estos datos van cifrados. 5 Descifrado de los datos por el LNS: el LNS recibe los datos, los descifraylosentregaalaredcorporativa.siellnsenvíainformación alusuariotambiénlacifraantesdeenviarlaatravésdeltúnel Comparativa Entre PPTP y L2TP ConPPTP,elcifradodedatoscomienzadespuésdequelaconexiónse procese(y, por supuesto, después de la autentificación PPP). Con L2TP, el cifrado empieza antes de la conexión PPP negociando una asociación de seguridad IPSec. LasconexionesPPTPusanMPPE,unmétododecifradobasadoenel algoritmo de encriptación Rivest-Shamir-Aldeman (RSA) RC-4, y usa llavesde40,56o128bits.lasconexionesl2tpusandataencryption Standard (DES),conllavesde56bitsparaDESotresllavesde56bits para3-des.losdatossecifranenbloques(bloquesde64bitsparael caso de DES). Las conexiones PPTP requieren sólo autentificación a nivel de usuario a través de un protocolo de autentificación basado en PPP. Las conexiones L2TP / IPSec requieren el mismo nivel de autentificación a nivel de usuario y, además nivel de autentificación de máquina usando certificados digitales. PPTP requiere que el tránsito entre - redes sea una Internetwork IP. L2TP únicamente requiere que los medios de túnel proporcionen conectividad de punto a punto orientada al paquete. L2TP puede ejecutarse sobre IP(usando UDP), Frame Relay, X.25, ATM. PPTP sólo puede soportar un túnel entre dos puntos extremos. L2TP permite el uso de túneles múltiples entre puntos extremos.

68 52 CAPÍTULO 3. PROTOCOLOS VPN L2TP proporciona autenticación de túnel, mientras que PPTP no lo hace, sin embargo, cuando ya sea que PPTP o L2TP se ejecute sobre IPSec, la autenticación de túnel es proporcionada por IPSec para que no sea necesaria la autenticación de túnel nivel Problemas de L2TP A pesar de que L2TP ofrece un acceso económico, con soporte multiprotocolo y acceso a redes de área local remotas, no presenta unas características criptográficas especialmente robustas. Por ejemplo: Sólo se realiza la operación de autenticación entre los puntos finales del túnel, pero no para cada uno de los paquetes que viajan por él. Esto puede dar lugar a suplantaciones de identidad en algún punto interior al túnel. Sin comprobación de la integridad de cada paquete, sería posible realizar un ataque de denegación del servicio por medio de mensajes falsos de control que den por acabado el túnel L2TP o la conexión PPP subyacente. L2TPnocifraenprincipioeltráficodedatosdeusuario,locualpuede dar problemas cuando sea importante mantener la confidencialidad de los datos. A pesar de que la información contenida en los paquetes PPP puede ser cifrada, este protocolo no dispone de mecanismos para generación automática de claves, o refresco automático de claves. Esto puede hacer quealguienqueescucheenlaredydescubraunaúnicaclavetengaacceso a todos los datos transmitidos[5] IPSec(Internet Protocol Security) El estandar reconocido para conexiones VPN En IPv4 no se desarrollaron mecanismos de seguridad inherentes al protocolo, por tanto, protocolos y procedimientos adicionales a IPv4 fueron necesariosparabrindarserviciosdeseguridadalosdatos.ipsec[6]esunconjunto de protocolos diseñados para proveer una seguridad basada en criptografía robustaparaipv4eipv6,dehechoipsecestáincluidoenipv6.

69 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 53 Entre los servicios de seguridad definidos en IPSec se encuentran, control de acceso, integridad de datos, autenticación del origen de los datos, protección antirepetición y confidencialidad en los datos. Entre las ventajas de IPSec están la modularidad del protocolo, ya que no depende de un algoritmo criptográfico específico Componentes de IPSec IPSecestá compuesto por tres componentes básicos: los Protocolos de Seguridad (AH y ESP), las Asociaciones de Seguridad (SAs) y las Bases de DatosdeSeguridad;cadaunodeloscuales,trabajadelamanoconlosdemás y ninguno le resta importancia al otro. Protocolos de Seguridad IPSec es un conjunto de protocolos que provee varios servicios de seguridad. Esos servicios de seguridad trabajan gracias a dos protocolos, el Authentication Header (AH)[4] y el Encapsulating Security Payload (ESP)[7], y también al uso de protocolos y procedimientos para el manejo de llaves criptográficas tales como IKE(Internet Key Exchange Protocol)[8]. El éxito de una IKE es un protocolo que permite a dos entidades IPSec negociar dinámicamente sus servicios de seguridad y sus llaves de cifrado al igual que la autenticación de la sesión misma implementación IPSec depende en gran medida de una adecuada escogencia del protocolo de seguridad y de la forma como se intercambian las llaves criptográficas. AH es un protocolo que añade una nueva cabecera justo después de la cabecera IP original. AH provee autenticación del origen de los datos e integridad de los mismos, también provee integridad parcial para prevenir ataques de repetición. Este protocolo es apropiado cuando se requiere autenticación en vez de confidencialidad. ESP provee confidencialidad para el tráfico IP, al igual que autenticación talcualcomolohaceah,perosólounodeestosserviciospuedeserproporcionado por ESP al mismo tiempo. Asociaciones de Seguridad(SAs) UnaSAdefinelas medidas de seguridad quedeberíanseraplicadasalos paquetesipbasadosenquiénlosenvía,haciadóndevanyquétipodecarga útil ellos transportan. El conjunto de servicios de seguridad ofrecidos por una

70 54 CAPÍTULO 3. PROTOCOLOS VPN SAdependendelosprotocolosdeseguridadydelmodoenelcualellosoperan definidos por la SA misma. La figura 3.6 de la página 54 muestra los dos modos en los cuales un protocolo de seguridad puede operar: transporte y túnel; la diferencia radica enlamaneracomocadaunodeellosalteraelpaqueteiporiginal. El modo de transporte es diseñado para proteger los protocolos de capas superiores tales como TCP y UDP. Enmodotúnel,elpaqueteIPoriginalseconvierteenlacarga útil deun nuevo paquete IP. Esto le permite al paquete IP inicial, ocultar su cabecera IP para que sea encriptada, considerando que el paquete IP externo sirve de guíaalosdatosatravésdelared. Las SAs pueden ser negociadas entre dos entidades IPSec dinámicamente, paralocualsebasanenpolíticasdeseguridaddadasporeladministradordel sistema o estáticamente especificadas por el administrador directamente. Figura 3.6: Formato de Trama IPSec en Modo Transporte y Túnel. Una SA es únicamente identificada por tres parámetros: una dirección IP de destino, un identificador del protocolo de seguridad y un índice del parámetro deseguridad (SPI).LadirecciónIPdedestinoesaquellaporlacualseidentificaelpuntofinaldelaSA,elSPIesunnúmerode32bitsusualmenteescogido porelpuntofinaldedestinodelasayquesólotienesignificadolocaldentro

71 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 55 de ese punto destino. El identificador del protocolo de seguridad es un número conelcualsedefinecadaunodeellos,51paraaho50paraesp. Como se nota, la dirección IP del origen no se usa para definir una SA, estodadoqueunasasedefineentredoshostsogatewaysparadatosenviados en una sola dirección, de aquí que, si dos dispositivos necesitan intercambiar información en ambas direcciones usando IPSec, requerirán de dos SAs, una para cada sentido. Enmododetransporte,lacabeceraIPoriginalsemantieneintactayuna cabeceradeseguridadescolocadaentrelacabeceraipmismaysucargaútil. La cabecera IP original es modificada para que el receptor del paquete entienda queantesdelacargaútilseencuentraunacabeceradeseguridad.enmodo túnel, el paquete IP original se convierte en la carga útil de un paquete IP encapsulado. La cabecera IP nueva le indica al receptor del paquete que una cabecera de seguridad se encuentra a continuación de ella Bases de Datos de Seguridad IPSectrabajacondosbasesdedatosdeseguridad,enunaseencuentranlas políticas de seguridad y en la otra las asociaciones de seguridad, SPD(Security Policy Database) y SAD(Security Association Database) respectivamente. El administrador de políticas define un conjunto de servicios de seguridad para ser aplicados al tráfico IP tanto entrante como saliente. Esas políticas son guardadasenlasspdsysonusadasporlassascuandoéstassecrean.todas lassassonregistradasenlasad. Bases de Datos de Asociaciones de Seguridad(SAD) La base de datos de asociaciones de seguridad almacena todos los parámetrosconcernientesalassa s,cadaunadeellastieneunaentradaenlasad donde se especifican todos los parámetros necesarios para que IPSec realice el procesamiento de paquetes IP que son gobernados por esa SA. Entre los parámetros que se encuentran en una SAD se tienen: El índice de parámetro de seguridad. ElprotocoloaserusadoporlaSA(ESPoAH). Elmodoenelcualelprotocoloesoperado(túnelotransporte). Un contador numérico secuencial.

72 56 CAPÍTULO 3. PROTOCOLOS VPN LadirecciónIPfuenteydestinodelaSA. El algoritmo de autenticación y la llave de autenticación usadas. EltiempodevidadelaSA. Para el procesamiento de los paquetes IP entrantes una SA apropiada es encontrada en la SAD tal que concuerde con los siguientes tres valores: la dirección IP destino, el tipo de protocolo IPSec y el SPI. La dirección IP de destinoyeltipodeprotocoloipsecsonobtenidosdelacabeceraipyelspise obtienedelacabeceraahoesp.siunasaesencontradaparaelpaqueteip entrante en mención, éste es procesado de acuerdo a los servicios de seguridad especificados. Luego se aplican al paquete todas las reglas descritas en la SPD paralasaquelogobierna. Para el procesamiento de paquetes IP salientes, primero se aplica el procesamiento relacionado con la SPD. Si se encuentra una política para el paquete de salida que especifique que un procesamiento IPSec es necesario, la SAD es buscada para determinar si una asociación de seguridad ha sido previamente establecida. Base de Datos de Políticas de Seguridad(SPD) Unabasededatosdepolíticasdeseguridad esunalistaordenadadepolíticas de seguridad a ser aplicadas a los paquetes IP. Dichas políticas son en general reglas que especifican cómo los paquetes IP deben ser procesados. La SPD es mantenida por el administrador del dispositivo IPSec. Una entrada SPD tiene dos componentes: un juego de selectores y una acción. Los selectores clasifican un paquete IP sobre una acción. Un selector es unparámetroyelvalororangodevaloresparaesteparámetro.losparámetros generalmente se encuentran dentro de una de estas dos categorías: Aquellos que se encuentran dentro de un paquete IP, tales como, la dirección IP, número de protocolo y números de puertos de capas superiores. Aquellos que se derivan de la credencial de autenticación de una entidad de comunicación, tales como, una dirección de correo o un nombre distinguido DN(Distinguished Names) en certificados digitales. Diferentes operadores lógicos como AND, OR y NOT pueden ser aplicados a las políticas para combinar más de un selector.

73 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 57 Cuando un paquete IP contiene valores que concuerdan con los especificadosporalgúnselectordeunaentrada,laacciónqueseespecificaendicha entrada es aplicada al paquete. Hay tres opciones: aplicar el servicio de seguridadipsec,descartarelpaqueteipopermitirqueelpaqueteipomitael procesamiento IPSec. Lafigura3.7delapáginas57muestraunaentradaenunabasededatos de políticas de seguridad para un paquete entrante y saliente, claramente se notan las partes quecomponen un selector comolosonlos parámetros y su correspondiente valor, al frente se encuentra la acción que IPSec tomaría si los paquetes IP concuerdan con los valores de los selectores. Figura3.7:EjemplodeunaEntradadeBasedeDatosdePolíticasdeSeguridad. LaSPDtrataaltráficosalienteyentrantedemaneraseparada,estoes,que se deben aplicar políticas de seguridad distintivas de entrada y de salida por cadainterfazdered.cuandounpaqueteip llegaaunainterfazderedipsec primero busca en la SAD la apropiada SA, cuando la encuentra, el sistema inicia los procesos SAD y SPD. Después del procesamiento SPD, el sistema reenvía el paquete al siguiente salto o le aplica procedimientos adicionales tales como las reglas de algún firewall.

74 58 CAPÍTULO 3. PROTOCOLOS VPN Authentication Header(AH) El AH(Protocolo de Cabecera de Autenticación) es usado para propósitos de autenticación de la carga útil IP a nivel de paquete por paquete, esto es autenticacióndelaintegridaddelosdatosydelafuentedelosmismos.como el término autenticación indica, el protocolo AH se asegura que los datos entregados dentro del paquete IP son auténticos, es decir, que han arribado a su destino sin ninguna modificación. AH también provee de un mecanismo de protección opcional antirepetición de paquetes IP. Sin embargo, AH no protege laconfidencialidad delosdatos,esdecir,norecurreaningúntipodecifrado de los mismos. ElprotocoloAHdefinecómounpaqueteIPsinprotecciónesconvertidoen uno nuevo que contiene información adicional y que brinda autenticación. El elemento fundamental usado por AH es una cabecera de autenticación como se muestra en la figura 3.8 de la pág. 59. El nuevo paquete IP es formado insertando la cabecera de autenticación, bien sea, después de la nueva cabecera IP o después de la cabecera IP original modificada según sea el modo en el cual trabaje la SA. Cuando la cabecera de autenticación es insertada, la cabecera IP que la precede deberá indicar que la próxima cabecera que se encuentra es la cabecera de autenticación y no la carga útil del paquete original. La cabecera IP realiza esta acción colocando el campo Protocolo en el valor 51 (valor de protocolo paraah). La cabecera de autenticación contiene seis campos: NextHeader:identificaeltipodeprotocolodelacargaútildelpaquete IP original. Payload Len: especifica la longitud de la cabecera de autenticación(no confundir con cabecera original del paquete IP). Reserved: se encuentra reservado para uso futuro, actualmente debe serpuestoen0. Security Parameter Index: es un número arbitrario de 32 bits. Este valoresusadojuntoconladirecciónipdedestinoyeltipodeprotocolo IPSec (en este caso, AH) únicamente para identificar la SA para este paquete IP. Sequence Number: es un campo de 32bits que mantiene un incremento monotónico de la secuencia de paquetes IPSec.

75 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 59 Figura 3.8: Cabecera de Autenticación AH.

76 60 CAPÍTULO 3. PROTOCOLOS VPN Authentication Data: es un campo de longitud variable que contiene el valor de chequeo de integridad ICV(Integrity Check Value) para este paquete IP. Hay que tener en cuenta, que la autenticación no puede ser aplicada sobre lacabeceraenteradel paqueteip, yaquealgunoscampos dela cabecera IP original cambian durante el transito por Internet. Esos campos son llamados Campos Mutables, y son: Type of service(tos). Fragment offset. Fragmentation flags. Time to live(ttl). Header checksum. Pararealizarelprocesodeautenticación,elemisorcalculaelICVyloubica enelcampoauthenticationdata.elicvesunvalorhash computadosobre todos los campos que la autenticación incluye. La llave secreta es negociada durante el establecimiento de la SA. La autenticación de un paquete recibido esverificadacuandoelreceptorcalculaelvalorhashylocomparaconelicv del paquete entrante. Si el paquete IP no es autenticado exitosamente entonces es descartado Encapsulating Security Payload- ESP El protocolo ESP(Encapsulating Security Payload) provee autenticación, confidencialidad de los datos por medio de cifrado y una protección opcional antirepetición para los paquetes IP. La autenticación y el cifrado son también opcionales, pero al menos una de ellas debe ser empleada; de lo contrario, este protocolo carecería de fundamento. La confidencialidad es lograda por medio de técnicas de cifrado. Los algoritmos de cifrado empleados para los paquetes IP son definidos por la SA sobre la cual los paquetes son enviados. En este caso, ESP solamente presta el serviciodeautenticaciónparael tráfico. Al igual queconahvarioscampos adicionales son insertados en el paquete IP para que presten los servicios mencionados anteriormente.

77 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 61 Muchos de esos campos tienen el mismo significado que en AH, pero la diferenciaesqueéstosseencuentranalolargodelpaqueteip,algunosenla cabeceraesp,otroseneltrailerespyotroestaenelsegmentodeautenticaciónesp.lafigura3.9delapág.61muestralaconformacióndeunpaquete IPdespuésquesehaprocesadoconelprotocoloESP,seobservanlaubicación deloscamposdentrodecadaunodelossegmentosdelnuevopaquete. Figura 3.9: Nuevo Paquete IP Procesado con ESP. LacabeceraESPseencuentradespuésdelanuevacabeceraIPodespuésde la cabecera IP original modificada, esto dependiendo del modo. El trailer ESP se encuentra al final del paquete IP original y el segmento de autenticación ESP se encuentra después del trailer. Si la autenticación no es aplicada, el segmento de autenticación ESP no es añadido. Si el cifrado es aplicado, cada unadelaspartesdesdeelfinaldelacabeceraesphastaelfinaldeeltrailer ESPsonencriptadas(verfigura3.10delapágina62). AligualqueenelprotocoloAH,loscamposSPI,SequenceNumber,Next Header y Authentication Data, se encuentran definidos a lo largo del nuevo paquete IP. También se encuentran otros dos campos, el campo Padding es usadopararellenarlosdatosaserencriptadosycompletarunlímitede4bytes, portantoestecampoesdelongitudvariable.elcampopadlenespecificala longitud del relleno para poder luego ser eliminado después de que los datos son desencriptados.

78 62 CAPÍTULO 3. PROTOCOLOS VPN Figura 3.10: Funcionamiento del Protocolo IPSec. Modo Transporte Enelmodotransporte,lacabeceraESPesinsertadaentrelacabeceraIP y la carga útil original, y los segmentos trailer y de autenticación ESP son añadidos si son necesarios. Si el paquete está siendo sujeto de un segundo proceso de encapsulamiento ESP, la nueva cabecera ESP es puesta después de la primera y los segmentos trailer y de autenticación son añadidos después de losprimeroscamposdesumismoítem.dadoquelacabeceraiporiginalsigue sin alteraciones, el modo de transporte para el protocolo ESP, al igual que en AH, solamente puede ser usado entre hosts. El modo de transporte es el más usado cuando no es necesario ocultar o autenticar las direcciones IP tanto de la fuente como del destino. En la gráfica 3.11 de la pág. 63 se detalla la conformación del nuevo paquete IP usando ESP en modo transporte, además semuestralapartedelpaquetequepuedeserencriptadaylapartedelpaquete que puede ser autenticada. Modo Túnel En modo túnel, el paquete IP original enteramente es encapsulado dentro de un nuevo paquete IP. En la figura 3.12 de la pág. 63 se muestra cómo la nuevacabeceraipylacabeceraespsonpuestasalcomienzodelpaqueteip original, y los segmentos trailer y de autenticación ESP son añadidos al final del mismo. Si el túnel se encuentra establecido entre hosts, las direcciones IP

79 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 63 Figura 3.11: Protocolo IPSec en Modo Transporte. fuente y de destino, en la nueva cabecera IP pueden ser las mismas que en la cabecera original. Si el túnel se encuentra establecido entre dos gateways de seguridad, las direcciones en la nueva cabecera IP serán las direcciones de los gateways. Ejecutando ESP en modo túnel entre gateways de seguridad se puede lograr tanto confidencialidad como autenticación del tráfico en tránsito entre los dos gateways. Figura 3.12: Protocolo IPSec en Modo Túnel Internet Key Exchange- IKE UnconceptoesencialenIPSecesel deasociacióndeseguridad(sa)que consiste en un canal de comunicación unidireccional que conecta dos nodos, a través del cual fluyen los datagramas protegidos mediante mecanismos criptográficos acordados previamente. Al identificar únicamente un canal unidi-

80 64 CAPÍTULO 3. PROTOCOLOS VPN reccional, una conexión IPSec se compone de dos SAs, una por cada sentido de la comunicación. Hasta el momento se ha supuesto que ambos extremos de una asociación deseguridaddebentenerconocimientodelasclaves,asícomodelrestodela información que necesitan para enviar y recibir datagramas AH o ESP. Tal como se ha indicado anteriormente, es necesario que ambos nodos estén de acuerdo tanto en los algoritmos criptográficos a emplear como en los parámetros de control. Esta operación puede realizarse mediante una configuración manual, o mediante algún protocolo de control que se encargue de la negociación automática de los parámetros necesarios; a esta operación se le llama negociación de SAs. ElIETFhadefinidoelprotocoloIKEpararealizartantoestafunciónde gestión automática de claves como el establecimiento de las SAs correspondientes. Una característica importante de IKE es que su utilidad no se limita aipsec,sinoqueesunprotocoloestándardegestióndeclavesquepodríaser útil en otros protocolos, como, por ejemplo, OSPF o RIPv2. IKE es un protocolo híbrido que ha resultado de la integración de dos protocolos complementarios: ISAKMP y Oakley. ISAKMP define de forma genérica el protocolo de comunicación y la sintaxis de los mensajes que se utilizanenike,mientrasqueoakleyespecificalalógicadecómoserealizade formaseguraelintercambiodeunaclaveentredospartesquenoseconocen previamente[9]. El objetivo principal de IKE consiste en establecer una conexión cifrada y autenticada entre dos entidades, a través de la cual se negocian los parámetros necesarios para establecer una asociación de seguridad IPSec. Dicha negociaciónsellevaacaboendosfases: Fase1 La fase común a cualquier aplicación, en la que ambos nodos establecen un canal seguro y autenticado. Dicho canal seguro se consigue mediante el uso de un algoritmo de cifrado simétrico y un algoritmo HMAC. Las claves necesarias sederivandeunaclavemaestraqueseobtienemedianteunalgoritmodeintercambio de claves Diffie-Hellman. Este procedimiento no garantiza la identidad de los nodos, para ello es necesario un paso adicional de autenticación. Existen varios métodos de autenticación, los dos más comunes se describen a continuación: 1. Secreto compartido: como su propio nombre indica, es una cadena de caracteres que únicamente conocen los dos extremos que quieren es-

81 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 65 tablecer una comunicación IPSec. Mediante el uso de cada extremo demuestraalotroqueconoceelsecretosinrevelarsuvalor;asílosdosse autentican mutuamente. Para no debilitar la seguridad de este mecanismo de autenticación, debe configurarse un secreto distinto para cada pardenodos,porloqueelnúmerodesecretoscrecemuyrápidamente cuandoaumentaelnúmerodenodos.porestarazónenentornosenlos que se desea interconectar muchos nodos IPSec la gestión de claves es muy complicada. 2. Certificados digitales: esta implementación soluciona el problema anterior. En los estándares IPSec está previsto el uso de un método de autenticación que se basa en utilizar certificados digitales X509v3. El uso de certificados permite distribuir de forma segura la clave pública decadanodo,demodoqueéstepuedeprobarsuidentidadmediantela posesión de la clave privada y ciertas operaciones de criptografía pública. La utilización de certificados requiere de la aparición de un elemento más en la arquitectura IPSec, la PKI(Infraestructura de Clave Pública). Fase 2 EnlasegundafaseelcanalseguroIKEesusadoparanegociarlosparámetros de seguridad específicos asociados a un protocolo determinado, en nuestro caso IPSec. Durante esta fase se negocian las características de la conexión ESP o AH y todos los parámetros necesarios. El equipo que ha iniciado la comunicación ofrecerá todas las posibles opciones que tenga configuradas en su política de seguridad y con la prioridad que se hayan configurado. El sistema receptor aceptará la primera que coincida con los parámetros de seguridad que tenga definidos. Asimismo, ambos nodos se informan del tráfico que van a intercambiarseatravésdedichaconexión.enlafigura3.13delapág.66serepresenta de forma esquemática el funcionamiento del protocolo IKE y el modo en que seobtieneunaclavedesesión,queeslaqueseutilizaparaprotegerlasconexionesespoah Arquitecuras VPN con IPsec Intranet VPN con IPsec En la actualidad, incluso las organizaciones más pequeñas disponen de una infraestructura informática que consta de una red local con varios PCs que usan una variedad de aplicaciones y protocolos para los que es imposible

82 66 CAPÍTULO 3. PROTOCOLOS VPN Figura 3.13: Negociación de Llaves en IKE. o muy costoso añadir mecanismos de seguridad. Sin embargo, todo el tráfico deestaredlocal estábasadoenipopuedeserencapsuladoenip,demodo que la instalación de un gateway IPSec es la mejor solución para garantizar la seguridad de las comunicaciones de la oficina con el exterior. Como puede observarseenlafigura3.14delapágina67,eshabitualquelasoficinasdeuna organización, debido a su elevado número, presenten una gran diversidad de tecnologías de acceso. Para grandes empresas con presencia multinacional y oficinas dispersas en muchos países esta diversidad será mayor, de forma que incluso podría plantearse la conexión de algunas oficinas directamente a través de Internet. En cualquier caso, IPSec garantiza la protección de las comunicaciones con independencia de la tecnología de acceso empleada. En el mercado están disponibles gateways IPSec comerciales que incorporan la posibilidad de configuración redundante y el establecimiento de túneles simultáneos o más. Estas prestaciones son suficientes incluso para las organizaciones más grandes. Acceso Remoto con IPSec Mediante la instalación de un software en el PC, denominado cliente IPSec, es posible conectar remotamente equipo móviles(o PC remota) a la red local de la corporación de forma totalmente segura. El uso del estándar IPSec per-

83 3.3. IPSEC(INTERNET PROTOCOL SECURITY) 67 Figura 3.14: IPsec Sobre Distintas Redes. mite garantizar la confidencialidad y la autenticación de las comunicaciones extremoaextremo,demodoqueestasolucióndeaccesoremotoseintegraperfectamente con los sistemas de seguridad de la red corporativa. La variedad de sistemas operativos no supone dificultad alguna, ya que todos los sistemas operativos Windows a partir de su versión 2000, Solaris (a partir de versión 8), Linux, etc., incluyen este cliente IPSec. Asimismo, existen aplicaciones de cliente IPSec, tanto comerciales como de libre distribución. Incluso existe un cliente IPSec para Palm Pilot. Para garantizar la seguridad de esta solución y evitar intrusiones, como las que han afectado a Microsoft y otras corporaciones enelpasado,esnecesariocomplementarlatecnologíaipsecconeluso,enlos equipos remotos, de cortafuegos personales y autenticación fuerte mediante certificados digitales X.509 residentes en tarjeta inteligente. Desdeelpuntodevistadeladministradordelaredinformáticadelacorporación, los requisitos prioritarios serán la facilidad de gestión y la necesidad deautenticardeformafiableacadausuario.laintegracióndeipsecconuna infraestructura de clave pública(pki) proporciona una respuesta adecuada a estos requisitos. Extranet VPN con IPSec En un escenario Extranet VPN la interoperabilidad que ofrece el estándar IPSec es una ventaja clave frente a otras soluciones; cada empresa comprará

84 68 CAPÍTULO 3. PROTOCOLOS VPN equipos de fabricantes distintos, pero todos ellos podrán conectarse de forma segura utilizando IPSec como lenguaje común, dado que es una tecnología avalada por estándares internacionales, garantiza la interoperabilidad entre los equipos de distintos fabricantes y proporciona el más alto nivel de seguridad gracias a las técnicas criptográficas más modernas. Una Extranet VPN puede llevarse a cabo perfectamente usando IPSec; para ello se requiere la instalación de un gateway IPSec en cada uno de los puntos de presencia de la extranet, mientras que el equipamiento de los usuariosremotos sereduceaunpcportátil(opcremota)conunclienteipsec Limitaciones de IPSec SibienpodríalograrVPNseguras,laconectividadremotaydesitioasitio ha demostrado ser insuficiente en una gran cantidad de escenarios, debido principalmente a las siguientes limitaciones: IPSec VPN es costoso, las instalaciones de clientes consumen tiempo, carecen de la flexibilidad necesaria para proporcionar seguridad de acceso remoto a empleados, clientes y socios. Para los usuarios remotos que intentan conectarse a los recursos corporativos, IPSec VPN puede plantear dificultades en que se les permita cruzar algunos cortafuegos corporativo. Esto no es un problema sólo cuando la mayoría de las empresas tienen sus mismos puertos abiertos, entrantes ysalientes,quepuedennosersiempreelcaso. IPSec VPN son programas completos y, por tanto, son grandes, generalmentede0,1a8megabytes.estosignificaqueladescargaeslentayque no funcionan bien en pequeños dispositivos como PDAs y Blackberry VPN-SSL Combinar seguridad y sencillez es lo que prometen las Redes Virtuales Privadas basadas en SSL LatecnologíaVPN-SSL(óSSL-VPN)naciódelasnecesidadesdelasempresas que surgen a causa de estos problemas y limitaciones. Esto significó un cambio de paradigma en la propia percepción de la seguridad, acceso remoto, el objetivo de una VPN de acceso remoto ya no era sólo la construcción de los túneles de acceso seguro entre dispositivos remotos y redes de confianza,

85 3.4. VPN-SSL 69 sino proporcionar a los usuarios autenticados autorizados y con acceso a la información confidencial. La introducción de VPN-SSL trajo una revolución hacia la transparencia en la entrega de soluciones de acceso remoto VPN. Los objetivos iniciales de la primera generación de VPN-SSL son facilitar elaccesoatravésdecortafuegos yunasolucióndeaccesoremotoquetrabaja desde cualquier lugar independientemente de los dispositivos NAT s y un clientes VPN s. Tradicionalmente IP(IPSec) entre otras, requiere la instalación de software cliente un equipo remoto para poder establecer una conexión, mientras que SSL-VPN cliente no necesita instalación y ofrece la funcionalidad de un VPN clientes o Web VPN. Los usuarios pueden tener acceso a las aplicaciones o archivos compartidos sólo con navegadores web estándares, esta es sin dudas unadelasmayoresventajasdeestatecnología(sedicequesiexisteconexión HTTPS entonces debe funcionar). Para las empresas, SSL-VPN ofrece versatilidad, facilidad de uso, seguridad y acceso remoto desde cualquier lugar a socios y clientes, usando los más variados dispositivos como computadoras portátiles, dispositivos móviles, equipos de casa y público. Las implementaciones por software más comunes bajo esta tecnología son SSTP (Secure Socket Tunneling Protocol) de Microsoft y OpenVPN del movimiento Open Sourse, mientras que por hardware hoy en día existen muchos dispositivos que la soportan SSL/TLS Secure Sockets Layer/Transport Layer Security TLS(Transport Layer Security- Seguridad de la Capa de Transporte) es el sucesor del SSL(Secure Sockets Layer). Ambos protocolos se utilizan para proporcionar comunicaciones seguras en Internet, usando un modelo de autenticación y privacidad de la información entre extremos sobre Internet mediante criptografía. Esto es fundamental para mantener la seguridad en el comercio vía Internet. SSL fue diseñado de manera modular (extensible), con soporte para compatibilidad hacia delante y hacia atrás y negociación entre las partes(peer-topeer).laversión3.0delsslfuédesarrolladapornetscapeen1996,quefuéla base para desarrollar la versión 1.0 del TLS, protocolo estándar IETF definido enelrfc2246porprimeravez.elobjetivodenetscapeeracrearuncanalde comunicaciones seguro entre un cliente y un servidor que fuese independiente del sistema operativo usado por ambos, y que éstos se beneficiaran de forma dinámicayflexibledelosnuevosadelantosenmateriadecifrado,amedidade

86 70 CAPÍTULO 3. PROTOCOLOS VPN que éstos estuvieran disponibles. SSL fue diseñado como un protocolo seguro de propósito general, existen pequeñas diferencias entre SSL 3.0 y TLS 1.0, pero el protocolo permanece sustancialmente igual. El término SSL según se usaenestetrabajo,seaplicaaambosprotocolos(sslytls)amenosqueel contexto indique lo contrario. Normalmente, en SSL sólo el servidor es autenticado(es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (PKI) para los clientes. Esta tecnología permite permiten a las aplicaciones clienteservidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsicación de la identidad del remitente y mantener la integridad del mensaje. Las primeras implementaciones de SSL sólo podían usar claves simétricas de 40 bits como máximo, ya que el gobierno de los EEUU imponía restricciones sobre la exportación de tecnología criptográfica. Esta clave era de 40 bits ya que las agencias de seguridad nacional americanas podían atacarla mediante fuerza bruta y poder leer así el tráfico cifrado, mientras que los posibles atacantes con menores recursos no podrían leerlo. Finalmente, después de diferentes juicios y la aparición de mejores productos criptográficos diseñados en otros países, se rebajaron las restricciones de exportación de tecnología criptográfica, desapareciendo casi por completo la limitación de claves de 40 bits.actualmenteseusanclavesde128bits,oinclusomás,paralasclavesde cifrado simétricas. Las implementaciones actuales proporcionan las siguientes opciones: Para criptografía de clave pública: RSA, Diffie-Hellman, DSA(Digital Signature Algorithm) o Fortezza. Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES o AES(Advanced Encryption Standard). Confuncioneshash:MD5odelafamiliaSHA Arquitectura de SSL SSL trabaja sobre el protocolo TCP y por debajo de protocolos como HTTP,IMAP,LDAP,etc.,ypuedeserusadoportodosellosdeformatransparenteparaelusuario.Operaentrelacapadetransporte ylacapadesesión delmodeloosi(oentrelacapadetransporteyladeaplicacióndelmodelo

87 3.4. VPN-SSL 71 TCP-IP)yestáformado,asuvez,pordoscapasycuatrocomponentesbien diferenciados(ver figura 3.15 de la página 71). Figura 3.15: Estructura de Protocolos del Protocolo SSL. El protocolo de registro(record Protocol) se encarga de encapsular el trabajo de los elementos de la capa superior, construyendo un canal de comunicaciones entre los dos extremos objeto de la comunicación. El verdadero corazón de SSL está en el protocolo de Handshake que es el encargado de intercambiar la clave que se utilizará para crear un canal seguro mediante un algoritmo eficiente de cifrado simétrico. También es responsabilidad de este protocolo coordinar los estados de ambos extremos de la transmisión. El protocolo de Alerta es el encargado de señalizar problemas y errores concernientes a la sesión SSL establecida. Por último, el Change Cipher Spec Protocol está formado por un único mensajeconsistenteenunúnicobytedevalor1yseutilizaparanotificarun

88 72 CAPÍTULO 3. PROTOCOLOS VPN cambio en la estrategia de cifrado Funcionamiento Básico de SSL El protocolo de Handshake es el encargado de negociar los atributos de la sesión SSL que permitirán construir un canal seguro de comunicaciones. En primer lugar el cliente envía un mensaje Client Hello al servidor el cual debe de responder con un mensaje similar de Server Hello. Estos mensajes son utilizados para dar a conocer ciertas características de ambos: versión del protocolo usada, algoritmos de cifrado conocidos y preferidos, funciones hash y métodos de compresión a utilizar. En este momento, además, el servidor asigna un identificador a la sesión y se hace constar la fecha y hora de la misma. Generalmente el servidor, que es el segundo en contestar, elige los algoritmos másfuertesdeentrelossoportadosporelcliente.sinohayacuerdoeneste puntoseenvíaunmensajedeerroryseabortalasesión. A continuación del mensaje de Server Hello, el servidor puede envíar su Certificado(típicamente un X.509) de forma que sea autenticado por el cliente yque,además,esterecibasuclavepública.sinoesasí,leenvíaalclientesu clave pública mediante un mensaje de Server Key Exchange (o también si ha enviado su Certificado y este es únicamente para firma y autenticación). Está claroquealmenosunodeestosdosmensajesesnecesarioparaestablecerel canal seguro. Un último mensaje que puede enviar el servidor en esta fase de negociación es una solicitud de certificado al cliente. Por último, la fase concluyeconelenvío,porpartedelservidor,deunmensajedeserverhello Done. Si el Servidor ha solicitado su certificado al cliente, este debe de responder conéloconunmensajedealertaindicandoquenoloposee.acontinuaciónse envíaunmensajedeclientkeyexchangedondeelclienteenvíaalservidorla clave maestra cifrada mendiante la clave pública, además un número aleatorio generado por él y que actuará como clave del algoritmo simétrico acordado para el intercambio de datos. Por último, si el cliente ha enviado un certificado y éste tiene capacidades de firma, enviará adicionalmente un mensaje de Certificate Verify firmado digitalmente con objeto de que el servidor pueda verificar que la firma es válida.enestepuntoelclientedaporconcluidalafasemedianteunmensaje de Change Cipher Spec seguido, inmediatamente, de un mensaje de Finished que ya va cifrado mediante los algoritmos y claves recién negociados. En respuesta, el servidor envía su propio mensaje de Change Cipher Spec y, a continuación, su mensaje de Finished cifrado con los parámetros negociados.

89 3.4. VPN-SSL 73 En este momento finaliza la fase de Handshake y cliente y servidor pueden intercambiar datos libremente. Podemos ver un esquema de este intercambio demensajesenlafigura3.16delapágina73: Figura 3.16: Intercambio de Mensajes en SSL. Durante la transmisión de datos los mensajes el protocolo de registro se encarga de fragmentar y comprimir cada mensaje, para luego aplicarle una funciónhash acadaunodelosbloques,procesoconelcuálpretendeasegurar la integridad de los mismos. Por último realiza el cifrado de los datos y los envia.al otro extremo donde el mismo protocolo realizará un proceso inverso de reconstrucción. Una sesión SSL puede comprender múltiples conexiones. Adicionalmente, se pueden establecer múltiples sesiones SSL simultaneas, cada una de ellas es controlada por una máquina de control de estados.

90 74 CAPÍTULO 3. PROTOCOLOS VPN Aplicaciones e Implementaciones de SSL UnadelasventajasdeSSLesqueesindependientedelprotocolodeaplicación, ya que es posible ubicarlo por encima del mismo en forma transparente. Este protocolo tiene multitud de aplicaciones en uso actualmente, la mayoría de ellas son versiones seguras de programas que emplean protocolos que no lo son. Hay versiones seguras de servidores y clientes de protocolos como el HTTP(HTTPS en este caso), NNTP, LDAP, IMAP, POP3, etc. Existen multitud ssnde implementaciones del protocolo, tanto comerciales como de libre distribución, una de las más populares es la biblioteca OpenSSL, que constituye la base del software OpenVPN, disponible bajo licencia GNU. El lenguaje Java también incluye soporte para el protocolo con la Extensión de Sockets Seguros de Java(JSSE). Cada una de las aplicaciones SSL tiene las siguientes propiedades: Privada:despuésdeunprocesoinicialdehandshakeenelcualsedefine una clave secreta, se envía la información encriptada por medio de algún método simétrico(des, RC4). Segura: aporta identidad de cada extremo, es autenticada usando métodos de cifrado asimétricos o de clave pública(rsa, DSS). Confiable: el transporte del mensaje incluye un control de la integridad delmismousandounamaccifradaconshaymd Conceptos y Técnicas de VPN-SSL El acceso remoto seguro basado en SSL aglutina diversas tecnologías, basados en cuatro conceptos básicos: Proxy: todos los dispositivos y software SSL-VPN ofrecen al menos la función de proxy de páginas Web. Cuando el usuario se conecta a un servidor Web, éste descarga la página solicitada y se la envía a su navegador sobre una conexión SSL. Conversión de aplicaciones: las cosas se complican cuando se trata decualquierotrosdatosquenoseanunapáginaweb.surgeentoncesla conversión de aplicaciones. Cuando, por ejemplo, los dispositivos SSL- VPN han de tratar los servidores de ficheros, por lo general hablará

91 3.4. VPN-SSL 75 Figura 3.17: Advertencia de Instalación de Plugins en Internet Explorer. como protocolo nativo CIFS(de Microsoft), o FTP. Por ello, habrá de convertirlosahttpyhtml,afindequeelusuariofinalveaelservidor de ficheros como si fuera una página Web; es decir, la aplicación se websifica. Port forwarding: pero la conversión de aplicaciones sólo funciona efectivamente con ciertas transacciones. Se impone, entonces, la técnica port forwarding, que requiere en el sistema cliente una herramienta del tipo Java o ActiveX (Pluning de Microsoft). Consiste en dedicar a cada aplicación un puerto determinado en el que se tunelizan los paquetes dentro deconexiones SSL.El serverssl-vpnlosabre ylosenvíaalservidor de aplicaciones. Se trata de una técnica muy efectiva pero muestra serias limitaciones, por ejemplo, sólo funciona con aplicaciones muy predecibles en cuanto a sus requerimientos y necesidades de conectividad de red. La figura 3.17 de la página 75 muestra un mensaje de advertencia en el navegador Internet Explorer, antes la instalación de un ActiveX correspondiente al software cliente de un dispositvo de la empresa Cisco. Extensióndered:conectaelsistemadelusuariofinalalaredcorporativa mediante controles de acceso exclusivamente basados en información deniveldered,comodirecciónipdedestinoynúmerodepuerto.dependen del sistema operativo que se utiliza y requiere acceso administrativo alsistemalocal.lasextensionesderedssl-vpncorrenenloaltodel protocolo SSL, sacrificando la mayor seguridad que ofrece IPSec.

92 76 CAPÍTULO 3. PROTOCOLOS VPN Inconvenientes de las VPN-SSL Secure Sockets Layer (SSL) pararealizarel acceso remoto sebasaenun concepto simple, utilizar la encriptación y capacidades de autenticación incorporado en todos los navegadores web para proporcionar acceso remoto seguro a aplicaciones corporativas. UnaironíadelasVPN-SSLesquesuactivomásimportanteessuaspecto más problemático. La libertad y la movilidad del navegador significa que los usuarios puedan ejecutar aplicaciones y recursos de la red de acceso desde cualquier parte, un kiosco del aeropuerto, un café Internet, incluso la casa de un amigo. Mientras que la libertad puede aumentar la productividad, también exponesuredaunnúmeroilimitadodeequiposdeseguridadcuyoestadoes desconocido. Su red puede experimentar un mayor riesgo de virus, troyanos y otros códigos maliciosos, tales como capturadores de teclado[10]. El acceso basado en navegador tiene otras complicaciones también como la de autenticación de usuario, por defecto está limitado a un nombre de usuario y contraseña, que es notoriamente inseguro. Por último, los costos de los dispositvos VPN-SSL (Hardware) son elevados, aunque exista una variedad de precios entre las opciones que ofrecen los distintos fabricantes, existe una gran diferencia de precios con otros dispostivos que manejan protocolo como L2TP e IPSec. Esta última desventaja o inconveniente se podria decir que es relativa, porque una implementación IPsec puede ser redituable en costos de hardware pero costosa en tiempo de configuración y mantenimiento Ventajas de SSL-VPN sobre IPSec Las principales ventajas son las siguientes: SSL-VPN son a menudo mucho menos costoso que el despliegue de redes VPN IPSec. Esto se debe a que, con clientes SSL-VPN, no hay costo de licencias de software de propiedad del cliente, sin gastos generales de administración involucrados en la instalación de software cliente, y menos tiempo necesario para el apoyo técnico de clientes debido a la facilidad de uso[11]. SSL-VPN permite a las organizaciones a crear la identidad del usuario deaccesobasadoenpolíticas,queofreceaccesoalaredgranularalos empleados,sociosyclientessobrelabasedelaidentidaddelusuarioy el perfil de trabajo[11].

93 3.4. VPN-SSL 77 SSL utiliza el puerto TCP 443, que normalmentese abre en los cortafuegos, trabajará a través de firewalls sin ninguna configuración especial[10]. IPSec usa puertos UDP específicos, si no están en uso, estos puertos estarán bloqueados por el servidor de seguridad. SSL-VPN también puede proporcionar una ventaja de seguridad. Cuando el acceso está restringido a aplicaciones específicas, las posibilidades de acceso no autorizado se reducen. Hoy en día, SSL-VPN ofrece también protección de datos en el navegador, después de que el usuario cierra la sesión, a fin de eliminar la información sensible que pueda haber sido utilizado durante el curso de un acceso seguro. Esto incluye la eliminación de cualquier caché las credencialesdeusuarioylaeliminacióndelacolaotemporalencachéde archivos. Algunos SSL-VPN pueden ser configuradas para evitar que un usuario realize copias locales de la información sensible de la empresa en un equipo de trabajo. Conexiones pobres, intermitentes e interrumpidas no causan la caída de la VPN. Permite mediante un certificado digital, usar su navegador para verificar la autenticidad del sitio y comunicarse con él en forma segura Software VPN-SSL Aunque se emplea SSL para crear túneles no existe un estándar que especifique cómo funciona una VPN-SSL, sino que hay distintas implementaciones que funcionan bastante bien. Entre las más interesantes se encuentran OpenVPN del movimieto Open Source y el protocolo SSTP (Secure Socket Tunneling Protocol) de Microsoft. OpenVPN OpenVPN es una solución de conectividad basada en software: SSL (Secure Sockets Layer) bajo la librería OpenSSL y VPN Virtual Private Network (Red Virtual Privada). Soporta diferentes medios de autenticación como certificados, smart cards, y / o usuarios / contraseñas, y permite políticas de control de acceso para usuarios o grupos usando reglas de firewall aplicadas a

94 78 CAPÍTULO 3. PROTOCOLOS VPN las interfaces virtuales de la VPN. Esta solución resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas EEI ) y soporta una amplia configuración, entre ellas balanceo de cargas entre otras. Está publicado bajo licencia de código libre(open Source). Es una solución multiplataforma que ha simplificado mucho la configuración de VPN s dejando atrás los tiempos de otras soluciones difíciles de configurar como IPSec haciéndola más accesible para gente inexperta en este tipo de tecnología[12]. Estaarquitecturaestáimplementadasobrelacapa2ycapa3delmodelo OSI, de esta manera los túneles de OpenVPN pueden transportar tramas Ethernet, paquetes IPX, y los paquetes NETBIOS del navegador(explorer) delaredwindows,quesonunproblemaenlamayoríadelasotrassoluciones VPN. Algunas de características de OpenVPN son: Protección de sesión con el cortafuego interno: en una sesión conectada con la oficina central de su compañía mediante un túnel VPN puedecambiarelsetupdesuredensuordenadorportátil,paraenviar todo su tráfico de la red a través del túnel. Una vez que OpenVPN haya establecido un túnel, el cortafuego central en la oficina central de la compañía puede proteger el ordenador portátil, aún cuando él no sea unamáquinalocal.solamenteunpuertodelaredsedebeabrirdeforma local para trabajar la sesión. El cortafuego central protege al empleado siemprequeéloellaestéconectadoatravésdelvpn. Las conexiones de OpenVPN pueden ser establecidas a través de casi cualquier cortafuego, se dice que si tienes acceso a Internet y si puedes tener acceso a la Web, los túneles de OpenVPN deben poder trabajar. Soporte de Proxy y configuraciones: OpenVPN tiene soporte de Proxy y se puede configurar para funcionar como un servicio de TCP odeudp,ycomoservidor ocliente.comoservidor,openvpnespera simplemente hasta que un cliente solicita una conexión, mientras que como cliente, intenta establecer una conexión según su configuración. Apertura de un solo puerto en el cortafuegos para permitir conexiones entrantes: desde OpenVPN 2.0, el modo especial del servidor permite conexiones entrantes múltiples en el mismo puerto del TCP o del UDP, mientras que todavía usa diversas configuraciones para cada

95 3.4. VPN-SSL 79 Figura 3.18: Interfaz GUI de OpenVPN Para Sistemas Operativos Windows. conexión. Los interfaces virtuales permiten reglas muy específicas del establecimiento de una red y del cortafuegos donde todas las reglas, restricciones, mecanismos de la expedición, y conceptos como NAT se pueden utilizar con los túneles de OpenVPN. Alta flexibilidad con posibilidades extensas de lenguaje interpretado (scripting): OpenVPN ofrece numerosos puntos durante la conexión para la ejecución de los scripts individuales. Estos scripts se pueden utilizar para una gran variedad de propósitos de la autentificación, recuperación en caso de fallos(failover) entre otros. Soporte transparente y alto rendimiento para IP s Dinámicas: si se usa OpenVPN, no hay necesidad de utilizar más IPs estáticas de cualquier lado del túnel. Ambas puntos finales del túnel pueden tener accesobaratodeadslconelipsdinámicasylosusuariosnonotarán un cambio del IP de cualquier lado. Las sesiones del Terminal Server de Windows y las sesiones seguras de Shell (SSH) parecerán congeladas solamente por algunos segundos, pero no terminarán y continuarán con la acción solicitada después de una corta pausa. Instalación simple en cualquier plataforma: la instalación y el uso son increíblemente simples. Especialmente, si se ha intentado instalar IPSec con diversas configuraciones, se apreciará la facilidad de instalación de OpenVPN. En plataformas Windows se cuenta con una interfaz gráfica muy amiglable que permite el monitero de la Red Privada Virtual,lacualpuedeservisualizadaenlaimagen4.27delapágina119.

96 80 CAPÍTULO 3. PROTOCOLOS VPN Diseño modular: el diseño modular consta de un alto grado de simplicidad en seguridad y el establecimiento de una red virtual es excepcional. Ninguna otra solución VPN puede ofrecer la misma gama de posibilidades a este nivel de seguridad. Con respecto a la estabilidad, Open- VPN es un programa muy robusto y ofrece la posibilidad de implementar esquemas de servidores redundantes y con balance de carga[13]. Las principales desventajas de OpenVPN son las que se mencionan seguidamente: Todavía existe poca gente que conoce como usar OpenVPN. Al día de hoy sólo se puede realizar conexiones entre computadoras. Pero ésto empieza a cambiar, dado que ya existen compañías desarrollando dispositivos con clientes OpenVPN integrados. No tiene compatibilidad con IPSec que justamente es el estándar actual para soluciones VPN[12]. SSTP(Secure Socket Tunneling Protocol) El protocolo Secure Socket Tunneling Protocol (SSTP) de Microsoft es, por definición, un protocolo de capa de aplicación que encapsular tráfico PPP por un canal SSL del protocolo HTTPS. El uso de habilita la compatibilidad con métodos de autenticación seguros, como EAP-TLS. El empleo de HTTPS significaqueeltráficopasaatravésdelpuerto443(tcp),unpuertoquese sueleusarparaelaccesowebyeliminandoasílosproblemasasociadosconlas conexiones VPN basadas en L2TP o PPTP(conocido error problemas de conectividad), que pueden ser bloqueadas por algunos proxies Web, firewall y routers en las configuraciones de los carrier s. La Capa de sockets seguros(ssl) proporciona seguridad de nivel de transporte con negociación, cifrado y comprobación de integridad de claves mejorados. SSTPsebasaenelprotocoloSSLenlugardePPTPoIPSec,apesardeque está estrechamente relacionado con SSL, no se puede hacer una comparación directaentresslysstp,porquesstpessólounadiferenciadeprotocolode túnelssl.existenmuchasrazonesparaelegirsslynoipseccomobasepara SSTP, las ventajas mensionadas en el apartado anterior son validas también para este protocolo, otras razones son:

97 3.4. VPN-SSL 81 Debido a que IPSec se ha desarrollado para conexión seguras de sitio a sitio, es probable que presente problemas para usuarios remotos que intentan conectarse desde un lugar con un número limitado de direcciones IP. IPSec no soporta dinamic DNS. Esta tecnología sólo está soportada por Windows Server 2008 y Windows Vista Service Pack 1; existen también paquetes de software como IAG 2007, un software que funciona como punto de bastión en interfaces de entrada a redes LAN s Corporativas[13]. Funcionamiento Básico de SSTP Cuando se inicia una conexión VPN-SSTP sucede lo siguiente: 1. EL software cliente (SSTP client) establece una conexion TCP con el servidorsstpentreunpuertodinámicodelclienteyelpuerto443del servidor. 2. El cliente SSTP envía un SSL Client-Hello, indicando que el cliente quiere crear una sesión SSL con el servidor. 3. EL servidor SSTP envía su certificado de máquina al cliente. 4. El Cliente SSTP valida el certificado de equipo, determina el método de cifradoparalasesiónssl,generaunaclaveparalamismaycifraesta con la clave pública del certificado del servidor SSTP, y a continuación lo envía al servidor. 5. ElservidorSSTPdescifralaclavedesesiónSSLmandadaporelcliente con su clave privada. Todas las comunicaciones posteriores se realizan ya con la nueva clave negociada. 6. ElclienteSSTPenvíaunapeticióndeHTTPsobreSSLalservidorde SSTP. 7. ElclienteSSTPnegociauntunelSSTPconelservidorSSTP. 8. El cliente SSTP negocia una conexion PPP con el servidor SSTP. Esta negociación incluye las credenciales de autenticación del usuario, el metodo de autenticación y la configuracion de IPv4 e IPv6. 9. El cliente SSTP comienza a enviar tráfico IPv4 o IPv6 sobre el enlace PPP.

98 82 CAPÍTULO 3. PROTOCOLOS VPN

99 Capítulo 4 Implementaciones VPN s 4.1. Introducción Enestecapítulosedescribencómosellevaronoacabolastareasdeimplementación de Redes Virtuales Privadas(VPN) en el Instituto de Obra Social de la Provincia de Corrientes(I.O.S.COR). Esta institución presta servicios de cobertura médica como así también apoyo social a los empleados provinciales desde Hoy en día cuenta con más de afiliados, 36 delegaciones ubicadas en distintas ciudades del interior de la provincia, bocas de expendio enpuntosestratégicodelacapitalyunacasacentralubicadaenlacallesan Juan 1060, donde se concretan sus funciones elementales como el procesamientodetodossusdatos. LainstituciónposeeunaredLANconmásde170estaciones(PC s)enel edificio de su Casa Central, y otras 60 estaciones ubicados en delegaciones, los cuales estaban conectadas mediante una VPN que funcionaba bajo el protocolo PPTP(Protocolo de Tunel Punto a Punto). Ante la necesidad de conectar nuevas delegaciones y agregar estaciones de trabajo en el edificio surgieron los siguientes incovenientes: en un intento de ampliar la VPN se detectó que el dispositivo Server de la red (VPN) se encontraba saturado con un número de conexiones que superaban el límite de capacidad descripto en sus especificaciones técnicas. Además, la red LAN no podía asignar nuevas direcciones IP s debido a la gran cantidad de estaciones de trabajo conectadas, lo que implicaba una división de la misma en segmentos de distinto dominio. Se llevó a cabo una solución provisoria adquiriendo hardware VPN de menor rango del requerido e implementaciones VPN s por software, las cuales 83

100 84 CAPÍTULO 4. IMPLEMENTACIONES VPN S actualmente(marzo/2010) cumplen sus funciones de forma eficiente. Como solución definitiva se planteó la necesidad de adquirir un dispositivo Server-VPN de alto rango, que manege protocolos de última generación como SSL (Security Layer Socket) e IPsec (Security IP). El objetivo es lograr el funcionamiento óptimo de la red institucional, aprovechando al máximo las capacidades del nuevo equipamiento Escenario Previo del I.O.S.COR. Agrandes rasgossepodríadecir quelaredlandel I.O.S.COR.seencontraba soportada sobre una única red lógica IP configurada sobre una única VLAN (Lan Virtual). Todas las estaciones de trabajo estaban conectada a esta única estructura lógica, dentro del edificio se las identificaba con una dirección IP estática, mientras que para las estaciones remotas existía un rango de direcciones reservado para la asignación por medio de un servidor DHCP. Contaba con dos conexión a Internet mediante cable-modem y ambas con IP fijas,unadeellaproveíainternetalasmáquinasdeledificiomientrasquela otra estaba destinada al uso exclusivo del servidor VPN-PPTP para aceptar las solicitudes de conexiones que provenían de las delegaciones. En general la mayoría de los dispostivos de red del Instituto estaban saturados,la faltadeactualizacióndelosequiposylasobrecargadetrabajopor la adición constante de nuevas estaciones de trabajo crearon una red dificil de administrar, saturada en puntos claves (como en los routers) y sin la posibilidad de expandirse Red LAN Institucional A continuación se describe en detalle la estructura lógica-física de la Red Institucional, como así también los elementos que la componen, su configuración y las funciones que cumplían éstos elementos en aquel escenario previo. Lafigura4.1delapágina85describelaestructuradelared,muestralaubicacióndecadaunodesuselementoylasconexionesconredesexternasala institución. Red LAN Institucional Características técnicas: Tipo de Topología: Estrella.

101 4.2. ESCENARIO PREVIO DEL I.O.S.COR. 85 Figura 4.1: Escenacio Previo de la Red LAN Institucional.

102 86 CAPÍTULO 4. IMPLEMENTACIONES VPN S Estandar: IEEE /100mbps. Estandar de cableado: TIA/EIA-568-B. Dirección: / (clase C). CantidaddePC:170. Router 3Com OfficeConnect Cable/DSL Especificaciones Técnicas: Estandar: IEEE /100 mbps. Soportepara256usuariosbajounconexiónADSLde256mbps deanchodebanda. No posee soporte para gestionar de VLAN s. Funciones de cliente VPN con soporte para PPTP, L2TP e IPSec. Funciones: TrabajacomoPuertadeEnlace paralasalidaainternetdelas estaciones de trabajo de la Casa Central. Trabaja como componente central de la topología estrella de la red. La figura 4.2 de la página 86 corresponde a la imagen del router 3Com Office Connect. Figura 4.2: Router 3Com Office Connect. Switch de Capa 2 3Com Baseline Especificaciones Técnicas: Estandar: /100 mbps.

103 4.2. ESCENARIO PREVIO DEL I.O.S.COR puertos 10/100 mbps. Dispositivo de capa 2 no gestionable. Funcionesdecadauno: Encargados de distribuir los paquetes que se transmiten al routercentral encadaunodelospisosdeledificio. Uno de estos dispositivos trabaja como elemento principal de la topología estrella, permite conectar a los demás switches. Estado del dispositivo: Funciomamiento óptimo. En la figura 4.3 de la página 87 se puede apreciar un Rack Mural con dos de estos dispositivos(color celeste), cada uno conectado a un Patch- Panel de 48 puertos (RJ45). Esta misma presentación se repite en el centrodelaestrelladelatopología,comoasítambién,encadaunode los pisos del edificio. Figura4.3:RackMuralenunodelosPisosdelEdificio. Problemas Detectados en la LAN Los principales problemas detectados son los que se detallan seguidamente: Dispositivo central 3Com Office Connect ADSL saturado: Este dispositivo se encontraba sobrecargado al tener que gestionar el uso

104 88 CAPÍTULO 4. IMPLEMENTACIONES VPN S deunaconexiónadslde3mbpsentre170estacionesdetrabajo dispuestas en el edificio; fue diseñado para soportar 256 mbps de ancho de banda aproximadamente, que eran las velocidades que se manejaban en el tiempo en que fue fabricado el dispositivo. Lacantidaddeestacionesdetrabajoapuntodeexedersu límite máximo: la red LAN contaba con 170 puesto de trabajo eneledificodecasacentral,másotras50estacionesenelinterior de la Provincia, de las caules sólo algunas estaban conectadas a la red. Una red LAN que fuera concebida bajo el estandar IEEE (Ethernet) tiene como restricción la cantidad máxima de 253 estaciones de trabajo por cada dominio, lo que implica que es necesaria unasegmentación delared envariassubredes, conel objetivode disponer de un rango más amplio de direcciones IP. Sibienlacantidaddeestacionesdetrabajodelaredseencuentraba relativamente próxima a su límite máximo, se consideró justificable comenzar con una división de la red, ya que un proyecto de esta envergadura requiere de tiempo para realizar pruebas y corregir errores Red Virtual Privada(VPN) Institucional La Red Virtual Privada de la institución estaba constituida básicamente de la siguiente manera: en un extremo existía un único dispositivo Server- VPN (PPTP) que aceptaba solicitudes entrantes a través de una conexión a Internet dedicada(casa Central), mientras que en los otros extremos existían las Delegaciones y Bocas de Expendio, que formaban túneles mediante cliente- VPN por sofware, nativo del sistema operativo en la totalidad de los casos. A pesar de que las delegaciones son consideradas como clientes estáticos, la arquitectura de los túneles VPN era de tipo Acceso Remoto, inclusive en aquellas delegaciones en donde existían más de una estación de trabajo y demandaban varios túneles por localidad. Los problemas más comunes se presentaban en localidades donde los ISP s bloqueaban los puertos claves del protocolopptp (puerton o : 1023), loque causaba el conocido error 800 tan característico del mismo. Otro inconveniente eran las caídas de la conexión y cortes intermitentes que se presentaban en localidades donde el ancho de banda de las conexiones a Internet que proveían los ISP s locales eran muy escasos. Por ejemplo, la delegación de Colonia Liebig contabaconunserviciode54kbpsdeanchodebanda.

105 4.2. ESCENARIO PREVIO DEL I.O.S.COR. 89 A continuación, la figura 4.4 de la página 89 muestra los túneles que conectan las delegaciones del interior,con la Casa Central del I.O.S.COR. Figura 4.4: Túneles PPTP formados con las Delegaciones del Interior. La figura 4.5 de la página 89 muestra los túneles formados con departamentos, divisiones y bocas de expendios ubicadas en distintos hospitales, ademas del tipo de conexión a Internet que tiene cada punto remoto, siempre dentro de la ciudad de Corrientes Capital.

106 90 CAPÍTULO 4. IMPLEMENTACIONES VPN S Figura 4.5: Túneles PPTP en la Ciudad de Corrientes Capital.

107 4.2. ESCENARIO PREVIO DEL I.O.S.COR. 91 Cliente VPN en Corrientes Capital Cliente PPTP Túneles HospitalJuanPabloII 1 Hospital Vidal 1 Hospital Escuela 1 Hospital Llano 1 Dep. Sumarios 1 Div. Archivos 1 Total 6 A continuación se detallan las características técnicas del servidor 3Com Office Connect VPN Firewall: 3Com Office Connect VPN Firewall: Especificaciones Técnicas: Soporte standars /100 mbps. Soporte para aceptar 15 tuneles PPTP. Soporte para aceptar 5 tuneles IPsec. Funciones de cliente VPN con soporte para PPTP, L2TP e IPsec. Encriptación: AES-128, DES(56-bit) y 3DES(168-bit) IPSec encryption. Soporte para DNS dinámico(dyndns support). Funciones: Servidor VPN. Configuración: Interfaz WAN: IP Pública fija. Servidor DHCP: activado, con un rango de 20 direcciones IP para la asignación a los clientes-vpn s. Configuración de los Túneles La configuración en todos los casos es mediante acceso remoto con clientes PPTP por software, también llamado Road Warrior, usando el cliente nativo del sistema operativo Windows XP, cuyos parámetros se detallan a continuación: Parametros del Servidor PPTP Los parámetros son los siguientes:

108 92 CAPÍTULO 4. IMPLEMENTACIONES VPN S Dispostivo: 3Com Office Connect VPN. Tipo de Servidor: PPP(Protocolo Punto a Punto). InterfazWAN:IPpúblicafijaasignadaporelISPcontratadoenlaciudad de Corrientes. DHCP activo: asigna direcciones IP dentro de un rango determinado ( XXXa XXX 1 ). Firewall activo: usa el puerto n o 1023 para recibir las solicitudes entrantes de conexión. Pass-through no disponible. Compresión: ninguna. Los parametros de autenticación y cifrado no están disponibles por cuestiones de seguridad. La siguiente figuras 4.6 y 4.7 de la pág. 4.7 corresponde al Panel de Configuración delservidorpptpyunpaneldeestadodecadaunode los túneles formados con las delegaciones del interior. Parametros de los Clientes PPTP Los parámetros se detallan a continuación: Sistema Operativo: Windows XP SP3. Tipo de Servidor: PPP(Protocolo Punto a Punto). Interfaz WAN: dirección IP Pública dinámica asignada por el ISP de su localidad. Interfaz Virtual VPN: dirección IP dinámica asignada por el Server- VPN de Casa Central. Firewall: activo. Pass-through no disponible. Compresión: ninguna. 1 XXXcorrespondeaunnúmeroquenoseindicaporrazonesdeseguridad.

109 4.2. ESCENARIO PREVIO DEL I.O.S.COR. 93 Figura 4.6: Panel de Configuración del Server PPTP.

110 94 CAPÍTULO 4. IMPLEMENTACIONES VPN S Figura4.7:PaneldeEstadodelosTúnelesenServerPPTP.

111 4.2. ESCENARIO PREVIO DEL I.O.S.COR. 95 Los parametros de autenticación y cifrado en los Clientes-VPN tampoco están disponibles por cuestiones de seguridad. La siguiente figuras 4.8 de la página 95, corresponde al Cliente VPN nativodewindowsxp,elmismotambiénsepuedeulitizarparalosprotocolo L2TP y L2TP/IPsec, es decir, L2TP sobre una conección IPsec. Figura 4.8: Cliente VPN Nativo del S.O. Windows XP. Problemas Detectados en la VPN El Server-VPN constituía un único punto de falla: al no contar con otro dispositivo que cumpla las funciones de Server-VPN, una falla enenesterouterprovocaríalacaídatotaldelaredvirtualprivada. El Server-VPN se encontraba saturado: este dispositivo gestionaba una totalida de 30 túneles, excediendo los parametros máximos fijados en las especificaciones técnicas del router.

112 96 CAPÍTULO 4. IMPLEMENTACIONES VPN S Problemas del Protocolo PPTP: este protocolo de red es la versión más antigua de los protocolos VPN(desarrollado en 1995), su seguridad fue corrompida varias veces en pruebas oficiales realizadas. Otros problemas asosiados con este protocolo son las caídas de la conexión y la mala gestión que realiza con aquellos túneles que están soportados sobre conexiones de excaso ancho de banda Modificaciones a Realizar Además de los problemas detectados en la estructura lógico- física de la red institucional, el escenario exigía otros requerimientos como: 1. Agregar 4 puestos de trabajo en las delegaciones de Alvear, Monte Caseros, BellaVista,CuruzúCuatiáyPasodelosLibres. 2. Cambiar a una arquitectura Lan-to-Lan en las delegaciones donde exitan másdedostúnelesvpndeaccesoremoto. 3. Crear una VPN-backup (redundante), totalmente operativa que se desempeñeenundominiodered distintoytrabajedeformaparalelacon la VPN oficial. Esta VPN-backup sería levantada en un plan de contingencia tomandolasfuncionesdelavpnoficial,conelobjetivodeque la instinución pueda seguir operando normalmente ante cualquier falla, por ejemplo, en el dispositivo central. Para cubrir cada uno de estos requerimientos se propuso una solución provisoria, la cual constituiría una primer etapa de la solución definitiva detallada en el final de este capítulo. En esta primer etapa, se solucionaría la mayoría de los inconvenientes de la red LAN, además de poder expandirla, se la preparía para un inminente cambio de escenario Solución Provisoria La solución provisoria se divide en tres conjuntos de tareas bien definidas: la Segmentación de la Red LAN, la Redistribución de Carga de Trabajo entre los routers VPN s, y por último, la Implementación de una VPN-Backup por software. Como se mencionó en la introducción de este capítulo, esta etapa comienza con la adquisición de un nuevo dispositivo Router VPN-SSL, el cuál se detalla según las especificaciones técnicas del fabricante.

113 4.3. SOLUCIÓN PROVISORIA 97 Router Linksys RVL 200 SSL/IPsec Especificaciones Técnicas: Estandars IEEE 802.3, IEEE 802.3u, IEEE 802.1q, IEEE 802.1p, RFC791(IP Protocol). Servidor de 5 túneles SSL para cliente de Acceso Remoto (requiere ActiveX habilitado Navegadores, por ejemplo, Internet Explorer y Netscape). Soporte para un túnel IPSec Lan-to-Lan. Cifrado DES/3DES/AES, MD5/SHA1. SoportedeclienteVPN depptp,l2tpeipsec. Autenticación: Radius-PAP, NTDomain, Active Directory, CHAP. Funciones/ Configuración: Servidor de acceso a Internet: trabaja como Puerta de Enlace para lasalidaainternetdelasestacionesdetrabajodecasacentral. Firewall de la conexión-1 a Internet. Servidor VPN-SSL bajo arquitectura Acceso Remoto. Servidor IPsec bajo arquitectura Lan-to-Lan. Interfaz WAN: IP Pública fija. Interfaz LAN: / Servidor DHCP: desactivado. Lafigura4.9delapágina97correspondealaimagendelrouterLinksys RVL 200. Figura 4.9: Dispositivo Linksys RVL200. Con la adquisición de este dispositivo se pretendió corregir algunos de los problemas más urgentes relacionados con los túneles PPTP como son:

114 98 CAPÍTULO 4. IMPLEMENTACIONES VPN S - Conexiones más estables en aquellas delegaciones con escaso ancho de banda (Internet). - Evitar los problemas de cierre de puertos claves, siendo que SSL trabajo sobre puerto 443 y resulta imposible para los ISP bloquearlo Segmentación de la Red LAN Con la intención de liberar direcciones IP y mejorar la performance de la Red Institucional, se llevó a cabo la segmentación de la red en6redeslan sdedistintosdominios,comosedetallaenlafigura4.10 de lapágina99,lacualmuestraademásladistribucióndelosdispositivosenel escenario incluyendos los nuevos. A continuación se detallan la configuración de cada dispositvios y la función cumplen dentro del nuevo escenario: Router 3Com Office Connect Parametros: Interfaz WAN: XX/ Sevidor DHCP: desactivado. Firewall: desactivado. Puerta de enlace: router Linksys RVL 200. Funciones: Segmentan la red principal. Seencargandeenrutareltráficodecadapiso. Switch de capa 2 3Com Baseline Cumple las mismas funciones que en el escenario previo. Algunas de las ventajas que se consiguieron gracias a la segmentación son: AumentalaeficienciadelaRed. Se reduce el tráfico global aportando más espacio para tráfico legítimo, lo que implica mayor velocidad.

115 4.3. SOLUCIÓN PROVISORIA 99 Figura 4.10: Segmentación de la Red LAN.

116 100 CAPÍTULO 4. IMPLEMENTACIONES VPN S Escalabilidad. Sefacilitalatareadeladministradordelared. Las fallas quedan limitadas al segmento y permite que el resto de la red siga funcionando normalmente. Facilita la detección de errores. Por ejemplo se puede identificar fácilmente una estación que este transmitiendo broadcast en exceso como también detectar estaciones con direcciones IP duplicadas. Cada subred reduce el tamaño de colisión al menos uno por piso con la segmentación de salas correspondiente. Otropuntoaconsiderareslaseguridadyaquepodemoslimitarelacceso entre dos segmentos, estableciendo una LAN de acceso restringido a una LAN de acceso general Redistribución de Carga de Trabajo Entre los Routers VPN s Con la puesta en marcha del router Linksys VPN-SSL, el nuevo escenario quedaría dispuesto de la siguiente manera, descripta en la figura 4.11 de la página 101. DNS Dinámico(DDNS) Al no contar con la posibilidad de poseer una IP fija (servicio corpotativo del ISP) en las delegaciones remotas, se aprovechó el soporte de DNS Dinámico (DDNS) que exitía en los dispositivos dispuestos en ambos extremos del túnel. De esta manera, se adquirió una cuenta gratuita del Servicio DynDNS (www.dyndns.org), la cual esta asociada con el cliente VPN de la delegación de Goya(Router 3Com Office Connect). Los dispositivos 3Com Office Connect por ejemplo, possee el software cliente DDNS incorporado en su hardware, y de forma transparente se encarga de actualizar la dirección IP correspondiente al dominio adquirido(cuenta DDNS),cadavezqueelISPasignaunanuevaIP.Lafigura4.12delapágina 102 corresponde a una captura de pantalla de la configuración de la cuenta dyndns. La siguinentes figuras muestra las pruebas de Resolución de Nombres que se realizaron sobre la dirección goya2.atx.cx (cuenta DDNS), mediante el uso

117 4.3. SOLUCIÓN PROVISORIA 101 Figura 4.11: Nuevo Escenario VPN.

118 102 CAPÍTULO 4. IMPLEMENTACIONES VPN S Figura 4.12: Cliente DNS Dinámico en dispositivo 3Com. de los comandos ping(acusa la conectividad con una dirección determinada) y nslookup (describe los nombre de servidores DNS y su correspondiente direción IP), ambos comandos pertenecientes a la familia de protocolo TCP-IP. La figura 4.13 de la página 103 muestra los resultados correctos arrojados por el comando ping mientras que la siguiente figura 4.14 de la página 103 corresponden al comando nslookup. Configuración Acceso Remoto SSL Parametros del Servidor VPN-SSL Dispostivo: Linksys RVL200 VPN-SSL. Tipo de Servidor: PPP(Protocolo Punto a Punto). Recursos compartidos LAN: activado. Interfaz WAN: IP Pública Fija asignada por el ISP contratado en la ciudad de Corrientes.

119 4.3. SOLUCIÓN PROVISORIA 103 Figura 4.13: Pruebas de Conectividad con el Comando Ping. Figura 4.14: Resultados del Comando Nslookup.

120 104 CAPÍTULO 4. IMPLEMENTACIONES VPN S DHCP activo: asigna direcciones IP dentro de un rango determinado ( XXX a XXX) Firewall activo: usael puerton o 433 (abiertopor defecto entodos los routers) para recibir las solicitudes entrantes de conexión. Pass-through no disponible. Compresión: ninguna. Los parametros de autenticación y cifrado no están disponibles por cuestiones de seguridad. Lasiguientefigura4.15delapág.104correspondeal Panel de Estado de los Túneles del servidor VPN-SSL. Figura 4.15: Panel de Estado de Túneles SSL en Linksys RVL200. Autenticación del Servidor por Medio de Certificados Como solución provisoria se optó por autenticar solamente el Servidor- VPN mediante un certificado SSL X.509, bajo el formato de archivo PEM

121 4.3. SOLUCIÓN PROVISORIA 105 (Certificado codificado en Base64). Este certificado fué generado de forma local usando una función propia del dispositivo server; debido a que no está firmado por una Autoridad Certificadora conocida, como son Thawte o Verisign, los navegadores generalmente rechazan la solicitud de conexión, o en otros casos, adviertencomomedidadeseguridadqueestáapunto de ingresar a un sitio inseguro. La solución que se planteó a este problema en las delegaciones fué catalogar a la dirección del servidor VPN (Linksys RVL200) como un Sitio Segurodentrodelaconfiguracióndecadabrowser.Deestamaneraseevitatoda reestricción de seguridad, permitiendo cualquier solicitud proveniente de esta dirección como por ejemplo la instalación de un Pluging, condición necesaria para el establecimiento del tunel-ssl. En la figura 4.16 de la página 105 se puede apreciar un ejemplo de un certificado X.509 bajo un formato de archivo PEM. Figura 4.16: Ejemplo de un Certificado X.509. Parametros del Cliente VPN-SSL Como todo cliente VPN-SSL no tiene configuración, aunque este dispositivo en especial exige que en el navegador del cliente se tenga activado funciones de javascript ademas de otras, solamente se debe hacer referencia a la dirección IP del servidor VPN,(ej: https://ip-del-servidor). Lafigura4.17delapágina106muestraelPortal Web de Acceso parael cliente VPN-SSL. Al pasar la validación en el Servidor, éste envía al cliente un Plugins de descarga, el cual permitirá extender la red, característica de las VNP-SSL descriptas en la sección Protocolo SSL del capitulo I. De esta manera la PCremotapasaaserunanueva estaciónde trabaja legítima delaredlan

122 106 CAPÍTULO 4. IMPLEMENTACIONES VPN S Figura 4.17: Interfaz Web del Cliente SSL del Dispositvio Linksys RVL200. institucional, a partir de aquí, puede utilizar servicios, compartir recursos, etc., como si estuviera fisicamente ubicada en el edificio de Casa Central(ver figura 4.18delapág.107). Arquitectura Lan-to-Lan Sobre IPsec en Linksys RVL 200 En esta implementación, al intentar conectar dispositivos de distintas marcas (3Com y Linksys) se detectaron problemas de interoperatividad, a pesar de estar usando el protocolo IPsec descripto como un estandar abierto en los RFCs 4301 y Los problemas radican en el dispositivo Linksys RVL200, que sólo acepta conexiones con dispositivos perteneciente a la misma familia enlosmodelos RVL200,RVL48oRVL82,dejandoaunladolaventajamás grande que proporciona IPsec( la interoperabilidad de dispositivos descripta enencapituloi ).Enlafigura4.19delapágina107sepuedeapreciarlainterfazgráficadelaconexiónLan-to-Lan,lacualresultamuyintituivaalahora de establecer el túnel pero escasa en información acerca de errores y estado de los túneles.

123 4.3. SOLUCIÓN PROVISORIA 107 Figura 4.18: Mensaje de Advertencia Ante la Instalación del Plugins en Internet Explorer 7.0. Figura 4.19: Interfaz de Configuración de Arquitectura Lan-to-Lan.

124 108 CAPÍTULO 4. IMPLEMENTACIONES VPN S Arquitectura Lan-to-Lan sobre IPsec en 3Com Office Connect VPN El objetivo de esta implementación es reemplazar los 4 tuneles PPTP de Acceso Remoto por un solo tunel Lan-to-Lan IPsec, el cuál, sería compartido por todas las estaciones de trabajo de la red LAN perteneciente a la delegación de Goya. Esta configuración, seria la correcta para este tipo de escenario, reducelacargadetrabajoenelsaturadoservervpndecasacentral,como asi también, disminuye la cantidad de inforamción de control transmitida y reduce los requisitos de ancho de banda en la delegación remota. Aunque las configuraciones de Acceso Remoto queden dispuestas en las estaciones de trabajo por una eventual caida del tunel Lan-to-Lan, éstas no afectaránelrenidmientodelavpn,yaquenoseránunservicioqueseinicien al bootear el Sistema Operativo que trabaje con el tunel Lan-to-Lan. Detalles del Tunel Lan-to-Lan IPsec A continación de detallan los parametros que se escogieron para establencer el tunel, los cuales coinciden en ambos dispositivo(cliente y servidor): Protocolo de Tunel: IPsec(Internet Protocol security). Nombre del Tunel: goya. Protocolo de Encriptación: DES(Data Encryption Standard). Protocolo de Autenticación: MD5(Message-Digest Algorithm 5). Life time(tiempo de vida de los paquetes): 28800ms. Clave compartida: clavejemplo. Servidor VPN Tunel Lan-to-Lan IPsec Red Local: / Dirección de red Local: xxx.xxx.xxx.xxx(ip). Red Remota: Dirección de red Remota: goya2.ath.cx(ip resuelta por DNS). Enlasiguientefigura4.20delapágina109 muestraunpanelcorrespondientealestadodelostunelesvpnenservidor VPN.

125 4.3. SOLUCIÓN PROVISORIA 109 Figura 4.20: Panel de Estado de Tuneles en Server PPTP. Configuración del Puente HUAWEI SmartAX 810 Este dispositvo es el provisto por el ISP, es un Moden-Router y en este escenario cumple funciones depuente de capa 2 (ModeloOSI).Elobjetivodeestaconfiguraciónesusar a este dispositivo como nexo conector de distinto tipo de hardware, uniendo el estandar IEEE (Ethernet) de la red LAN, con la conexión WAN corresponiente a la Red Telefónica Conmutada. La conexión entre los dos dispositivos está constituida por medio de un cable cruzado (conexión puente RJ45) a través delas interfaces RJ45, como se detalla en la siguiente figura 4.21delapágina109. Figura 4.21: Conexión Física del Puente de Capa 2. DeestamaneraseanulanlasfuncionesdeRuteo,ServidorNAT ycliente PPPoE (cliente WAN) en el router Huawei, delegando estas tareas al router 3Com Office Connect ADSL, el cual también cumple otras funciones como la

126 110 CAPÍTULO 4. IMPLEMENTACIONES VPN S de cliente VPN. Los parámetros de configuración del dispositivo HUAWEI SmartAX 810 son los siguientes: Modo: Bridge. Encapsulation: RFC2684. Main IP address: DHCP: activado. NAT Status: desactivado. (verfigura4.22delapágina110.) Figura 4.22: Configuración del Modo Puente en Dispositivo Huawei MT882.

127 4.3. SOLUCIÓN PROVISORIA 111 Parámetros del Servidor VPN Lan-to-Lan sobre IPsec: Modo: Router. Red Local: / TipoIPPública:fija. Red Remota(VPN): Dirección de la red Remota: goya2.ath.cx (IP resuelta por DNS). La siguiente figura 4.23 de la página 111 muestra un panel correspondiente alestadodelostunelesvpnenservidorvpn. Figura4.23:PaneldeEstadodelosTúnelesen3ComOfficceConnectADSL. Cliente VPN Lan-to-Lan 3Com Office Connect ADSL: Tipo de IP Pública: dinámica. DHCP-LAN: activado. NAT Status: activado. CLiente PPPoE: activado. Las siguiente figura 4.24 de la página 112 muestras la interfaz de configuración del cliente PPPoE del router 3Com. Parametros del Cliente VPN: Dirección de red Local: goya2.ath.cx (IP resuelta por DDNS). Red Local: Red Remota: xxx.xxx.xxx.xxx.(ip). Dirección de red Local Remota:

128 112 CAPÍTULO 4. IMPLEMENTACIONES VPN S Figura 4.24: Cliente PPPoE.

129 4.3. SOLUCIÓN PROVISORIA 113 Figura 4.25: Configuración Lan-to-Lan en 3Com Office Connect.

130 114 CAPÍTULO 4. IMPLEMENTACIONES VPN S Lafigura4.25delapágina113muestralosparametrosdeltunelIPsec enelclientevpn. Parámetros del Cliente VPN: - Dirección de red Local: goya2.ath.cx(ip resuelta por DDNS). - Red Local: Red Remota: xxx.xxx.xxx.xxx.(ip). - Dirección de red Local Remota: Implementación de una VPN-Backup por Software BasándoseenlasgrandesventajasqueexistenentrelasVPNsobreSSLy demás protocolos, se decidió usar el software OpenVPN para implementarlo tanto en los clientes como en el servidor VPN de la red institucional. La arquitectura elegida es de tipo Road Warrior, bajo una infraestructura de llave pública(ike) para incremantar la seguridad de dicha red. Arquitectura Road Warrior en Modo Tunneling UnadelasposibilidadesquebrindaOpenVPN escrearunareddetúnel tipo IP (alternativa al puente Ethernet de capa 2), que permita encaminar todo el tráfico de la red local del servidor ( en este caso) a las estaciones de trabajo remotas de la VPN y viceversa, de tal forma que sea posible compartir recursos entre PC s de distintas redes. Para lleva a cabo una arquitectura como ésta es necesario que el equipo server-vpn cumpla también funciones router (encaminador IP). En este caso, se decidió trabajar bajo un entorno Linux en su distribución Ubuntu versión 9.10, implementando las funciones de ruteo mediantes reglas IPTABLES(Firewall del Kernel de Linux), además de otras funciones como son funciones NAT (Traducción de Dirección de Red) y directivas de control de acceso. Reglas IPTABLES de Linux Las siguientes reglas IPTABLES están guardadasenunarchivolocaldelservidoryseejecutanalbootearelequipo: Reglas de función de Ruteo o Encaminador Esta función es necesaria en el servidor para que el tráfico IP pueda ser encaminado desde la interfaz física (eth0) hacia la intrefaz virtual (tun0) y

131 4.3. SOLUCIÓN PROVISORIA 115 viceversa. Una vez que los paquetes IP atraviesan cada interfaz, las funciones NATseencargandeencontrarcadaunadelasdireccionesIPqueposeanlos paquetes en sus destinos. A continuación se puede aprecias la regla IPTABLE necesaria para dicha función, la cuál se conoce como regla de habilitación del IP forwarding (desabilitada por defecto): echo 1 >/proc/sys/net/ipv4/ip_forward Reglas para la función NAT Al igual que en una conexión a Internet compartida entre 2 PC o más, las funciones NAT hacen posible que una IP(pública en esta ejemplo) pueda ser compartida por varias PC usando la dirección de puerto destino de cada paquete para identificar a estas(pc s). En nuestro escenario, la dirección IP de la interfaz física del Servidor(eth0) es compartida por todos clientes-vpn ymedianteésta,puedenaccederacualquierpcdelaredlocal,simulandoser el mismo servidor-vpn, el cúal se encargará de redireccionar los paquetes a los clientes-vpn destino por medio de la interfaz virtual(tun0). Esta configuración se considera válida, ya que el servidor-vpn es considerada una estación legítima para ambas redes. La siguiente regla IPTABLE correspondiente a ésta función: iptables-a FORWARD-s /24-o tun0-j ACCEPT iptables-a FORWARD-d /24-m state state ESTABLISHED, RELATED-i tun0-j ACCEPT Reglas de Control de Acceso Pormedidasdeseguridadyamododeejemplo,seexponenlassiguientes reglas de control de acceso totalmente permisivas, las cuales permiten que el esquema funcione permitiendo que atraviese cualquier tipo de tráfico IP por el firewall: iptables-ainput-itun0-jaccept iptables-aoutput-itun0-jaccept iptables-a FORWARD-i tun0-j ACCEPT iptables-ainput-pudp dport1194-jaccept iptables-ainput-ptcp dport1194-jaccept

132 116 CAPÍTULO 4. IMPLEMENTACIONES VPN S Infraestructura de Clave Pública (IKE) con OpenVPN Mediante el uso de las mismas herramientas que ofrece OpenVPN se pudo llevar a cabo este tipo de implementación; si bien éstas no son propias del software, se trata de un conjunto de funcionalidades de la librería openssl, la cuál se copia al sistema de archivos al instalar el programa. Mediante éstas, se crearon los siguientes elementos: certificados X.509 del Servidor y Clientes VPN, parámetros Diffie Hellman y la propia Autoridad Certifacadora(AC). Autoridad Certificadora IOSCOR Fue necesario crear la autoridad certificador IOSCOR con el objetivo de ser usada exclusivamente en esta VPN. EstaACseencargadeverificarlavalidezdeloscertificados encadapetición de conexión que envían los clientes-vpn, radica en el mismo equipo( Servidor Ubuntu) donde ofrece sus servicios el server-openvpn. Para esta ocación no fué necesario contratar una Autoridad Certificadora Conocida para los navegadores, ya que OpenVPN no hace uso de un navegador web, las configuraciones se realizan sobre un archivo de texto plano e inclusive para los S.O. Windows, existe un GUI(Intefaz Gráfica de Usuario) que permite establecer los túneles de una manera muy sensilla como se describe más adelante. Certificados OpenVPN Cada uno de los certificados fue creado respetando el estandar X.509 y físicamente están almacenados como archivos *.CER. Todos los clientes-vpn del interior usan en principio el mismo certificado para validarse en el servidor; en una optimización de este esquema de seguridad se podrán crear certificados particulares para cada uno de ellos, como así también una forma más segura de almacenarlos como por ejemplo en tarjetas magnéticas. Enlafigura4.26delapágina117sepuedeverelcertificadoclienteVPN emitidoporlaautoridadcertificadoraioscor 2. Servidor OpenVPN La siguiente configuración corresponde al Server OpenVPN, se encuenta almacenada en el directorio OpenVPN dentro de un archivo*.conf, cada una de sus líneas está acopañada por una descipción en forma de comentario(líneas que comienzan con el signo # ): 2 EnelCertificadonosehacereferenciaalosparametroporcuestionesdeseguirdad.

133 4.3. SOLUCIÓN PROVISORIA 117 Figura 4.26: Certificado Emitido por la A.C. IOSCOR.

134 118 CAPÍTULO 4. IMPLEMENTACIONES VPN S # puerto de escucha del servidor port 1194 #protocoqueseusara proto udp # conexión tipo tunelamiento IP dev tun #rutaynombredecadacertificado ca etc/openvpn/key/ca.crt cert etc/openvpn/key/server.crt key etc/openvpn/key/\server.key dh etc/openvpn/key/\dh1024.pem #Direcciones que se asignaran a los clientes, el server es.1 server ifconfig-pool-persist ipp.txt #Ruta para que los clientes alcancen la red local del server(56.0/24) push route " # parametro de conexión del tunel persist-key persist-tun keepalive comp-lzo status openvpn-status.log verb4 Cliente OpenVPN El siguiente detalle corresponde a la configuración de los clientes Open- VPN, en este caso están almacenados en un archivo*.opvn, bajo un entorno Windows XP. #especifica que es un cliente tls-client client nobind #modotunelingip

135 4.3. SOLUCIÓN PROVISORIA 119 dev tun #seusaelprotoco proto udp #dirección pública del servidor OpenVPN remote xxx.xxx.xxx.xxx float#esporquelaipdelddnsesdinamica #rutadeaccesoynombredeloscertificados ca Ç:\\Archivos de programa\\openvpn\\ca.crt" cert Ç:\\Archivos de programa\\openvpn\\cliente.crt" key Ç:\\Archivos de programa\\openvpn\\cliente.key" #parametros de conexción del tunel resolv-retry infinite persist-key persist-tun comp-lzo verb4 Interfaz de Usuario Cliente OpenVPN (GUI) de Windows Una de las ventajas que tiene OpenVPN es que para el usuario común existe una interfaz gráfica(gui) muy amigable, que le permite usar al Cliente-OpenVPN deunamaneramuyfácil.estainterfazestambiéndecódigolibreygratuita, permite establecer el túnel con el servidor mediante un simple doble-clik en el íconoquesepuedeapreciarenlafigura4.27delapágina119. Figura 4.27: Interfaz Gráfica de OpenVPN para S.O. Windows.

136 120 CAPÍTULO 4. IMPLEMENTACIONES VPN S Permite también desconectar el túnel, reiniciar,configurar un servidor Proxy, entre otras. Configuraciones en la Puerta de Enlace del Servidor VPN (router Linksys RVL200) DebidoaqueelServidorOpenVPNnoesjustamentelapuertade enlace de la red o bien no cumple funciones de máquina anfitriona de Internet, es necesario realizar algunas configuraciones en el equipo que esté compliendo esas funciones; en este caso se trata del nuevo dispositivo Linksys RVL200. Los ajustes necesarios son redireccionamiento de puertos y las nuevas rutas estáticas, que se detallan a continuación. Port Forwarding(Redireccinamiento de Puertos) en Linksys RVL200 Los cliente OpenVPN envían solicitudes de conexión desde las delegaciones a la dirección IP pública del IOSCOR, pero, cómo encontrarían al Servidor OpenVPN dentro de la Red Privada Intitucional?. Este problema se soluciona redireccionando todo los paquetes con puerto destino nro1194(puerto de escucha de OpenVPN) a la dirección de la interfaz física del servidor OpenVPN. Esta regla se configura en la puerta de enlace delaredinstutucional,comosedetallaacontinuaciónenlafigura4.28dela página 120. Figura 4.28: Redireccionamiento de Puertos(Port Forwarding).

137 4.4. SOLUCIÓN DEFINITIVA 121 Rutas Estáticas en Linksys RVL200 Fue necesario también agregar la siguiente ruta estática para que las PC s de la red institucional puedan alcanzar la dirección correspondiente a la VPN. La configuración se podría traducir comotodoloquevaalared seenvíaaladirecciónde xxx.xxx (ver figura 4.29 de la pág. 121). Figura 4.29: Configuración de Rutas Estáticas en Linksys RVL Solución Definitiva Para terminar con este capítulo, se considero como Solución Definitiva la unificación de los protocolos VPNs usados en la institución, en este caso se optó por usar unicamente SSL(Security Layer Socket), por lo que es necesario la adquisición de un nuevo dispositvio de alto rango acorde para desempeñar las funciones de Servidor-SSL. La VPN del I.O.S.COR. quedaria entonces resumida en un LAN que conecta a las delegaciones del interior con la red institucional, acompañada de la

138 122 CAPÍTULO 4. IMPLEMENTACIONES VPN S VPN-Backup(bajo OpenVPN) descripta anteriormente. Luego de un amplio relevamiento de información entre los distintos sitios de fabricantes de dispositivos de redes más conocidos(ej: Cisco, 3Com, Barracuda, etc), se les propuso a las autoridades del I.O.S.COR., las siguientes opciones detalladas por orden de prioridad en la figura 4.30 de la pág.122. Figura 4.30: Servidores VPN-SSL de Distintos Fabricantes. Entre estos dispositvos, se destaca el router Cisco 5510 perteneciente a la familia ASA 5500, el cual cumple con todos los requisitos necesarios para desempeñar las funciones de Server-VPN en lo que consideramos el esquema óptimo correspondiente a este escenario. En la figura 4.31 de la pág. 123 se puede ver un detalle de las características de dicho dispositivo.

139 4.4. SOLUCIÓN DEFINITIVA 123 Figura 4.31: Router Cisco ASA 5510.

140

141 Capítulo 5 E-Learning 5.1. Introducción al e-learning El Concepto de Aprendizaje Electrónico En este primer capítulo se presenta una introducción sobre las nociones básicas del Aprendizaje Electrónico. El aprendizaje electrónico es un término que ha adquirido cada vez más 125

142 126 CAPÍTULO 5. E-LEARNING popularidad en lo que respecta a la capacitación digital y en línea; e-learning, seltérminoeninglés. El aprendizaje electrónico significa algo más que sólo la transmisión digital de conocimientos en línea, o la capacitación basada en la computación a través de la Red WWW. Se refiere a dos componentes importantes: La experiencia del aprendizaje. La tecnología electrónica. La experiencia que se logra del aprendizaje electrónico resalta lo importante de las metodologías y técnicas de capacitación que: Hacenqueelalumnodeseeinvestigarmáseltema. Proporcionan una práctica simulada de aptitudes y procedimientos. Ayuden,apoyenydirijanalosalumnos. Permitan que el alumno interactúe con otros que también están aprendiendo. Definición de Aprendizaje Electrónico El término e-learning viene de dos siglas en inglés la e de e-learning se corresponda a la palabra electronic en inglés, así forma un sustantivo compuesto cuyo núcleo es la palabra learning que se traduce como aprendizaje. Ante esta combinación el término se traduce de manera apropiada como Aprendizaje Electrónico o aprendizaje por medios electrónicos. Este nuevo concepto hace referencia al aprendizaje por medio de equipos electrónicos, como una computadora, el correo electrónico, equipos y servicios relacionados, la red WWW y la tecnología del CD-ROM; ofreciendo de esta forma, una nueva y mejor posibilidad de capacitar a los alumnos y al personal de una determinada organización, que necesitan aprender rápidamente nuevas técnicas y asimilar nueva información, para competir eficazmente en la actualidad y no mantenerse aislados. También es una de las formas que ha adoptado la llamada educación a distancia, al desarrollarse y masificarse las intranets y redes de área amplia, comoeslaredinternet Por qué el E-Learning? Quizá decir que el e-learning es la respuesta para todas las personas y empresas, sea demasiado pretencioso. Pero desde luego sí que es una respuesta

143 5.1. INTRODUCCIÓN AL E-LEARNING 127 cualitativa(respecto a contenidos, tecnología, metodología, servicios) y cuantitativa(en tiempos, costes, número de participantes) a la realidad de nuestro tiempo. Si recordamos los elementos característicos que configuran la organización empresarial actual podemos constatar que e-learning responde a las necesidades que nuestra empresa tiene, ya que: Permite un fácil acceso a la formación y actualización tanto del personal como de la empresa. La mayor participación del alumno en el proceso formativo favorece la adquisición y asimilación de conocimientos y habilidades. Reduce costes indirectos al evitar desplazamientos(formación en el propio puesto de trabajo). Puede realizarse en cualquier lugar, en cualquier momento (anywhere, anytime). Supone una reducción de un 40-60% de coste respecto a la formación tradicional. Creahábitosdeusodenuevastecnologías,quesonaplicableseneltrabajo diario La Tecnología y el Acceso Internet se presenta como una respuesta lógica para cubrir las nuevas demandas de educación y formación. Teniendo en cuenta la tendencia de crecimiento, las previsiones del mercado de las TIC para el año 2006 son verdaderamente positivas, lo cual proporciona al e-learning una posición estructural muy favorable. Los obstáculos técnicos tales como el acceso, los estándares, las infraestructurasoelanchodebandanoseránunproblema. ElcrecimientodelWorldWideWeb,lagrancapacidaddelasredescorporativas y los grandes avances en las computadoras personales proporcionarán la estructura tecnológica suficiente para que el aprendizaje online pueda estar disponible24horasaldíay7díasalasemana(24x7).

144 128 CAPÍTULO 5. E-LEARNING La Globalización de Mercados Los mercados, los productos y la educación cada vez son más globales. Las barreras de la localización están siendo solventadas día a día a través de mercados de productos y de servicios(incluyendo la educación) abiertos o activos24horasaldíay7díasalasemana(24x7)atravésdelautilizaciónde métodos y tecnologías apropiadas. La sociedad debe adaptarse a estos cambios para resultar competitiva Qué es el E-Learning: Sus Características y Segmentación del Mercado E-Learning vs. Online Learning La terminología tecnológica está en continuo desarrollo, al igual que el entornoenelquesegeneraysobretodolostérminos e- queabarcanaspectos muy amplios y muy diversos dependiendo de las organizaciones y de los grupos de usuarios. El término e-learning hizo sus primeras apariciones a finales de 1997 y principios de 1998 y se utiliza actualmente para cubrir casi cualquier tipodeaprendizajebasadoenlastecnologíasdelainformaciónylacomunicación(tic) en su significado más amplio. Según Elliot Marie, uno de los pioneros y gurús del e-learning, el e-learning no es un curso puesto en un PC sino una nueva mezcla de recursos, interactividad, rendimiento. Una nueva estructura para el aprendizaje, una combinación de servicios de enseñanza proporcionados a través del uso de herramientas tecnológicas que proporciona un alto valor añadido: a cualquier hora y en cualquier lugar(anytime, anywhere). Porlotanto,ele-Learningserefieretantoalentornocomoalosprocesos de aprendizaje, siendo los contenidos electrónicos solamente una parte del sistema. El término e-learning se entiende como un método de enseñanza aprendizaje que hace uso de herramientas tecnológicas, recogiendo un amplio abanico de aplicaciones y procesos entre los que se incluye el aprendizaje a través de una computadora personal (PC), el aprendizaje basado en tecnologías Web, clases virtuales, colaboraciones digitales, etc.

145 5.2. QUÉESELE-LEARNING 129 El e-learning implica la entrega de contenidos por medios electrónicos como Internet, intranets, extranets, televisión interactiva, CD ROMs, etc. Así pues, el e-learning incluye aquellas sesiones presenciales que utilicen herramientas digitales o electrónicas como medio para la difusión ylaprácticadeloscontenidosdeuncurso. Online learnining se describe como contraposición al c-learning(classroom learning), es decir, como el aprendizaje basado en Web. Online learning constituye sólo una parte del e-learning e implica un sistema de enseñanza-aprendizaje vía Internet, intranets o extranets. Los niveles de sofisticación del online learning varían desde sistemas muy básicos de transmisión de los textos y gráficos de un curso, ejercicios, exámenes, etc. a niveles más sofisticados como animaciones, simulaciones, secuencias de vídeo y audio, grupos de discusión entre expertos y entre compañeros, enlaces a materiales de la Intranet, etc. e-training: es el término utilizado para describir la formación empresarial conducida vía e-learning. Los tres tipos de sistemas de enseñanza-aprendizaje pueden ser sincrónicos y/o asincrónicos: Las entregas de cursos sincrónicos suponen un sistema de enseñanzaaprendizaje llevado por un tutor/facilitador en tiempo real, en el cual todos los participantes pueden comunicarse directamente entreellos enel mismoespaciodetiempo.ejemplos deestetipo de cursos son las clases virtuales, o incluso las clases presenciales que utilizan las tecnologías de la información y la comunicación(tic) como herramienta para la enseñanza-aprendizaje. Lasentregasdecursosasincrónicossonaquellosenlosquelosprocesos de comunicación entre los participantes se producen obligatoriamente con un desfase de tiempo Reducción de Costes Tanto a nivel empresarial como individual dentro de los costes de la educación o de formación hay que incluir los costes de transporte, alojamientos y manutención o dietas (dependiendo de los casos) en el lugar físico donde tiene lugar la actividad formativa en cuestión. Para aquellos individuos que quieren optar por universidades, cursos o maestrías internacionales los costes de transporte, alojamiento y manutención suponen un coste tan elevado o más

146 130 CAPÍTULO 5. E-LEARNING queeldelcursoquesedeseaseguir.estosuponeunimpedimentoparamuchas personas que no se pueden permitir estos costes adyacentes a la educación pero que sí se podrían permitir el precio de la actividad formativa en cuestión. Si consideramos el derecho a la educación como un servicio de primera necesidad, se puede decir que, el e-learning da un paso adelante a favor de la democratización de la educación(aunque siga aquí quedando pendiente el tema de los info-ricos e info-pobres). Para las empresas, aproximadamente dos tercios del coste de formación delosempleadossedestinaagastosdetransportesydietasparalosempleados que asisten a los cursos, lo cual supone una disminución notable de los beneficios netos de formación de la empresa. Otro aspecto que las empresas consideran a la hora de optar por el e-learning o e-training es el hecho de que los cursos se pueden ofrecer en sesiones más cortas y durante periodos detiempomáslargossinquelaformaciónmonopolicetodoeltiempodelos empleados pudiendo compaginar la formación con sus obligaciones dentro de laempresa,oconsuvidapersonal Incremento de la Retención de los Contenidos El e-learning permite un mayor espacio para los distintos ritmos y estilos de aprendizaje a través de un proceso más personalizado. Con un acceso 24x7 los estudiantes pueden aprender a su propio ritmo y revisar los materialestantasvecescomolonecesiten.elhechodequeseaelestudianteelque gestione su tiempo y materiales de acuerdo a sus posibilidades individuales ha demostradoquelacurvadeaprendizajeseaceleraun60%conrespectoalas clases presenciales Las Mejoras de la Interactividad en el E-Learning Las nuevas tecnologías aplicadas a las plataformas de e-learning han eliminado muchas de las barreras de comunicación y de interactividad que se han identificado como una de las principales desventajas del e-learning. Sin embargo, algunos de los principales inconvenientes que identifican todavía al e- Learning son: 1) falta de relación personal 2) falta de calidad pedagógica y 3) escasa participación. A nivel tecnológico ya es posible crear un ambiente interactivo online a través de estudios de casos, demostraciones, juegos de rol, simulaciones, difusión online de vídeos, tutorías personalizadas, grupos de discusión, trabajos en grupo, chats, , tablones de anuncios, tutoriales, etc.

147 5.3. VENTAJAS DEL E-LEARNING 131 Según varios estudios, los alumnos tienden a profundizar más en los temas cuando el aprendizaje se produce online, esto se debe en parte a que en el e-learning el profesor/facilitador no monopoliza toda la atención. Respecto a la escasa participación, merece la pena prestar atención al hecho de que el aprendizaje online intimida menos que las clases presenciales ya que los alumnos pueden cometer errores sin exponerse físicamente. Con el e-learning se refleja que los estudiantes tienen menos problemas en volver a intentarlo después de haber cometido un error. El e-learning elimina la vergüenza de equivocarse frente a un grupo de iguales Ventajas del e-learning Las principales ventajas se señalan a continuación: Puede ampliar el aprendizaje a toda la organización. Con las tecnologías de aprendizaje electrónico, se puede llegar al personal gerencial y administrativodetodoslosnivelesconelmismocontenidodecapacitaciónyapoyoeducativo. Por ejemplo, al descentralizar sus servicios, las organizaciones tienen que desarrollar la capacidad del personal a nivel distrital y local. Con la infraestructura física adecuada, los administradores de esos niveles pueden recibir la capacitación y las herramientas gerenciales necesarias. Puede llegar a un gran número de alumnos. El desarrollo gerencial y administrativo a menudo requiere que un gran número de administradores instituyan prácticas y técnicas nuevas. Las tecnologías de aprendizaje electrónico potencialmente pueden llegar y ayudar a capacitar, en el corto plazo, a esa masa crítica de administradores necesarios para un desarrollo eficaz. Puede adecuar las actividades de aprendizaje electrónico a la medida de los individuos. La instrucción que emplea una estrategia basada en el aprendizaje electrónico puede organizarse para permitir que los alumnos avancen a su propio ritmo, concentrándose en temas que se adecúen a sus necesidades individuales. Se pueden saltar las partes con las que ya están familiarizados o repetir las partes difíciles. Puede facilitar ayuda por instructores entre sus colegas. Muchos creen quelostutoresdebenserpersonascuyoejemplosedebeseguir,yésteesunode los componentes más importantes en el desarrollo gerencial y de liderazgo. En los programas de las carreras universitarias tradicionales, los tutores actúan como tutores y las relaciones que se establecen con los estudiantes de por vida

148 132 CAPÍTULO 5. E-LEARNING constituyen una base clave para desarrollar el potencial de liderazgo. El aprendizaje electrónico y las comunicaciones electrónicas brindan una mayor posibilidad de desarrollar relaciones a largo plazo entre los alumnos y sus educadores Qué Nos ha Llevado a Elegir E-learning Los aspectos que nos llevan a apostar por el e-learning, como metodología formativa son: Su capacidad de respuesta: 1. Aumenta y complementa las posibilidades formativas al ofrecer diversidad dentro de las modalidades existentes, formación presencial y a distancia. 2. Amplía y mejora la oferta formativa tanto en contenido como en el número de personas que van a recibir la formación. 3. Combinando la flexibilidad de la metodología y la rapidez aportada por el medio(internet) permite la adaptación a las necesidades particulares de: Empresas: configurando planes de carrera individuales, reduciendo tiempos de inversión en formación y manteniendo sus áreas de trabajo permanente actualizadas para afrontar los cambios. Usuarios (alumnos): responder a las necesidades de cada uno (en contenido, ritmos de aprendizaje), y sobre todo con una gran rapidez para adaptarse a los del mercado de trabajo. La Innovación: 1. Apostar por e-learning puede parecer en sí mismo una acción innovadora por el hecho de romper con los métodos y modalidades de formación tradicionales. Pero no, la innovación radica en que supone la incorporación de nuevas tecnologías y metodologías al desarrollo de la formación. ElusodelasTecnologíasdelaInformaciónylaComunicación(TIC)se encuentra estrechamente relacionado con el desarrollo tecnológico de la

149 5.3. VENTAJAS DEL E-LEARNING 133 sociedad. Por lo que utilizar un método de formación que pone plenamente en contacto al alumno con las TIC, e-learning, favorece la incorporación y uso de nuevas tecnologías en la empresa y en el puesto de trabajo, generando a su vez una cultura de Internet. Los resultados de un mayor conocimiento de las Tecnologías de la Información y las Comunicaciones son: Aumento de las competencias y cualificación de los trabajadores, además de su empleabilidad a través de la formación continua. Aumento de la concienciación de la sociedad sobre el uso de las Nuevas Tecnologías, y las bondades que éstas pueden aportar tanto a nuestra vida personal como profesional, rompiendo una lanza a favor del cambio. Mejoradelautilizacióndelcapitalhumanoatravésdeunamejora de la cualificación de los empleados. 2. La metodología e-learning, se caracteriza por ser: Sensorial: a través de la utilización de multimedia se aprovechan al máximo los canales sensitivos, logrando una mayor asimilación de los conocimientos. Interactiva: el alumno puede manejar la información como lo desee; puede imprimirla, copiarla a otro archivo, realizar conexiones a enlaces deinterés,organizarelritmodelectura,detenerenelmomentoquedeseesuestudioycontinuarenelmismositioquelodejó. Además tiene la posibilidad de conexión con otras personas: Tutor, alumnos, Participativa: implica al alumno como sujeto activo y protagonista del aprendizaje al ofrecer posibilidades de acción, variación, decisión, rompiendo con la pasividad y acentuando la implicación y responsabilidad del propio alumno en el proceso. El alumno puede realizar en el momento que lo desee una consulta sin tener que esperar de forma unidireccional recibir información. Comunicativa: el uso de tutorías on-line como técnica de conversación dirigida, con formato de mensajería instantánea o Chat, basado en preguntas más que en una discusión libre, permite la creatividad y el flujo de ideas y mejora las habilidades de expresión escrita.

150 134 CAPÍTULO 5. E-LEARNING Adaptable: aunque la información, contenidos, estén organizados y estructurados, el alumno puede seleccionar dentro de esa organización el camino que considera más adaptado a sus características. De esta forma rompe con la linealidad, ofreciendo un recurso flexible, que se adapta a las características personales, ritmos, gustos y aspiraciones del alumno. Sencilla: el entorno y las herramientas utilizadas no requieren conocimientos ni habilidades específicas. Esto permite atender el curso a diferentes alumnos con diferentes condiciones y horarios. La seguridad del entorno permite el acceso de diferentes alumnos al mismo material, aunque protegiendo el propio, e impidiendo que sus ideas y respuestas sean borradas por otros alumnos. 3. La superación de dificultades: Permite superar barreras tanto de espacio(dimensiones del aula o centro formativo), como de tiempo(adecuación a horarios, desplazamientos para acceder a los centros de formación) y distancia(dispersión geográfica de los alumnos, lejanía de los centros de conocimiento). El e-learning posibilita que la acción formativa tenga lugar desde cualquier lugar y en cualquier momento. Esta ventaja permite que, como personas que viven alejadas de los núcleos importantes de población donde se concentran escuelas y centros de conocimiento; como aquellas que por sus jornadas de trabajo les resulte incompatible el trabajo y el reciclaje profesional, tengan acceso a la formación. Otra gran ventaja del e-learning es que se puede acceder veinticuatro horasaldíaylossietedíasdelasemana(24x7),pudiendoasíelegircada cual el momento de estudio adecuado a sus necesidades y posibilidades. Eliminar el espacio físico-temporal posibilita que se pueda dar formación aunnúmeromuysuperiordepersonasquealasposiblesatravésdela tradicional(presencial), se calcula que hasta unas diez veces más. 4. El ahorro: Se estima que alrededor del 60% del coste empresarial de una acción formativa se destina a partidas que no son estrictamente formación. La tecnología posibilita que allí donde haya un ordenador conectado a la red exista un punto desde el cual formarse.

151 5.3. VENTAJAS DEL E-LEARNING 135 El e-learning supone un ahorro en costes, de un 40-60% respecto a la formación tradicional, directos(coste propio de la formación) e indirectos (desplazamientos, comidas, horas de trabajo, etc.). Además,laformaciónon-linetambiénpuedellegarareducirenun60% el tiempo que una persona tarda en adquirir determinados conocimientos respecto a la enseñanza tradicional y, así mismo, el nivel de retención de conocimientos aumenta hasta un 75% debido a la metodología utilizada. 5. El conocimiento: El conocimiento es posible hacerlo llegar a más personas una vez que superamos las barreras señaladas anteriormente en el punto 3. Además esta metodología posibilita la cooperación y comunicación bidireccional (alumno-profesor, alumnos-alumnos,), así como el desarrollo de habilidades (uso de las TIC) y actitudes (responsabilidad, organización, autoaprendizaje,) trasladables posteriormente al puesto de trabajo. Ventajas Para los Usuarios de Formación e-learning(alumnos) Acceso en cualquier momento, en cualquier lugar(anytime, anywhere). Acceso a una amplia oferta formativa al superarse las barreras geográficas. Acceso inteligente a la información. Disponibilidad del contenido 24x7 (24horasaldía,7díasalasemana). Agilidad en la comunicación(consultas, comunicación entre participantes...). Alumno como sujeto activo y protagonista del proceso formativo. Personalización del aprendizaje(ritmos de aprendizaje, tutorías personalizadas,...). Mayor interacción entre participantes y profesores. Posibilidad de formación síncrona. Desarrollo de la formación en entornos colaborativos y dinámicos. Aunque hemos descubierto las múltiples ventajas del e-learning, y una de ellas ha sido el ahorro, es importante también insistir en que la formación onlinenovaasustituirporcompletoalaformacióntradicional,yaquealgunas personas y empresas considerarán que para ciertas materias es necesario, cuando no imprescindible, la formación presencial.[14]

152 136 CAPÍTULO 5. E-LEARNING 5.4. Qué Frena al E-learning en el Presente, y lo Traslada a un Desarrollo Pleno en el Futuro? Ciertoesqueele-learningesunarealidadpresente,peroalavezes un ya!, pero todavía no. Qué queremos decir? Pues que aunque actualmente son numerosas las empresas que desde sus Departamentos de Recursos Humanos han apostado por esta metodología formativa y muchas las empresas dedicadas alnegociodelaformaciónatravésdeinternet,nopodemosobviarqueexisten dificultadesqueimpidensudesarrolloplenoadíadehoyyportantotrasladan la consolidación del e-learning a un futuro próximo. Algunos de los inconvenientes con que nos encontramos son: 1. LA CULTURA La lenta incorporación de las empresas al uso de las Nuevas Tecnologías. La visión localista frente a la visión global de Internet. Pasar de la formación tradicional a un nuevo modelo de formación. Falta de cultura de aprendizaje sobre la pantalla de un PC. La falsa creencia de que el e-learning es totalmente individualista. 2. LAS INFRAESTRUCTURAS La baja calidad de las infraestructuras de comunicaciones con las quecontamosesotrodelosmotivosderetrasoeneldespeguedel e-learning. Elhechodequelabandaanchanohayallegadoatodaslasempresas y hogares(por su coste,) condiciona el desarrollo de los contenidos, ya que implementar todos los recursos posibles hoy en día al alcancedelatecnologíasupone,enmuchoscasosparaelalumno,un alto tiempo de espera; lo cual desalienta en el proceso formativo pudiendo provocar abandonos. 3. LA MADUREZ Internet, las empresas y filosofía punto com siguen considerándose como un medio no maduro y genera desconfianza.

153 5.4. QUÉ FRENA AL E-LEARNING 137 Además aunque existe una gran variedad de oferta, la misma está muy segmentada, siendo difícil que una empresa encuentre en un solo proveedor respuesta a todas sus necesidades tecnológicas y formativas Mediadores e Interoperabilidad en E-Learning La revolución de las nuevas tecnologías y el crecimiento acelerado de Internet han permitido la creación de un gran número de plataformas de e-learning y a su vez la necesidad de regular e interoperar estas plataformas. 1. La interoperabilidad es definida por la IEEE como la habilidad de dos o más sistemas o componentes para intercambiar información y para usar la información que ha sido intercambiada [15]. En los sistemas de e-learning, la interoperabilidad permite el intercambio y reutilización de recursos educativos(cursos, documentos, videos, tutoriales, etc.) que han sido desarrollados en plataformas educativas heterogéneas, lo cual permite: Incrementar la calidad y variedad de recursos educativos disponibles en el mercado. Preservar el capital invertido en tecnología y desarrollo de recursos educativos, ya que un recurso educativo podrá ser intercambiado o usado sin la necesidad de realizar costosas modificaciones. Garantizar que los usuarios con diferentes plataformas hardware y software puedan acceder a recursos educativos de fuentes heterogéneas, con perdidas mínimas tanto de contenido como de funcionalidad. Para lograr la interoperabilidad en e-learning es necesario: Definir una sintaxis y semántica común para la descripción de los recursos educativos(estándares y tecnologías del Web Semántico). 2. Estándares y especificaciones en e-learning, en lo que respecta a las tecnologías de la información, los objetivos primordiales de los estándares consisten en lograr un lenguaje común, que facilite la integración e interoperabilidad entre diferentes sistemas y tecnologías, con pérdidas mínimas, tanto de contenido como de funcionalidad. La estandarización de las tecnologías aplicadas al aprendizaje pretende posibilitar la reutilización de recursos educativos y la interoperabilidad entre sistemas software heterogéneo. Los estándares en e-learning permiten:[16][17]

154 138 CAPÍTULO 5. E-LEARNING Accesibilidad: Proporcionar acceso de contenido desde cualquier lugaratravésdeunnavegadorde Internet sin importar la plataforma o el contenido en sí mismo. Interoperabilidad: El contenido debería ser independiente de herramienta o plataforma, de tal manera de poder utilizar diferentes plataformas para accesar un mismo contenido. También se refiere a la posibilidad de usar un contenido en una plataforma diferente. Adaptabilidad: Los estándares se refieren al hecho de poder facilitar la adaptación o personalización del entorno de aprendizaje. Re-usabilidad: Solo el uso de estándares nos facilitará el diseñar contenidos que puedan ser utilizados una y otra vez en diferentes asignaturas, cursos o programas educativos. Durabilidad: El contenido debería poder utilizarse sin importar cambiosenlatecnologíabaseenelcualseelaboró.estosinnecesidad de tener que re-codificar o re-compilar programas de software. Productividad: Si los proveedores de tecnología e-learning desarrollan sus productos siguiendo estándares comúnmente aceptados, la efectividad de elearning se incrementa significativamente y el tiempo y costos serán reducidos 3. Mediadores educativos, Simultáneamente a la especificación de estándares para la descripción de recursos educativos, en el campo de los sistemas de información, la investigación sobre sistemas de integración ha tenido grandes avances. Los mediadores se definen como sistemas que soportan vistas integradas sobre múltiples fuentes de información. Un mediador es un módulo de software que emplea el conocimiento codificadodeunaseriededatosparacrearinformaciónparaunacapasuperior de aplicaciones.[18] Entre las principales características de los mediadores educativos se tiene: Son usados para integrar repositorios de información (Ej. Bases de datos y bases de conocimiento) Actúan como intermediarios entre las aplicaciones y los repositorios de información. Tienen capacidades de representación del conocimiento para el manejo de datos heterogéneos e incompatibles. Contiene

155 5.5. TENDENCIAS FUTURAS DEL E-LEARNING 139 conocimiento que va más allá del almacenamiento el cual es usado para analizar, combinar, reducir y homogeneizar una serie de posibles datos heterogéneos originados desde múltiples repositorios. La arquitectura de un esquema mediador. Logra la interoperabilidad entre los sistemas de información, usando módulos inteligentes (mediadores) para procesar las consultas de los usuarios. Una arquitectura de mediación comprende 4 capas: aplicaciones del usuario, mediador, wrappers (envoltorios) y los repositorios de información.ver figura 5.1 de la pagina 139. Figura 5.1: Arquitectura de Sistema Mediador Tendencias Futuras del e-learning Hoy los educadores se debaten sobre la verdadera eficacia de las tecnologías de aprendizaje electrónico basadas en las computadoras. Por la evidencia existente se sugiere que los métodos de aprendizaje electrónico son tan eficaces para la enseñanza o aún más, que las aulas tradicionales. Mas allá de esto, queda claro que las tecnologías de aprendizaje electrónico pueden proporcionar oportunidades de aprendizaje para personas que de otra manera no tendrían acceso a nuevos conocimientos. Los métodos de aprendizaje electrónico pueden ser más eficaces que otros para la enseñanza de algunos

156 140 CAPÍTULO 5. E-LEARNING Figura 5.2: El Mundo Conectado por un Solo Click. tipos de contenidos. Las combinaciones de aprendizaje en aulas y aprendizaje electrónico podrían constituir la mejor estrategia educativa. El e-learning es el negocio del futuro. Esto no significa la muerte de la educación presencial, ésta con el entrenamiento a distancia, siempre van a coexistir, pero en proporciones diferentes(ver figura 5.2 de la página 140).

157 Capítulo 6 Aplicación e-learning Para VPN 6.1. Introducción En este capítulo se describe la aplicación en su totalidad, es decir, cómo está estructurada cada una de sus secciones, la forma en que se accede a sus funcionalidades, como así también, se describe el escenario en el que se encuentra soportada, donde se detallan aspectos fundamentales de hardware ysoftware. La Aplicación e-learning Para Redes Virtuales Privadas permite, entre otrascosas,lagestióndelosusuariosquetienenaccesoalaaplicación,delos temas(protocolo VPN), autoevaluaciones y pruebas sobre túneles VPN reales como parte de actividades de prácticas. Por la naturales del tema(vpn), el establecimiento de los túneles determina que el usuario ha adquirido los conocimientos necesarios para configurar los Clientes-VPN y entiende cómo funcionan las VPNs, por otro lado, la aplicación también permite evaluar los conocimiento teóricos del usuario que incluyen las configuraciones del lado del Servidor-VPN Escenario de la Aplicación Como se puede apreciar en la figura 6.1 de la página 142, el escenario incluye dispositivos físicos como PC servidores, PC clientes, routers y otros dispositivos lógicos como en el caso de los Servidores VPN virtualizados me- 141

158 142 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN diante el software VirtualBox. A continuación se detallan cada uno de los elementos del escenario acompañado de una breve descripción de la función que cumplen y su configuración en algunos casos. Figura 6.1: Escenario de la Aplicación Usuario del Sistema-(a) El usuario del sistema es aquel que ocupa el rol de alumno, luego de acceder como un usuario válido puede acceder a todas las funcionalidades del

159 6.2. ESCENARIO DE LA APLICACIÓN 143 sistema mediante un Cliente Web(Browser). Porotrolado,enelmódulodePrácticasconTúnelesReales (versección correspondiente en este capítulo) el usuario utiliza otro software cliente, en este caso un Cliente-VPN para establecer los túneles con los servidores virtuales. Vale aclarar que ambos clientes son independiente uno del otro, e incluso de la plataforma en donde se encuentran funcionando Router Huawei MT882-(b) Este dispositivio, además de encaminar paquetes hacia sus destinos correspondientes, cumple otras funciones, como son: Cliente PPPeE: mediante un usuario y una contraseña otorgada por el ISP local establece la conexión a Internet que permitirá a los usurios alcanzar el Servidor Web y también será el medio de transporte que soportará los túneles VPN. Redireccionador de Puertos (IP-Forwarding): en este escenario se hace uso de una única dirección IP Pública, la cuál es compartida entretodoslosservidoresvpn yelmismoservidorwebquesoportala aplicación E-Learning. Para que los usuario puedan acceder a cada uno de estos Servidores, resulta necesario identificarlos de alguna manera para poder referenciarlos, por tal motivo, se utiliza el número de puerto destino de los paquetes IP para encaminarlos al servidor correspondiente. Cada protocolo de red tiene su propio número de puerto asignado oficialmente por IANA(Internet Assigned Numbers Authority), por medio de este puertoescuchalaspeticionesdeconexióndelosclientes(verfigura6.2dela página 144). Enlafigura6.3delapág.144sepuedeapreciarlaconfiguraciónnecesaria en el router para la redirección de puertos, en una breve explicación se podría decir, por ejemplo, que todos los paquetes provientes de la interfaz WAN con puerto destino número 80 deben ser encaminados a la dirección por medio de la interfaz Ethernet conectada a la red local(lan) Servidor E-Learning-(c) Este servidor consiste en una PC(física) provista de dos interfaces de red (una real Ethernet y una virtual VirtualBox); se lo considera el componente

160 144 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.2: Números de Puertos por cada Protocolo de Red. Figura 6.3: Redireccionamiento de Puertos en el Router Huawei MT882.

161 6.2. ESCENARIO DE LA APLICACIÓN 145 principal de la aplicación porque sobre el mismo está soportada toda la estructura, tanto la aplicación de e-learning, la base de datos, como la virtualización de los servidores VPN. A continación se detallan cada una de sus funciones: Servidor Web - Tomcat v5.3: es el servidor correspondiente a la aplicación de e-learning, mediante el cual los usuarios accederán a la misma y podrán descargar archivos en formato PDF,Word, etc. Servidor de Base de Datos - DB2: aparte de interactuar con el servidor web(aplicación e-learning) en la actualización de los datos de usuarios, este servidor de base de datos también acepta conexiones desde aplicaciones web alojadas en los servidores virtuales. Virtualización de Servidores- VirtualBox: sobre este servidor se encuentra instalado el software de virtualización, las máquinas virtuales están almacenadas como archivos y cada una se ejecuta asignándole una parte de los recursos físicos de la PC. Por ejemplo, para el Servidor- PPTP, se le asigna un disco virtual de 6 GB, 256 MB de la memoria principal, entre otros recursos Servidores Virtuales Todos los servidores virtuales tiene una aplicación en común; se trata de una aplicación web que se conecta al servidor de base de datos (b), con el objetivo de actualizar los datos de aquellos usuarios que hayan establecido correctamente los túneles VPN(sección correspondiente a Establecimiento de Túneles con Servidores Reales). La configuración de los servidores varía según los parametros de conexión que incluye cada práctica que realizan los usuarios. Por ejemplo, se puede asignarunadirecciónipalosclientesvpnmedianedhcpo bien,seleenvía al usuario la dirección IP como un parámetro de conexión. A continuación se detallan la características básicas de cada Servidor-VPN: Servidor PPP(Acceso Telefónico a Redes): Sistema Operativo: Windows Server Capacidad Disco Virtual: 6 GB. Memoria Principal: 256 MB. Interfaz de Red: VirtualBox Host-Only Ethernet Adapter.

162 146 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Protocolos: PPPeE. Servidor PPP: activado. Dirección IP: /8. DHCP: activado según las prácticas. Validación: Base de Datos Local. Servidor PPTP/ L2TP: Sistema Operativo: Windows XP SP3. Capacidad Disco Virtual: 6 GB. Memoria Principal: 256 MB. Interfaz de Red: VirtualBox Host-Only Ethernet Adapter. Protocolos: PPTP y L2TP. Servidor PPP: activado. Dirección IP: /8. DHCP: activado según las prácticas. Validación: Base de Datos Local. Servidor OpenVPN: Sistema Operativo: Linux Ubuntu Desktop Capacidad Disco Virtual: 10gb. Memoria Principal: 256 MB. InterfazdeRed:TAP-Win32AdapterV8. Protocolos: SSL(OpenVPN). Dirección IP: /8 DHCP: activado según las prácticas. Esquema: Infraestructura de Clave Pública(PKI). Validación: Certificados X.509. Reglas de Firewall IPTables: iptables-p OUTPUT ACCEPT iptables-p INPUT ACCEPT iptables-p FORWARD ACCEPT

163 6.2. ESCENARIO DE LA APLICACIÓN 147 #iptables-t nat-a POSTROUTING-s /24-o /24 -j MASQUERADE #iptables-t nat -I POSTROUTING-o /24-s /24 -j MASQUERADE #iptables-t nat-i POSTROUTING-o /24-j MASQUERADE iptables -t nat -I POSTROUTING -s /24 -o eth0 -j MAS- QUERADE iptables-t nat-i POSTROUTING-o tun0-j MASQUERADE iptables-a FORWARD-s /24-o tun0-j ACCEPT iptables-a FORWARD-d /24-m state state ESTABLISHED, RELATED-i tun0-j ACCEPT iptables-ainput-itun0-jaccept iptables-ainput-pudp dport1194-jaccept iptables-ainput-ptcp dport1194-jaccept iptables-a FORWARD-i tun0-j ACCEPT iptables-a FORWARD-i tun0-j ACCEPT iptables-aoutput-otun0-jaccept Configuración del archivo server.conf: port 1194 proto udp dev tun ca/etc/openvpn/key/ca.crt cert/etc/openvpn/key/server.crt key/etc/openvpn/key/server.key dh/etc/openvpn/key/dh1024.pem #Direcciones que se asignaran a los clientes, el server es.1 server ifconfig-pool-persist ipp.txt #Ruta para que los clientes alcancen la red local del server( /24) push route " #route #push route-gateway "

164 148 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN route add-net netmask gw client-to-client persist-key persist-tun keepalive comp-lzo status openvpn-status.log verb Descripción de la Aplicación Web Pantalla de Inicio Lapantalladeinicioconstadeunmenúprincipal quecuentaconlasopcionesmásimportantescomosedetallaacontinación(verfigura6.4delapág. 149): Inicio. Usuario. Profesor. Ayuda. Gestión de Usuarios El primer paso para poder acceder a la aplicación es ingresar al sistema como un usuario válido, para ello, la persona interesada debe ingresar sus datos personales en el siguiente formulario(ver figura 6.5 de la pág. 150) Menú de Usuarios Para poder acceder a las opciones del Sistema e-hearling VPN el usuario debeingresarsunombredeusuarioycontraseña,siesqueestáregistrado.al presionar el botón aceptar, la aplicación valida los datos, ya sea si los campos estánvacíosoelusuarioycontraseñasonincorrectosonoexisten.enelcaso dequelosdatosseanincorrectosonoexistan,elsistemadaavisodelerror.

165 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 149 Figura 6.4: Pantalla de Inicio de la Aplicación.

166 150 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.5: Formulario de Alta de Usuario.

167 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 151 Una vez que el Usuario haya ingresado al sistema dispone de las siguientes opciones(verfigura6.6delapág.152): Teoría sobres VPN. Autoevaluar mis Conocimeintos. Actividades con Túneles Reales. Consultar Resultados. Teoría sobre VPN Estasecciónsequesemuestraenlafigura6.7delapágina153ypermite al usuarioseleccionarel temasobreel cual deseaaprender; porcadaunode los temas tendrá la posibilidad de descargar un archivo de extención*.doc o *.pdf con toda la documentación correspondiente. La lectura de este material por parte del usuario es muy importante, porque sobre estos documentos están basadas las preguntas de Autoevaluación y las prácticas de Túneles. Autevaluar mis Conocimientos Cuando el usuario decide en qué tema desea evaluarse, se abre un cuestionario con cinco preguntas múltiple opción, donde sólo una es la correcta, yseiniciauncronómetroqueestáprogramadoparaqueelalumnotengaun límite de tiempo determinado para evaluarse(ver figura 6.8 de la pág. 154). Todas las preguntas tienen que tener marcadas una respuesta. El sistema muestra los resultados de la evaluación y pregunta si desea seguir rindiendo. Sólosepuederendir3veceselmismotema. Prácticas con Túneles Reales Las Prácticas con Túneles Reales son una forma de verificar los conocimientos adquiridos por los usuarios de la aplicación. El objetivo de esta sección es que el usuario sea capaz de establecer un Túnel VPN haciendo uso de un software Cliente mediante el cuál, deberá intentar conectarse a alguno de los Servidores VPN que forma parte del escenario de la aplicación e-learning. Aquellos usuarios que fueron capaces de establecer los túneles tendrán acceso a un portal Web(sección distribuida de la aplicación e-learning) donde

168 152 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.6: Menú de Usuario.

169 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 153 Figura 6.7: Menú de Descarga de Teoría.

170 154 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.8: Cuestionario de Autoevaluación.

171 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 155 podrán ingresar sus datos, dejando asentado así, que concluyeron de forma satisfactorio la práctica correspondiente. Estaesunaformaautomáticadeevaluaralosusuariosytienelaventaja de que no necesita de un administrador que esté monitoreando cada una de las prácticas. A continuación se detallan los pasos que deberán respetar los usuarios para aprobar cada una de las prácticas: 1 o Paso: El usuario ingresa a la sección Prácticas con Túneles Reales que figura en el menú de usuarios, donde deberá seleccionar el protocolo VPN correspondiente a la práctica que quiere realizar. A partir de aquí, podrá descargar un instructivo que le ayudará a completar la práctica acompañado de los párametros del Túnel, entre los cuales figuran según la práctica algunos de los siguientes: Protocolo de Túnel. Método de Encriptación. Método de Autenticación. Arquitectura VPN. Dirección IP Privada del Portal de Validación. Dirección IP del Cliente-VPN. Dirección IP del Servidor-VPN. Puerta de Enlaces. Horario de Conexión al Servidor. Certificados en casos de una Infraestructura de Clave Pública. Enlafigura6.9delapág.156sepuedeapreciarunejemplodeuna práctica en formato PDF, la cual es usuario la descarga desde la aplicación. 2 o Paso:Ayudadosporlasinstruccionesymediantelosparámetrosdel túnel, los usuarios deberán establecer correctamente el túnel VPN para poder llegar al portal de validación donde dejarán asentados sus datos (usuario y contraseña). La dirección del servidor web corresponde a la IP Privada delaredvirtualprivadaalaquepertenece,ylaúnicamanera de llegar a éste es perteneciendo a la misma red privada. En la figura 6.2delapág.157sepuedeverunesquemaendondeunusuariollegaal Portal de Actualización por medio de un túnel VPN.

172 156 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.9: Prácticas con Túneles Reales.

173 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 157 Figura 6.10: Prácticas con Túneles Reales.

174 158 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN En la figura 6.11 de la pág. 158 se puede ver la interfaz gráfica de la aplicación Actualiza(portal de actualización), donde el usuario asentará sus datos en el sistema para antes de pasar por su correspondientes validaciones. Figura 6.11: Portal de Actualización de Túnel Establecido Correctamente. Cada Portal Web forma parte de la aplicación e-learning, se lo podría considerar como parte de un sistema distribuido ya que están alojados en distintos servidores. Los portales poseen una conexión ODBC(Open DataBase Connectivity) con la base de datos de la aplicación, mediante la cuál pueden actualizar los datos de los usuarios. 3er Paso: En este último paso, los Portales de Validación se encargan de asentar los datos de los usuarios que aprobaron las prácticas, cuya

175 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 159 tarea es transparente tanto para los usuarios como el administrador de laaplicación(verfigura6.12delapág.159). Figura6.12: Conexión OBDC de un Portal Web conla Base dedatos de la Aplicación Unavezquesoningresadoslosdatosdelusuario,elsistemavalidasison correctosyenesecaso,detallaunresumenconlosvaloresyparámetrosdela conexióncomoseveenla figura6.13delapágina160. Consultar Resultados Esta página se divide en dos cuadros: 1. Actividades Realizadas: en este cuadro se puede consultar sobre todas las actividades con túneles reales que realizó el usuario. Si el usuario desea, puede descargar también un informe detallado de cada conexión. 2. Resultados de Autoevaluación: se detallan cada una de las evaluaciones que rindió el usuario. En la figura 6.14 de la pág. 161 se detalla las secciones de consultas del usuario.

176 160 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.13: Detalle de la Conexión VPN.

177 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 161 Figura 6.14: Resultados de las Prácticas y Evaluaciones de los Usuarios.

178 162 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Menú Profesor Al igual que el usuario del sistema, el Profesor o también denominado Administrador del sistema, debe ingresar su usuario y contraseña para poder ingresaral sistemacomoseveenlafigura6.15delapág. 162.Una vezque el administrador se ha validad conrrectamente puede acceder a un menú con las siguientes opciones de administración para cada uno de los temas de la aplicación(ver figura 6.16 de la pág. 163). Autoevaluaciones (Agregar, eliminar y modificar las preguntas). Actualizar los temas. Actualizar las actividades. Figura 6.15: Validación de Profesor.

179 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 163 Figura 6.16: Menu de Administración.

180 164 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Autoevaluaciones Por medio de esta sección, el usuario puede acceder a funciones ABM(Alta, Baja y Modificaciones) sobre las preguntas correspondientes a las autoevaluaciones. 1- Agregar preguntas: El profesor selecciona el tema enel cual deseaagregar una pregunta. La pantallaquemuestraelsistemaesladelafigura6.17delapág.165.secarga la pregunta con cinco opciones de respuestas, donde sólo una es la correcta. La respuesta correcta tiene que estar marcada. Se puede ver cuántas preguntas actualmente contiene cada tema, a través de una leyenda que muestra el sistema en esta página. Mientras más preguntas cargueelprofesorportema,elalumnoalahoradeevaluarseenelmismotema (como las preguntas del cuestionario son elegidas al azar) obtendrá mayor diversidad de preguntas. El sistema validará los datos al cargar una pegunta y mostrará mensajes deerror,encasodeque: Los campos estén vacíos. Haya respuestas iguales. No haya marcado la respuesta correcta. La pregunta ya existe. Si ninguno de estos errores existe la carga se realizará exitosamente. 2- Modificar una pregunta: Se elige el tema y se selecciona la pregunta a modificar a través de una lista que contiene todas las preguntas del tema seleccionado, luego se procede a modificar ya sea, la pregunta, las respuestas o la respuesta correcta y se presiona el botón modificar, la pregunta se actualizará según la modificación hecha. 3- Eliminar una pregunta: Se procede de la misma forma que cuando se quiere modificar, sólo que antesdeeliminar,elsistemamuestraunmensajesiestáseguroonoderealizar esta operación.

181 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 165 Figura 6.17: Alta de Pregunta de Autoevaluación.

182 166 CAPÍTULO 6. APLICACIÓN E-LEARNING PARA VPN Figura 6.18: Actualización de Apuntes Actualizar los Apuntes Paraactualizarlosapunteselprimerpasoeselegireltemaalcuálpertenece elapunteencuestión.porcadaunodelosapuntessecuentaconlaposibilidad de agregar apuntes y visualizar los disponibles, como así también modifarlos yeliminarlos(verfigura6.18delapág.166). Actualizar Actividades Se presenta la siguiente pantalla donde el profesor selecciona el tema con elquedeseatrabajar,aligualqueenlaactualizacióndelosapuntes,cuenta

183 6.3. DESCRIPCIÓN DE LA APLICACIÓN WEB 167 con un menú con opciones como agregar, modificar o eliminar actividades(ver figura6.19depág.167). Figura 6.19: Actualización de Actividades de Túnles.

184

185 Capítulo 7 Herramientas 7.1. Introducción al Lenguaje Java Java es un lenguaje orientado a objetos. Esto significa que posee ciertas características que hoy día se consideran estándares en los lenguajes OO: Objetos. Clases. Métodos. Subclases. 169

186 170 CAPÍTULO 7. HERRAMIENTAS Herencia simple. Enlace dinámico. Encapsulamiento. Para programar orientado a objetos es necesario primero diseñar un conjunto de clases. La claridad, eficiencia y mantenibilidad del programa resultante dependerá principalmente de la calidad del diseño de clases. Un buen diseño de clases significará una gran economía en tiempo de desarrollo y mantención. Lamentablemente se necesita mucha habilidad y experiencia para lograr diseñosdeclasesdecalidad.unmaldiseñodeclasespuedellevaraprogramas OOdepeorcalidadydemásaltocostoqueelprogramaequivalentenoOO [19]. PorquéentonceslaventajadeprogramarenunlenguajeOO,siserequiere una experiencia que probablemente una persona nunca tendrá el tiempo de práctica para llegar a obtenerla. La respuesta a este interrogante es que Java es un lenguaje multiparadigma(como muchos otros lenguajes de programación). Nosenecesitahacerundiseñodeclasesparaprogramarunaaplicacióndemil líneas. Entonces otro interrogante podrá ser porque no programar con otro lenguajemássimples,comopuedeservisualbasic,sinosenecesitaqueseaoo.la respuestaaéstoeslagranventajadeunlenguajeoo,quesonlasbibliotecas de clases que se pueden construir para la aplicación [20]. Una biblioteca de clases cumple el mismo objetivo de una biblioteca de procedimientos en una lenguaje como C. Sin embargo: Unabibliotecadeclases esmuchomásfácildeusarqueunabibliotecade procedimientos, incluso para programadores sin experiencia en orientación a objetos. Esto se debe a que las clases ofrecen mecanismos de abstracción más eficaces que los procedimientos. Se puede distinguir entre varios tipos de programadores en Java: Eldiseñadordeclases:eselencargadodedefinirquéclasesofrece una biblioteca y cuál es la funcionalidad que se espera de estas clases.estapersonatienequesermuyhábilydemuchaexperiencia. Un diseño equivocado puede conducir a clases que son incomprensibles para los clientes de la biblioteca. El programador de clases de biblioteca: sólo programa la clases especificadas por el diseñador de clases. Esta persona debe entender

187 7.1. INTRODUCCIÓN AL LENGUAJE JAVA 171 orientación a objetos, pero no requiere mayor experiencia en diseño de clases. El cliente de bibliotecas: es el programador de aplicaciones. Él sólo usa las clases que otros han diseñado y programado. Como en el caso anterior necesita entender orientación a objetos y conocer la biblioteca que va usar, pero no necesita mayor experiencia. Tanto programadores de clases como clientes de bibliotecas pueden llegar a convertirse en buenos diseñadores de clases en la medida que adquieran experiencia, comparando los diseños de las bibliotecas que utilicen. Por lo tanto es importante destacar que no se necesita gran experiencia en diseño orientado a objetos para poder aprovechar las ventajas de la orientación aobjetos[21]. Bibliotecas de Clases Estándares de Java Toda implementación de Java debe tener las siguientes bibliotecas de clases: Manejo de archivos. Comunicación de datos. Acceso a la red Internet.. Accesoabasesdedatos. Interfaces gráficas. La interfaz de programación de estas clases es estándar, es decir en todas ellas las operaciones se invocan con el mismo nombre y los mismos argumentos. Java es Multiplataforma Los programas en Java pueden ejecutarse en cualquiera de las siguientes plataformas, sin necesidad de hacer cambios: Windows/95 y/nt. Power/Mac. Unix(Solaris, Silicon Graphics,...). La compatibilidad es total:

188 172 CAPÍTULO 7. HERRAMIENTAS A nivel de fuentes: el lenguaje es exactamente el mismo en todas las plataformas. A nivel de bibliotecas: en todas las plataformas están presentes las mismas bibliotecas estándares. A nivel del código compilado: el código intermedio que genera el compilador es el mismo para todas las plataformas. Lo que cambia es el intérprete del código intermedio. Características del Lenguaje Java Se características son las siguientes: Robustez:EnJava nosepuedencometerloscuatroerroresquesemencionarán a continuación: Java siemprechequealosíndicesalaccederaunarreglo.java realizachequeodetiposdurantelacompilación(aligualquec).en una asignación entre punteros el compilador verifica que los tipos sean compatibles. Además, Java realiza chequeo de tipos durante la ejecución(cosaquecyc++nohacen).cuandounprogramausa uncastparaaccederaunobjetocomosifuesedeuntipoespecífico, severificadurantelaejecuciónqueelobjetoencuestiónseacompatibleconel castqueseleaplica. Si el objetonoes compatible, entonces se levanta una excepción que informa al programador la líneaexactaendondeestálafuentedelerror. Java posee un recolector de basuras que administra automáticamente la memoria. Es el recolector el que determina cuando se puede liberar el espacio ocupado por un objeto. El programador no puede liberar explícitamente el espacio ocupado por un objeto. Java no posee aritmética de punteros, porque es una propiedad que no se necesita para programar aplicaciones. En C sólo se necesita la aritmética de punteros para programa malloc/free o para programar el núcleo del sistema operativo. PorlotantoJava noesunlenguajeparahacersistemasoperativos o administradores de memoria, pero sí es un excelente lenguaje para programar aplicaciones. Flexibilidad: Java combina flexibilidad, robustez y legibilidad gracias a unamezcladechequeodetiposdurantelacompilaciónydurantelaejecución.enjavasepuedentenerpunterosaobjetosdeuntipoespecífico

189 7.1. INTRODUCCIÓN AL LENGUAJE JAVA 173 y también se pueden tener punteros a objetos de cualquier tipo. Estos punteros se pueden convertir a punteros de un tipo específico aplicando uncast,encuyocasosechequeaentiempodeejecucióndequeelobjeto sea de un tipo compatible. El programador usa entonces punteros de tipoespecíficoenlamayoríadeloscasosconelfindeganarlegibilidady en unos pocos casos usa punteros a tipos desconocidos cuando necesita tener flexibilidad. Por lo tanto Java combina la robustez de Pascal con la flexibilidad de Lisp, sin que lo programas pierdan legibilidad en ningún caso. Administración Automática de la Memoria: En Java los programadores nonecesitanpreocuparsedeliberaruntrozodememoriacuandoyanolo necesitan. Es el recolector de basuras el que determina cuando se puede liberar la memoria ocupada por un objeto. Un recolector de basuras es un gran aporte a la productividad. Se ha estudiado en casos concretos que los programadores han dedicado un 40% del tiempo de desarrollo a determinar en qué momento se puede liberar un trozo de memoria. Además este porcentaje de tiempo aumenta a medida que aumenta la complejidad del software en desarrollo. Es relativamente sencillo liberar correctamente la memoria en un programa de 1000 líneas. Sin embargo, esdifícilhacerloenunprogramade10000líneas.ysepuedepostularquees imposible liberar correctamente la memoria en un programa de líneas. Resumiendo, se puede concluir que: todo programa de líneas que libera explícitamente la memoria tiene errores latentes, sin un recolector de basuras no hay verdadera modularidad y un recolector de basuras resuelve todos los problemas de manejo de memoria en forma trivial. El interrogante sería cuál es el impacto de un recolector de basura en el desempeño de un programa. El sobrecosto de la recolección de basuras no es superioral100%.esdecirsisetieneunprogramaqueliberaexplícitamentela memoriayquetomatiempox,elmismoprogramamodificadodemodoque utilice un recolector de basuras para liberar la memoria tomará un tiempo no superior a 2X. Este sobrecosto no es importante si se considera el periódico incremento en la velocidad de los procesadores. Elimpactoqueunrecolectordebasuraeneltiempodedesarrolloyenla confiabilidad del software resultante es muchos más importante que la pérdida en eficiencia.

190 174 CAPÍTULO 7. HERRAMIENTAS Estructura General de un Programa Java En el siguiente ejemplo se presenta la estructura habitual de un programa realizado en cualquier lenguaje orientado a objetos u OOP (Object Oriented Programming), y en particular en el lenguaje Java: import java.awt.*; import java.lang.string; import java.lang.integer; import java.awt.event.windowevent; import java.util.*; import java.awt.textfield; public class Simu extends Frame implements ActionListener,ItemListener{ MenuBar barra; m1 =new Menu( Archivo ); barra.add(m1); m2=newmenu( Ver ); barra.add(m2);... public static void main(string argv[]){ Simumenus=newSimu(); menus.settitle( Simulación de Redes ); menus.setvisible(true); } } Aparece una clase que contiene el programa principal Simu (aquel que contiene la función main()) y algunas clases de usuario(las específicas de la aplicación que se está desarrollando) que son utilizadas por el programa principal.laaplicaciónseejecutapormediodelnombredelaclasequecontiene la función main(). Las clases de Java se agrupan en packages, que son libreríasdeclases.silasclasesnosedefinencomopertenecientesaunpackage, se utiliza un package por defecto(default) que es el directorio activo.

191 7.1. INTRODUCCIÓN AL LENGUAJE JAVA Conceptos Básicos Clase Una clase es una agrupación de datos (variables o campos) y de funciones (métodos) que operan sobre esos datos. A estos datos y funciones pertenecientes a una clase se les denomina variables y métodos o funciones miembro. La programación orientada a objetos se basa en la programación declases[21,joyanes].unprogramaseconstruyeapartirdeunconjuntode clases. Una vez definida e implementada una clase, es posible declarar elementos deestaclasedemodosimilaracomosedeclaranlasvariablesdellenguaje(int, double, String). Los elementos declarados de una clase se denominan objetos delaclase.deunaúnicaclasesepuedendeclararocrearnumerososobjetos. Laclaseeslogenérico:eselpatrónomodeloparacrearobjetos.Cadaobjeto tiene sus propias copias de las variables miembro, con sus propios valores, en general distintos de los demás objetos de la clase. Las clases pueden tener variablesstatic,quesonpropiasdelaclaseynodecadaobjeto[22,bosz]. Ejemplo: public abstract class FuncionActivacion implements Cloneable,Serializable{ /*constructor sin argumentos que permite la herencia*/ public FuncionActivacion(){ } } Herencia La herencia permite que se puedan definir nuevas clases basadas en clases existentes, lo cual facilita reutilizar código previamente desarrollado. Si una clase deriva de otra(extends) hereda todas sus variables y métodos. La clase derivada puede añadir nuevas variables y métodos y/o redefinir las variables y métodos heredados. En Java, a diferencia de otros lenguajes orientados a objetos, una clase sólo puede derivar de una única clase, con lo cual no es posible realizar herencia múltiple en base a clases. Sin embargo es posible simular la herencia múltiple en base a las interfaces. Interface

192 176 CAPÍTULO 7. HERRAMIENTAS Una interface es un conjunto de declaraciones de funciones. Si una clase implementa (implements) una interface, debe definir todas las funciones especificadas por la interface. Una clase puede implementar más de una interface, representando una forma alternativa de la herencia múltiple. Una interface puede derivar de otra o incluso de varias interfaces, en cuyo caso incorpora todos los métodos de las interfaces de las que deriva. Ejemplo: La clase TangenteHiperbólica se extiende de la clase FunciónActivación que implementa la interface Serializable. /*función de activación tangente hiperbólica*/ public class TangenteHiperbolica extends FuncionActivacion implements Serializable{ } /*constructor sin argumentos*/ public TangenteHiperbolica(){ } Package Un package es una agrupación de clases. Existen una serie de packages incluidos en el lenguaje. Además el programador puede crear sus propios packages. Todas las clases queformenpartedeunpackagedebenestarenelmismodirectorio. Los packages se utilizan con las siguientes finalidades: 1. Para agrupar clases relacionadas. 2. Paraevitarconflictosdenombres.Encasodeconflictodenombresentre clases importadas, el compilador obliga a cualificar en el código los nombres de dichas clases con el nombre del package. 3. Paraayudarenelcontroldelaaccesibilidaddeclasesymiembros. Por las razones citadas, durante la etapa de Diseño del Software desarrollado, se ha decido crear dos paquetes, calculos e interfase, utilizando la sentencia package. package myprojects.simu; import myprojects.calculos.*; import myprojects.interfase.*;

193 7.1. INTRODUCCIÓN AL LENGUAJE JAVA Variables Dentro del Lenguaje Java Una variable en Java es un identificador que representa una palabra de memoria que contiene información. El tipo de información almacenado en una variablesólopuedeserdeltipoconquesedeclaróesavariable. En Java hay dos tipos principales de variables: 1. Variables de tipos primitivos. Están definidas mediante un valor único y almacenan directamente ese valor siempre que pertenezca al rangodeesetipo.porejemplounavariableintalmacenaunvalorentero como 1, 2, 0, -1, etc. Esto significa que al asignar una variable entera aotravariableentera,secopiaelvalordelaprimeraenelespacioque ocupa la segunda variable. 2. Variables referencia. Las variables referencia son referencias o nombres de una información más compleja: arrays u objetos de una determinadaclase. Unareferenciaaunobjetoesladireccióndeunáreaen memoria destinada a representar ese objeto. El área de memoria se solicitaconeloperadornew.alasignarunavariabledetiporeferenciaa objeto a otra variable se asigna la dirección y no el objeto referenciado por esa dirección. Esto significa que ambas variables quedan referenciando el mismo objeto. En Java una variable no puede almacenar directamenteunobjeto,comoocurreencyc++.porlotantocuandosedice enjava queunavariableesunstring,loquesequieredecirenrealidad esquelavariableesunareferenciaaunstring. Desde el punto de vista de su papel dentro del programa, las variables pueden ser: 1. Variables miembro de una clase.sedefinenenunaclase,fuerade cualquier método; pueden ser tipos primitivos o referencias. 2. Variables locales. Se definen dentro de un método o más en general dentro de cualquier bloque entre llaves {}. Se crean en el interior del bloque y se destruyen al finalizar dicho bloque. Pueden ser también tipos primitivos o referencias. EnlaTabla7.1delapág. 178semuestraunadeclaración, el nombrede la variable introducida y el tipo de información que almacena la variable: EnlaTabla7.2delapág.178semuestranlasdosgrandescategoríasde tipos para las variables en Java:

194 178 CAPÍTULO 7. HERRAMIENTAS Declaración Identificador Tipo int i; i entero String s; s referencia a string int a[]; a referencia a arreglo de enteros int[]b; b referencia a arreglo de enteros Cuadro 7.1: Tipos de Variables. Tipos Primitivos Referencias a Objetos int, short, byte, long Strings char, boolean Arreglos float, double otros objetos Cuadro 7.2: Categorías de Variables. EnlaTabla7.3delapág.178seindicaparacadatipoprimitivoelnúmero debitsqueseempleaensurepresentaciónyelrangodevaloresquesepuede almacenar en las variables de estos tipos. Tipo Bits Rango Ejemplos int ,1,5,-120,... short , ,1,5,-120,... byte , ,1,5,-120,... long , ,1,5,-120,... boolean 1 n/a false, true char 16 n/a a, A, 0, *,... float 32 IEEE 1.2 double 64 IEEE 1.2 Cuadro 7.3: Tipos Primitivos de Variables. SedicequeuntipoAesdemayorrangoqueuntipoB siaesunsuperconjuntodeb.estoquieredecirquelasvariablesdetipobsiempresepueden asignar a variables de tipo A(eventualmente con pérdida de significancia). Por ejemplo int es de mayor rango que short, que a su vez es de mayor

195 7.1. INTRODUCCIÓN AL LENGUAJE JAVA 179 rangoquebyte.floatydoublesondemayorrangoqueint.doubleesdemayor rango que float. Esto se puede quedar resumido de la siguiente manera: double>float>long>int>short>byte Seentiendeporvisibilidad,ámbitooscopedeunavariable,lapartedela aplicación donde dicha variable es accesible y por lo tanto puede ser utilizada en cualquier expresión. En Java todos las variables deben estar incluidas en una clase. En general las variables declaradas dentro de unas llaves{}, es decir dentro de un bloque, son visibles y existen dentro de estas llaves. Por ejemplo las variables declaradas al principio de una función existen mientras se ejecute la función; las variables declaradas dentro de un bloque if no serán válidas al finalizar las sentencias correspondientes a dicho if y las variables miembro deunaclase(esdecirdeclaradasentrelasllaves{}delaclaseperofuerade cualquier método) son válidas mientras existe el objeto de la clase. Las variables miembro de una clase declaradas como public son accesibles a través de una referencia a un objeto de dicha clase utilizando el operador punto (.). Las variables miembro declaradas como private no son accesibles directamente desde otras clases. Las funciones miembro de una clase tienen accesodirectoatodaslasvariablesmiembrodelaclasesinnecesidaddeanteponerelnombredeunobjetodelaclase.sinembargolasfuncionesmiembro deunaclasebderivadadeotraa,tienenaccesoatodaslasvariablesmiembrodeadeclaradas comopublic o protected, pero no alas declaradascomo private. Una clase derivada sólo puede acceder directamente a las variables y funciones miembro de su clase base declaradas como public o protected. Otra característica del lenguaje es que es posible declarar una variable dentro de un bloque con el mismo nombre que una variable miembro, pero no con el nombre de otra variable local. La variable declarada dentro del bloque oculta alavariablemiembroenesebloque.paraaccederalavariablemiembrooculta será preciso utilizar el operador this. Uno de los aspectos más importantes en la programación orientada a objetos (OOP) es la forma en la cual son creados y eliminados los objetos.la forma de crear nuevos objetos es utilizar el operador new.la eliminación de los objetos la realiza el denominado garbage collector, quien automáticamente libera o borra la memoria ocupada por un objeto cuando no existe ninguna referencia apuntando a ese objeto.

196 180 CAPÍTULO 7. HERRAMIENTAS Operadores en Java Java es un lenguaje rico en operadores, que son casi idénticos a los de C/C++. Estos operadores se describen brevemente a continuación. Operadores Aritméticos Son operadores binarios (requieren siempre dos operandos) que realizan las operaciones aritméticas habituales: suma(+), resta(-), multiplicación(*), división(/)yrestodeladivisión(%). Operadores de Asignación Los operadores de asignación permiten asignar un valor a una variable. El operador de asignación por excelencia es el operador igual(=). La forma general de las sentencias de asignación con este operador es: variable = expression; Java dispone de otros operadores de asignación. Se trata de versiones abreviadas del operador (=) que realizan operaciones acumulativas sobre una variable. Operador Utilización ExpresiónEquivalente += op1+=op2 op1=op1+op2 -= op1-=op2 op1=op1-op2 =* op1*=op2 op1=op1*op2 =/ op1/=op2 op1=op1/op2 %= op1%=op2 op1=op1%op2 Operadores Unarios Cuadro 7.4: Operadores de asignación. LasiguienteTabla7.4delapág.180,muestraestosoperadoresysuequivalenciaconelusodeloperadorigual(=). Losoperadoresmás(+)ymenos(-)unariossirvenparamantenerocambiarelsignodeuna variable, constante o expresión numérica. Su uso en Java es el estándar de estos operadores. Operadores Incrementales

197 7.1. INTRODUCCIÓN AL LENGUAJE JAVA 181 Java dispone del operador incremento(++) y decremento( ). El operador (++)incrementaenunaunidadlavariablealaqueseaplica,mientrasque( ) la reduce en una unidad. Estos operadores se pueden utilizar de dos formas: 1. Precediendoalavariable(porejemplo:++i).Enestecasoprimeroseincrementa la variable y luego se utiliza(ya incrementada) en la expresión enlaqueaparece. 2. Siguiendo a la variable (por ejemplo: i++). En este caso primero se utilizalavariableenlaexpresión(conelvaloranterior)yluegoseincrementa. En muchas ocasiones estos operadores se utilizan para incrementar una variable fuera de una expresión. En este caso ambos operadores son equivalente. Si se utilizan en una expresión más complicada, el resultado de utilizar estos operadores en una u otra de sus formas será diferente. La actualización decontadoresenbuclesfor esunadelasaplicacionesmásfrecuentesdeestos operadores. Operadores Relacionales Los operadores relacionales sirven para realizar comparaciones de igualdad, desigualdad y relación de menor o mayor. El resultado de estos operadores es siempre un valor boolean (true o false) según se cumpla o no la relación considerada. La siguiente Tabla 7.5 de la pág. 181 muestra los operadores relacionales de Java. Operador Utilización El resultado es true > op1>op2 siop1esmayorqueop2 >= op1>=op2 siop1esmayoroigualqueop2 < op1<op2 siop1esmenorqueop2 <= op1<=op2 siop1esmenoroigualqueop2 == op1==op2 siop1yop2soniguales!= op1!=op2 siop1yop2sondiferentes Cuadro 7.5: Operadores relacionales. Estos operadores se utilizan con mucha frecuencia en las bifurcaciones y enlosbucles,queseveránluego. Ejemplo de Operadores Incrementales y Operadores Relacionales en un método.

198 182 CAPÍTULO 7. HERRAMIENTAS public void cambiarparesentrenamiento(double[] paresentrenamiento){ } /* inicialización de sus valores a partir de los valores pasados como argumentos */ for(int i = 0; i< paresentrenamiento.length; i++) {for(int j = 0; j< numeroneuronasentrada; j++) } {entradaentrenamiento[i][j] = paresentrenamiento[i][j]; } for(int j = 0; j< numerosalidas; j++) {salidaentrenamiento[i][j] = paresentrenamiento[i][j+numeroneuronasentrada]; } Operador de Concatenación de Cadenas de Caracteres(+) El operador más(+) se utiliza también para concatenar cadenas de caracteres. Por ejemplo, para escribir una cantidad con un rótulo puede utilizarse la sentencia: editor.append( Error Obtenido: + String.valueOf(imprimoError) + \n ); editor.append( Iteraciones: + String.valueOf(imprimoIteraciones) + \n ); editor.append( Inicio: + horainicial.tostring() + \n ); editor.append( Final: +horafinal.tostring()+ \n ); Donde el operador de concatenación se utiliza dos veces para construir la cadena de caracteres que se desea imprimir. Las variables imprimoerrror, imprimoiteraciones, horainicial, horafinal son convertidas en cadena de caracteres para poder concatenarlas. Precedencia de Operadores El orden en que se realizan las operaciones es fundamental para determinar el resultado de una expresión. Por ejemplo, el resultado de x/y*z depende de

199 7.1. INTRODUCCIÓN AL LENGUAJE JAVA 183 quéoperación(ladivisiónoelproducto)serealiceprimero.latabla7.6dela pág.183muestraelordenenqueseejecutanlosdistintosoperadoresenuna sentencia, de mayor a menor precedencia: Nombre Sintáxis Postfijos [].(params) expr++ expr- Unarios ++expr expr +expr-expr! De creación (type) expr Multiplicativo */% Adición +- Shift << >> >>> Relacional <> <= >= instanceof Igualdad ==!= AND & Or Excluyente ^ Or Incluyente Logico AND && Logico OR Condicional?: Asignación =+=-=*=/= %= &=^= =<<=>>=>>>= Cuadro 7.6: Precedencia de Operadores. En Java, todos los operadores binarios, excepto los operadores de asignación, se evalúan de izquierda a derecha. Los operadores de asignación se evalúan de derechaaizquierda,loquesignificaqueelvalordelaizquierdasecopiasobre la variable de la derecha.

200 184 CAPÍTULO 7. HERRAMIENTAS 7.2. WebSphere Que es WebSphere? WebSphere es una plataforma de Software para e-business. IBM WebSphere es una plataforma de IBM para desarrollo y gestión de sitios web y aplicaciones destinadas al comercio electrónico. WebSphere posee una amplia gama de servidores y aplicaciones para proporcionar todo tipo de capacidades de negocio y ayuda al desarrollo de las aplicaciones. La Plataforma de Software WebSphere está compuesta por un conjunto de herramientas de e-business integradas y basadas en estándares abiertos de mercado. WebSphere es ideal para todas las fases de un e-business, comenzando desde pequeños sitios Web a mega sitios. La figura 7.1 de la pág. 185 representa la plataforma virtual de WebSphere Plataforma de Software Se necesita una plataforma completa, escalable y flexible que proporcione soporte a la construcción y diseminación de aplicativos de e-business. Las soluciones de software WebSphere ofrecen las herramientas necesarias para alcanzar los objetivos de e-business.

201 7.2. WEBSPHERE 185 Figura 7.1: Plataforma de WebSphere

Concepto General de VPN

Concepto General de VPN Contenido Qué es una VPN? Tecnologias Anteriores. Descripción de las VPN. Arquitecturas VPN. Tunelamiento. PPTP (Protocolo de Túnel Punto a Punto). L2TP (Protocolo de Túnel de Capa 2). VPN SSL (Secure

Más detalles

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA CONCEPTO VPN DEFINICIÓN, QUE SE PUEDE HACER CON UN VPN TIPOS DE VPN - ARQUITECTURA VPN ACCESO

Más detalles

Red privada virtual: Una descripción general

Red privada virtual: Una descripción general Windows NT Server Sistema operativo Red privada virtual: Una descripción general Bajado desde www.softdownload.com.ar Resumen Este documento proporciona una descripción general de redes privadas virtuales

Más detalles

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP) Protocolo PPP 1 PPP Hoy en día, millones de usuarios necesitan conectar sus computadoras desde su asa a las computadoras de un proveedor de Internet para acceder a Internet También hay muchas personas

Más detalles

1. LOS ENLACES PRIVADOS ANTES DE LA APARICION DE LAS REDES PRIVADAS VIRTUALES

1. LOS ENLACES PRIVADOS ANTES DE LA APARICION DE LAS REDES PRIVADAS VIRTUALES Contenido 1. LOS ENLACES PRIVADOS ANTES DE LA APARICION DE LAS REDES PRIVADAS VIRTUALES 1.1. Introducción. 1.2. Enlaces Privados. 1.3. Tipos de Enlaces Privados. 1.3.1. Enlaces Dedicados. 1.3.1.1. Clear

Más detalles

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?) La Red Privada Virtual (VPN), cuyo nombre deriva del inglés Virtual Private Network,

Más detalles

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP:

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP: a) Escenarios CISCO: Interconexión de redes mediante protocolos NOTAS: PPP, PAP, CHAP. PPP: Point-to-point Protocol (en español Protocolo punto a punto), también conocido por su acrónimo PPP, es un protocolo

Más detalles

Redes Virtuales Privadas

Redes Virtuales Privadas Redes Virtuales Privadas PUA: Gerardo Gabriel Brollo TELEPROCESO Y SISTEMAS DISTRIBUIDOS 2009 Contenido Qué es una VPN? Tecnologías Anteriores a las VPN s Descripción de las VPN s Arquitecturas VPN s Tunelamiento

Más detalles

Top-Down Network Design. Tema 11

Top-Down Network Design. Tema 11 Top-Down Network Design Tema 11 Selección de Tecnologías y Dispositivos para Red Corporativa Copyright 2010 Cisco Press & Priscilla Oppenheimer Traducción: Emilio Hernández Adaptado para ISI: Enrique Ostúa.

Más detalles

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral. UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral. Redes privadas virtuales. VPN Beneficios y desventajas con respecto a las líneas dedicadas. En años pasados si una oficina remota

Más detalles

REDES PRIVADAS VIRTUALES (RPV)

REDES PRIVADAS VIRTUALES (RPV) Page 1 of 12 REDES PRIVADAS VIRTUALES (RPV) En Internet, cada vez más extendida, las empresas y gobiernos usan la red Internet como una herramienta más, confiándole información importante. El problema

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

Protocolos de red. Contenido

Protocolos de red. Contenido Protocolos de red Contenido Descripción general 1 Introducción a los protocolos 2 Protocolos y transmisión de datos 6 Protocolos más utilizados 10 Otros protocolos de comunicaciones 15 Protocolos de acceso

Más detalles

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

Redes de Computadoras El Protocolo PPP

Redes de Computadoras El Protocolo PPP Redes de Computadoras El Protocolo PPP Ing. Eduardo Interiano Ing. Faustino Montes de Oca Contenido 1. Descripción de PPP 2. Establecimiento de la sesión 3. Autenticación en PPP 1. Descripción de PPP 2.

Más detalles

Capítulo 16: WAN y Routers

Capítulo 16: WAN y Routers : WAN y Routers Última actualización: 28 de Noviembre de 2003 Autor: Eduardo Collado edu@eduangi.com : 1 Contenido WAN Routers 2 Introducción a WAN Una red WAN opera en la capa física y de enlace de OSI.

Más detalles

Unidad II: Tecnologías WAN

Unidad II: Tecnologías WAN Unidad II: Tecnologías WAN Una WAN (Wide Area Network o Red de Cobertura Amplia) es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN. Una de las diferencias primordiales

Más detalles

1.264 Tema 22. Tecnología de redes: Celular, CATV, RDSI, DSL Redes de área local

1.264 Tema 22. Tecnología de redes: Celular, CATV, RDSI, DSL Redes de área local 1.264 Tema 22 Tecnología de redes: Celular, CATV, RDSI, DSL Redes de área local TV por cable Puede trasmitir voz y datos donde los estados lo permitan (pocos hasta ahora): LEC puede transmitir vídeo, pero

Más detalles

TEMA 10 REDES DE COMUNICACIÓN CONMUTADAS. CONMUTACIÓN DE CIRCUITOS.

TEMA 10 REDES DE COMUNICACIÓN CONMUTADAS. CONMUTACIÓN DE CIRCUITOS. TEMA 10 REDES DE COMUNICACIÓN CONMUTADAS. CONMUTACIÓN DE CIRCUITOS. 10.1 REDES CONMUTADAS Desde la invención del teléfono, la conmutación de circuitos ha sido la tecnología dominante en las comunicaciones

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÌA ESCUELA DE SISTEMAS

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÌA ESCUELA DE SISTEMAS PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÌA ESCUELA DE SISTEMAS DISERTACION PREVIA A LA OBTENCIÒN DEL TÍTULO DE INGENIERO EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÒN DE REDES PRIVADAS

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

Como crear una red privada virtual (VPN) en Windows XP

Como crear una red privada virtual (VPN) en Windows XP Como crear una red privada virtual (VPN) en Windows XP Introducción Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos

Más detalles

Necesidad de procesar y almacenar Información.

Necesidad de procesar y almacenar Información. Necesidad de procesar y almacenar Información. Necesidad de compartir Información (LAN, WAN, Internet). Las Redes Privadas Virtuales, surgen debido a deficiencias en seguridad, falta de confidencialidad

Más detalles

INTRODUCCION A WAN REDES DE AREA AMPLIADA WAN CAPITULO 1. ITE PC v4.0 Chapter 1 2007 Cisco Systems, Inc. All rights reserved.

INTRODUCCION A WAN REDES DE AREA AMPLIADA WAN CAPITULO 1. ITE PC v4.0 Chapter 1 2007 Cisco Systems, Inc. All rights reserved. INTRODUCCION A WAN REDES DE AREA AMPLIADA WAN CAPITULO 1 Chapter 1 1 Que es una WAN? Red que opera en los límites de una red LAN Permite la transmisión de datos en áreas de cobertura geográficamente separadas

Más detalles

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI.

Fundamentos de Redes LI. Unidad III Modelos de Comunicaciones 3.1 Modelo de referencia OSI. 3.1 Modelo de referencia OSI. Durante las últimas dos décadas ha habido un enorme crecimiento en la cantidad y tamaño de las redes. Muchas de ellas sin embargo, se desarrollaron utilizando implementaciones

Más detalles

Mecanismos de protección. Xavier Perramon

Mecanismos de protección. Xavier Perramon Mecanismos de protección Xavier Perramon 50 Mecanismos de protección 3. Protección del nivel de red: IPsec. En los apartados anteriores hemos visto los mecanismos básicos de protección, que proporcionan

Más detalles

ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE IV. ACCESO A REDES DE AREA AMPLIA

ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE IV. ACCESO A REDES DE AREA AMPLIA ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE IV. ACCESO A REDES DE AREA AMPLIA Módulo 1: Servicios en una WAN convergente 1.1 Prestación de servicios integrados

Más detalles

INGENIERÍA EN SISTEMAS COMPUTACIONALES

INGENIERÍA EN SISTEMAS COMPUTACIONALES TECNOLÓGICO DE ESTUDIOS SUPERIORES DEL ORIENTE DEL ESTADO DE MÉXICO MANUAL DE PRÁCTICAS EN LABORATORIO INGENIERÍA EN SISTEMAS COMPUTACIONALES PARA LA ASIGNATURA SISTEMAS TELEMATICOS PLAN DE ESTUDIO ISIC

Más detalles

Redes de Área Local: Configuración de una VPN en Windows XP

Redes de Área Local: Configuración de una VPN en Windows XP Redes de Área Local: Configuración de una VPN en Windows XP Tatiana Echegoyen Blasco Facultad de Informática UPV - Curso 2005/2006 Índice 1. Qué es una VPN?...2 2. Cómo funciona una VPN?...2 3. Por qué

Más detalles

Universidad Popular Autónoma del Estado de Puebla

Universidad Popular Autónoma del Estado de Puebla UPAEP 2013 Universidad Popular Autónoma del Estado de Puebla Parte IV: REDES DE ÁREA ANCHA (WANs: Wide Area Networks) Capítulo 16: Conceptos de WAN Este capítulo examina las tecnologías WAN, incluyendo

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 6 Materia: Sistema Operativo II Facilitador: José Doñe Introducción En este trabajo estaremos tratando

Más detalles

Redes WAN VPN. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. 13 may 2011. Universidad Andrés Bello

Redes WAN VPN. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. 13 may 2011. Universidad Andrés Bello VPN esteban@delaf.cl L A TEX Universidad Andrés Bello 13 may 2011 Tabla de contenidos 1 2 Tipos de VPN Funcionamiento 3 IPSec OpenVPN Empleados de forma remota. Disponer de trabajadores en sucursales.

Más detalles

INTRODUCCION. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

INTRODUCCION. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia INTRODUCCION. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Qué es una Red? Es un grupo de computadores conectados mediante cables o algún otro medio. Para que? compartir recursos. software

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 2. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 2. By Alen.- Examen Cisco Online CCNA4 V4.0 - Capitulo 2. By Alen.- Cuáles de las siguientes son dos afirmaciones verdaderas acerca de la multiplexación por división de tiempo (TDM, time-division multiplexing)? (Elija

Más detalles

SEGURIDAD EN REDES IP

SEGURIDAD EN REDES IP SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta Temas Avanzados de Redes de Ordenadores ÍNDICE Vulnerabilidades de los protocolos de la arquitectura TCP/IP IPSec Definición Formato paquetes Modos funcionamiento

Más detalles

TEMARIO TEORÍA. Módulo 1: Escalabilidad de direcciones IP. Módulo 2: Tecnologías WAN

TEMARIO TEORÍA. Módulo 1: Escalabilidad de direcciones IP. Módulo 2: Tecnologías WAN 1 TEMARIO TEORÍA Módulo 1: Escalabilidad de direcciones IP 1.1 Escalabilidad de redes con NAT y PAT 1.1.1 Direccionamiento privado 1.1.2 Introducción al NAT y PAT 1.1.3 Características principales de NAT

Más detalles

Fundamentos de Redes de Computadoras

Fundamentos de Redes de Computadoras Fundamentos de Redes de Computadoras Modulo III: Fundamentos de Redes de Area Extendida (WAN) Objetivos Redes conmutadas Circuito Paquetes Conmutación por paquetes Datagrama Circuito virtual Frame Relay

Más detalles

Plan de formación para obtener certificación de Administración de Infraestructuras de Red CISCO: Preparación de examen 640-802

Plan de formación para obtener certificación de Administración de Infraestructuras de Red CISCO: Preparación de examen 640-802 C/Comandante Zorita 4 28020 Madrid/ info@ceticsa.es 902 425 524 / 91 700 01 17 Administración CISCO CCNA Plan de formación para obtener certificación de Administración de Infraestructuras de Red CISCO:

Más detalles

Teoría y Aplicación de la Informática 2. Redes Privadas Virtuales en Paraguay

Teoría y Aplicación de la Informática 2. Redes Privadas Virtuales en Paraguay Teoría y Aplicación de la Informática 2 Redes Privadas Virtuales en Paraguay 1- INDTRODUCCIÓN: Mientras vayamos avanzando en el tiempo, el mercado y la alta competitividad, obligarán a cualquier empresa

Más detalles

UNIVERSIDAD TÉCNICA DEL NORTE

UNIVERSIDAD TÉCNICA DEL NORTE UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERIA EN CIENCIAS APLICADAS ESCUELA DE INGENIERIA EN SISTEMAS COMPUTACIONALES Tesis previa la obtención del título de Ingeniero en Sistemas Computacionales

Más detalles

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL.

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. 1.- Qué diferencia hay entre NAT y PAT? NAT: Network Adress Translation. El router enmascara la dirección IP origen de los paquetes poniendola

Más detalles

LA ARQUITECTURA TCP/IP

LA ARQUITECTURA TCP/IP LA ARQUITECTURA TCP/IP Hemos visto ya como el Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (Open System Interconection- Reference Model) proporcionó a los fabricantes un conjunto

Más detalles

Diseño de una red WAN. para una compañía nacional

Diseño de una red WAN. para una compañía nacional Diseño de una red WAN para una compañía nacional 1 Índice de la presentación Descripción del proyecto Objetivos Introducción a las redes WAN Servicio MacroLAN Servicio VPN Servicio ADSL Situación de las

Más detalles

CONFIGURACION DE UN SWITCH

CONFIGURACION DE UN SWITCH CONFIGURACION DE UN SWITCH Redes Jerárquicas Una red jerárquica se administra y expande con más facilidad y los problemas se resuelven con mayor rapidez. El diseño de redes jerárquicas implica la división

Más detalles

Redes de datos. Tema 1. Introducción

Redes de datos. Tema 1. Introducción Redes de datos Tema 1 Introducción Diapositiva 1 6.263: Redes de datos Fundamentos del análisis y el diseño de redes: Arquitectura: Capas Topología Protocolos: Punto a punto Acceso múltiple Extremo a extremo

Más detalles

a) Relación con otras asignaturas del plan de estudio

a) Relación con otras asignaturas del plan de estudio 1. DATOS DE LA ASIGNATURA Nombre de la asignatura: Tecnologías WAN Carrera: Licenciatura en Informática Clave de la asignatura: Horas teoría horas prácticas créditos: 3 4 10 2. HISTORIA DEL PROGRAMA Lugar

Más detalles

UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA

UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA UNIVERSIDAD POLITECNICA SALESIANA SEDE CUENCA FACULTAD DE INGENIERIAS CARRERA DE INGENIERIA DE SISTEMAS TEMA: Diseño de un canal Privado de comunicación entre dos puntos utilizando la infraestructura de

Más detalles

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway)

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

WAN y Enrutamiento WAN

WAN y Enrutamiento WAN WAN y Enrutamiento WAN El asunto clave que separa a las tecnologías WAN de las LAN es la capacidad de crecimiento, no tanto la distancia entre computadoras Para crecer, la WAN consta de dispositivos electrónicos

Más detalles

Protocolo punto a punto (PPP)

Protocolo punto a punto (PPP) Protocolo punto a punto (PPP) Acceso a la WAN: capítulo 2 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Objetivos Describir los conceptos fundamentales de la comunicación

Más detalles

En este capítulo se proporciona una visión general de las redes de computadores. Así, se presenta una descripción general de las comunicaciones de

En este capítulo se proporciona una visión general de las redes de computadores. Así, se presenta una descripción general de las comunicaciones de En este capítulo se proporciona una visión general de las redes de computadores. Así, se presenta una descripción general de las comunicaciones de datos y la tipología de redes que se emplean. Además este

Más detalles

Redes WAN. Introducción a las redes WAN. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. 12 abr 2011. Universidad Andrés Bello

Redes WAN. Introducción a las redes WAN. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. 12 abr 2011. Universidad Andrés Bello Introducción a las redes WAN esteban@delaf.cl L A TEX Universidad Andrés Bello 12 abr 2011 Tabla de contenidos 1 En las empresas En los hogares Modelo 3 capas Arquitectura empresarial CISCO 2 Capa física

Más detalles

Tema 28. Redes de Banda Ancha. XDSI, ADSL, FRAME RELAY, ATM

Tema 28. Redes de Banda Ancha. XDSI, ADSL, FRAME RELAY, ATM Tema 28. Redes de Banda Ancha. XDSI, ADSL, FRAME RELAY, ATM Introducción... 1 Tecnologías de redes de banda ancha... 2 Redes ETHERNET de banda ancha... 3 XDSL Línea de abonado digital-... 4 ADSL - Línea

Más detalles

Router, Enrutador o Encaminador

Router, Enrutador o Encaminador Router, Enrutador o Encaminador Un router es un tipo especial de computador. Cuenta con los mismos componentes básicos que un PC estándar de escritorio. Tiene una CPU, memoria, bus de sistema y distintas

Más detalles

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa

empresa Introducción al enrutamiento y la conmutación en la empresa. Capítulo1 Networkingenlaempresa CCNA Descubrimiento Introducción al enrutamiento y la conmutación en la empresa. Capítulo 1 Networking en la empresa Capítulo1 Networkingenlaempresa 1 Objetivos Describir una empresa. Identificar flujos

Más detalles

Efectos de los dispositivos de Capa 2 sobre el flujo de datos 7.5.1 Segmentación de la LAN Ethernet

Efectos de los dispositivos de Capa 2 sobre el flujo de datos 7.5.1 Segmentación de la LAN Ethernet 7.5 Efectos de los dispositivos de Capa 2 sobre el flujo de datos 7.5.1 Segmentación de la LAN Ethernet 1 2 3 3 4 Hay dos motivos fundamentales para dividir una LAN en segmentos. El primer motivo es aislar

Más detalles

Configuración rápida Miura Basic

Configuración rápida Miura Basic Configuración rápida Miura Basic El Miura Basic es un cliente de red inalámbrica profesional. La administración se realiza mediante su interfaz HTTP. Existen dos modos de configurar su Miura Basic: Modo

Más detalles

TIPOS DE REDES COMPUTACIONALES

TIPOS DE REDES COMPUTACIONALES TIPOS DE REDES COMPUTACIONALES Cuando existe la necesidad de conectar permanentemente dos o tres puntos entre sí, podemos utilizar tres formas distintas. Pensemos una Empresa con una Central y dos sucursales,

Más detalles

TEMA: PROTOCOLOS TCP/IP

TEMA: PROTOCOLOS TCP/IP TEMA: PROTOCOLOS TCP/IP HISTORIA: El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en 1973 por el informático estadounidense Vinton Cerf como parte de

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

Seguridad de los datos INTRODUCCIÓN

Seguridad de los datos INTRODUCCIÓN Seguridad de los datos INTRODUCCIÓN Las redes de área local inalámbricas están experimentando un rápido crecimiento y los entornos comerciales en continuo cambio exigen una mayor flexibilidad por parte

Más detalles

Capítulo 6: Servicios de Trabajadores a Distancia

Capítulo 6: Servicios de Trabajadores a Distancia CCNA Exploration 4 Acceso a la WAN Capítulo 6: Servicios de Trabajadores a Distancia Ricardo José Chois Antequera INSTITUTO TECNOLÓGICO DE SOLEDAD ATLÁNTICO - ITSA Version 4.0 2006 Cisco Systems, Inc.

Más detalles

INF 1400 Redes de Computadores. Jorge Baier A. Alvaro Soto A.

INF 1400 Redes de Computadores. Jorge Baier A. Alvaro Soto A. INF 1400 Redes de Computadores Jorge Baier A. Alvaro Soto A. Departamento de Ciencia de la Computación P. Universidad Católica de Chile [jabaier,asoto]@ing.puc.cl Contenido 1. Introducción 2. Protocolos

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores Capítulo 4 Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores garantías en seguridad en redes inalámbricas, eliminando las debilidades

Más detalles

Redes de Computadores. Tema 1 Introducción a las redes de computadores

Redes de Computadores. Tema 1 Introducción a las redes de computadores (07BJ) (05BR) Redes Redes de Computadores Tema 1 Introducción a las redes de computadores Índice 1. Introducción 1.1 Aplicaciones de las redes 1.2 Esquema general de comunicación 2. Conceptos básicos ([FOR07]

Más detalles

1º INTRODUCCIÓN La comunicación es el intercambio de información entre dos o más individuos o entidades de un proceso.

1º INTRODUCCIÓN La comunicación es el intercambio de información entre dos o más individuos o entidades de un proceso. TECNOLOGIA DE LAS INFRAESTRUCTURAS DE LAS COMUNICACIONES 1º INTRODUCCIÓN La comunicación es el intercambio de información entre dos o más individuos o entidades de un proceso. Las Infraestructuras de las

Más detalles

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2 COMUNICACIÓN Y REDES DE COMPUTADORES II Clase 02 Aspetos basicos de Networking Parte 1 de 2 1 Contenido de la Clase 1. Terminología de Networking 1. Redes de Datos 2. Historia de las redes informáticas

Más detalles

UNI (User to Network Interface). La interfaz UNI conecta sistemas finales ATM (tales como servidores y routers) a un conmutador ATM.

UNI (User to Network Interface). La interfaz UNI conecta sistemas finales ATM (tales como servidores y routers) a un conmutador ATM. Lección 2: Redes ATM Para la transmisión, ATM emplea celdas de tamaño fijo de 53 bytes que resulta de un compromiso entre los requisitos de las aplicaciones de voz (paquetes de tamaño reducido son preferibles

Más detalles

TECNOLOGÍAS WAN SEGURIDAD

TECNOLOGÍAS WAN SEGURIDAD TECNOLOGÍAS WAN SEGURIDAD (57 horas) Día de inicio: 24/05/2013 Día de finalización: 06/07/2013 Horario: Viernes: 17:30 a 21:00 Sábados: 9:00 a 15:00 Lugar de impartición: Consultoría y formación Balbo

Más detalles

Tecnologías WAN. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Tecnologías WAN. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Tecnologías WAN. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Introducción. Una WAN es una red de comunicación de datos que opera más allá de los limites geográficos de una LAN. Se deben

Más detalles

Capítulo 2: Protocolo Punto a Punto Point-to-Point Protocol (PPP)

Capítulo 2: Protocolo Punto a Punto Point-to-Point Protocol (PPP) Capítulo 2: Protocolo Punto a Punto Point-to-Point Protocol (PPP) CCNA Exploration 4 - Acceso a la WAN Ricardo Chois INSTITUTO TECNOLÓGICO DE SOLEDAD ATLÁNTICO - ITSA Version 4.0 2006 Cisco Systems, Inc.

Más detalles

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software www.solucionempresarial.com.ar - info@solucionempresarial.com.

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software www.solucionempresarial.com.ar - info@solucionempresarial.com. PROYECTO 1 ÍNDICE 1. Presentación 2. Que es OpenVPN 3. Uso de las VPN s 4. Implementación 5. Seguridad 6. Ventajas 6. Requisitos 7. Objetivos 8. Presupuesto 2 Presentación Es una solución multiplataforma

Más detalles

Introducción a redes Ing. Aníbal Coto Cortés

Introducción a redes Ing. Aníbal Coto Cortés Capítulo 5: Ethernet Introducción a redes Ing. Aníbal Coto Cortés 1 Objetivos En este capítulo, aprenderá a: Describir el funcionamiento de las subcapas de Ethernet. Identificar los campos principales

Más detalles

LABORATORIO VIRTUAL PARA LA DOCENCIA DE REDES DE COMPUTADORES

LABORATORIO VIRTUAL PARA LA DOCENCIA DE REDES DE COMPUTADORES LABORATORIO VIRTUAL PARA LA DOCENCIA DE REDES DE COMPUTADORES José Ángel Berná Galiano, Luis Miguel Crespo Martínez, Manuel Pérez Polo, Fco. Javier Gil Chica jberna@dfists.ua.es, mcrespo@dfists.ua.es,

Más detalles

Unidad 3: El sistema operativo. Trabajo con conexión.

Unidad 3: El sistema operativo. Trabajo con conexión. Unidad 3: El sistema operativo. Trabajo con conexión. 1.- Red de ordenadores Vamos a describir que es una red informática o red de ordenadores. Una red informática es un sistema de interconexión entre

Más detalles

UNIDAD 1.1 - MODELO OSI/ISO

UNIDAD 1.1 - MODELO OSI/ISO UNIDAD 1.1 - MODELO OSI/ISO El modelo de referencia OSI es el modelo principal para las comunicaciones por red. Aunque existen otros modelos, en la actualidad la mayoría de los fabricantes de redes relacionan

Más detalles

Tema 4 Redes de Área Amplia

Tema 4 Redes de Área Amplia Tema 4 Redes de Área Amplia Índice - Introducción - Conmutación de circuitos - Conmutación de paquetes - Comparación de técnicas de conmutación - Encaminamiento - Control de congestión - Las WAN y el modelo

Más detalles

Cómo funcionan las redes privadas virtuales (VPN)

Cómo funcionan las redes privadas virtuales (VPN) Cómo funcionan las redes privadas virtuales (VPN) Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Antecedentes Qué constituye una VPN? Analogía: cada LAN es como

Más detalles

Intr. a la LAN y WAN. Año: 2015 E.P.E.T. Nº 3 Sonia Ponteprimo Carlos D. Cabral

Intr. a la LAN y WAN. Año: 2015 E.P.E.T. Nº 3 Sonia Ponteprimo Carlos D. Cabral Intr. a la LAN y WAN Año: 2015 E.P.E.T. Nº 3 Sonia Ponteprimo Carlos D. Cabral 1 Introducción Topología de Red Clasificación de redes por alcance Red de área local Tipos de redes Componentes de una red

Más detalles

Ingeniería en Informática (plan 2001)

Ingeniería en Informática (plan 2001) Sistemas de Transporte de Datos (9186) Ingeniería en Informática (plan 2001) Práctica 2. Túneles y VPNs Curso: 2008-2009 Juan Antonio Corrales Ramón Francisco Andrés Candelas Herías Santiago Puente Méndez

Más detalles

Redes y Tecnologías de Telecomunicaciones

Redes y Tecnologías de Telecomunicaciones Redes y Tecnologías de Telecomunicaciones Ingeniería de las Telecomunicaciones PUCP 2012 gbartra@pucp.edu.pe Tecnología de Redes WAN Elementos de una red WAN de Datos DTE DTE MODEM MODEM Mainframe Digital

Más detalles

Creación de redes AirPort 2

Creación de redes AirPort 2 apple Creación de redes AirPort 2 Contenido 1 Introducción 5 Acerca de AirPort 5 Cómo funciona AirPort 6 Cómo se proporciona acceso inalámbrico a Internet 6 Configuración del acceso a Internet de la estación

Más detalles

SEGURIDAD EN SITIOS WEB

SEGURIDAD EN SITIOS WEB SEGURIDAD EN SITIOS WEB Septiembre 2001 Ing. Carlos Ormella Meyer SSW1 Formas de diagnósticos de seguridad: Evaluación de vulnerabilidades Pruebas de penetración Auditoría de seguridad SSW2 Evaluación

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad 2

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad 2 PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad 2 Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Arquitectura de Redes

Más detalles

Fundamentos de Redes Capítulo 2 Aspectos Básicos de Networking

Fundamentos de Redes Capítulo 2 Aspectos Básicos de Networking Fundamentos de Redes Capítulo 2 Aspectos Básicos de Networking Agenda Conceptos de networking Ancho de banda digital Modelos de networking Redes de Datos Las redes de datos son resultado de las demandas

Más detalles

Redes WAN ITB-1301 SATCA 1 : 1-4-5. Carrera:

Redes WAN ITB-1301 SATCA 1 : 1-4-5. Carrera: 1. Datos Generales de la asignatura Nombre de la asignatura: Clave de la asignatura: SATCA 1 : Carrera: Redes WAN ITB-1301 1-4-5 Ingeniería Informática 2. Presentación Caracterización de la asignatura

Más detalles

HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway)

HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway) HOWTO: Cómo configurar el túnel VPN L2TP de usuario remoto (roadwarrior) a oficina remota (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo

Más detalles

MÓDULO: SERVICIOS E RED. Nombre: Curso: 2º SMR (9-6-2011) [Examen Final Junio]

MÓDULO: SERVICIOS E RED. Nombre: Curso: 2º SMR (9-6-2011) [Examen Final Junio] MÓDULO: SERVICIOS E RED Nombre: Curso: 2º SMR (9-6-2011) [Examen Final Junio] PARTE 1: Responde las siguientes preguntas tipo TEST. Solo hay una respuesta correcta. Dos respuestas incorrectas anulan una

Más detalles

VPN host to LAN router usando OpenVPN

VPN host to LAN router usando OpenVPN VPN host to LAN router usando OpenVPN El propósito de este documento es describir cómo configurar una puerta de enlace OpenVPN para una red privada virtual host to LAN. Las secciones en las que se divide

Más detalles

Líneas de Comunicación Remota

Líneas de Comunicación Remota Líneas de Comunicación Remota Punto a Punto/Internet Por: Prof. Luis M. Cardona Hernández Universidad Interamericana de Puerto Rico Recinto de Bayamón Introducción En esta presentación veremos los principales

Más detalles

Las Redes IP; Conceptos básicos

Las Redes IP; Conceptos básicos WHITE PAPER Las redes IP: Conceptos básicos 0 Índice 1.- Introducción... 2 2.- Comunicación de redes, conceptos básicos... 2 3.- Fundamentos de transmisión... 4 4.- Infraestructura de la red de área local

Más detalles

Diseño de Redes LAN. Ing Camilo Zapata czapata@lis.udea.edu.co Universidad de Antioquia

Diseño de Redes LAN. Ing Camilo Zapata czapata@lis.udea.edu.co Universidad de Antioquia Diseño de Redes LAN. Ing Camilo Zapata czapata@lis.udea.edu.co Universidad de Antioquia Las Redes LAN se desarrollaron para permitir que distintas comunidades compartieran recursos de computo. A medida

Más detalles

Servicios y Trasmisión de Telecomunicaciones

Servicios y Trasmisión de Telecomunicaciones Servicios y Trasmisión de Telecomunicaciones Los diferentes tipos de tráfico presentan características distintas, lo cual ha hecho que los desarrollos para los diferentes tipos de tráfico se hayan hecho

Más detalles

Curso de Seguridad Infórmatica

Curso de Seguridad Infórmatica Curso de Seguridad Infórmatica Índice 6.1 Introducción a redes virtuales privadas 6.2 Funcionamiento de las VPN 6.3 Requerimientos de una VPN 6.4 Tunneling y VPN 6.5 Seguridad IP (IPSec) y protocolos vpn

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.- Cuáles de las siguientes son dos afirmaciones verdaderas acerca de DSL? (Elija dos opciones). los usuarios se encuentran en un medio compartido usa transmisión de señal de RF el bucle local puede tener

Más detalles

SEGURIDAD EN REDES IP

SEGURIDAD EN REDES IP Lledó Aitana García Lacuesta e-mail: lagarcia@ree.es 1. Introducción: Debilidades de TCP/IP El TPC-IP se creó en una época y en una situación donde la seguridad no era algo que concerniera demasiado. Inicialmente,

Más detalles