Pontificia Universidad Católica del Ecuador Facultad de Ingeniería Escuela de Sistemas

Transcripción

1 Facultad de Ingeniería Escuela de Sistemas Tesis Previa a la Obtención del Título de Ingeniero de Sistemas TEMA: Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) y Diseño de una solución VPN para la PUCE-Q Sebastián Viteri Guillen Fredy Orbe Torres Directora: Ing. Suyana Arcos Quito 2005

2 Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) y Diseño de una solución VPN para la PUCE-Q Ing. Suyana Arcos Directora Ing. Marco Cazco Revisor Ing. Rafael Melgarejo Revisor

3 Índice de Contenidos Índice de Contenidos PAG PROLOGO AGRADECIMIENTO I II CAPITULO 1 ASPECTOS BÁSICOS DE VPN Introducción Surgimiento Definición de VPN Propiedades de la Conexión VPN Requerimientos y Componentes Necesarios Herramientas de una VPN Escenarios de Utilización Diferencias entre las VPN y una Intranet Normal Calidad de Servicio en VPN (QoS) Riesgos del uso de VPN Beneficios de la Utilización de VPNs Justificación de Uso En que Ayuda VPN y Servicios a los que se puede acceder Costos Reducidos LAN a WAN Ventajas de la Utilización de VPNs Desventajas 21 CAPITULO 2 ASPECTOS TÉCNICOS DE REDES PRIVADAS VIRTUALES (VPN) Introducción Tecnología de túneles Encriptación de clave secreta Encriptación de clave pública 24

4 Índice de Contenidos 2.3. Funcionamiento de la Tecnología de Túneles (Tunneling) Los protocolos y los requerimientos básicos del túnel Autenticación de usuario Soporte de tarjeta de señales Asignación de dirección dinámica Compresión de datos Encriptación de datos Administración de llaves Soporte de Protocolo Múltiple Tipos de Túnel Túneles Voluntarios Túneles Obligatorios Protocolos de Punto a Punto Fase 1: Establecer el Enlace del PPP Fase 2: Autenticar al Usuario Protocolo de autenticación de contraseña (PAP) Protocolo de autenticación de saludo Challenge (CHAP) Microsoft ChallengeHandshake Authenticatíon Protocol (MSCHAP) Fase 3: Control de Iteración del PPP Fase 4: Invocar los Protocolos a Nivel de Red Fase 5: Transferencia de Datos Circuitos Virtuales Circuitos Virtuales Conmutados (SVC) Circuitos Virtuales Permanentes (PVC) Protocolos utilizados en las VPNs L2F (Layer 2 Forwarding) Layer Two Tunneling Protocol (L2TP) Mensajes usados en L2TP Autenticación en L2TP Point-to-Point Tunneling Protocol (PPTP) Escenarios de Uso Técnica de Encapsulamiento Funcionamiento de Point to Point Tunneling Protocol 42

5 Índice de Contenidos Autenticación en PPTP Internet Protocol Security (IPSec) Autenticación en IPSec Encapsulación en IPSec División de IPSec de acuerdo a su funcionalidad MPLS (Multi Protocol Label Switching) Funcionamiento del envío de paquetes en MPLS Control de la información en MPLS Funcionamiento global MPLS Protocolo de señalización de MPLS (RSVP) GRE (Generic Routing Encapsulation) Estructura de un paquete encapsulado GRE Envío de paquetes encapsulados en GRE Consideraciones de seguridad IP Encapsulation within IP (IP / IP) MPOA ( Multiprocolo sobre ATM) Definición de términos de MPOA Secure Sockets Layer (SSL) El Protocolo SSL Handshake El Protocolo SSL Record Comparativa global entre los diferentes protocolos más usados en VPN 64 CAPITULO 3 ANÁLISIS COMPARATIVO DE TIPOS DE 66 REDES VIRTUALES PRIVADAS (VPN) 3.1 Introducción Clasificación y Tipos de VPN Según el Alcance de la VPN para la Organización VPN Intranet Ventajas Desventajas Acceso Remoto VPN Características 72

6 Índice de Contenidos Consideraciones de Diseño Ventajas Desventajas VPN Extranet Características Consideraciones de Diseño Según el tráfico de cliente transportado Los niveles de realización de una VPN VPN de Capa VPNs de capa Unificación de VPNs de capa 2 y VPNs de capa Modelo de implementación de VPNs (según el punto de terminación) Modelo Superpuesto (Overlay) Implementación en la Capa Implementación en la Capa Implementación en la Capa Ventajas Desventajas Modelo Par a Par Modelo de router PE compartido Modelo de router PE dedicado Ventajas Desventajas VPNs basadas en ISDN, Frame Relay o ATM o También 89 Llamadas VPN basadas en VC Características Ventajas Desventajas IP VPNs Servicios IP VPN VPN basadas en CPE y en CLE Calificación de IP VPNs Líneas Dedicadas Virtuales (VLL, Virtual Leased Lines) 93

7 Índice de Contenidos Características Ventajas Desventajas Redes de Enrutadores Privados Virtuales (VPRNs, Virtual Private Routed Networks) Requerimientos Funcionamiento Características de VPRN Ventajas Desventajas Segmentos LAN Privados Virtuales (VPLS, Virtual Private LAN Segments) Ventajas Desventajas Redes Conmutadas Privadas Virtuales (VPDNs, Virtual Private Dial Networks) Tipos de Acceso a Redes Conmutadas Privadas Virtuales VPDN Client Initiated NAS Initiated Ventajas Desventajas SSL VPN Procedimiento de Conexiones SSL Consideraciones Técnicas Consideraciones de Diseño Ventajas Desventajas MPLS VPN Introducción Multi Protocol Label Switching (MPLS) Modelo MPLS VPN Componentes Túneles LSP 110

8 Índice de Contenidos Características Beneficios de MPLS MPLS de capa 2 y de capa VPNS sobre MPLS de capa MPLS Capa 2 VPNs Conectividad punto a punto Conectividad Multipunto Comparación de MPLS capa 2 y MPLS capa CAPITULO 4 DISEÑO DE SOLUCIÓN VPN PARA LA PUCE Introducción Descripción de requerimientos Objetivos Alcance Recopilación de información Antecedentes Inventario Equipos de comunicación LAN Plataformas de Sistema Operativo Acceso a Internet Diagramas de la Red PUCE Análisis de Factibilidad Factibilidad Operacional Factibilidad Económica Factibilidad Técnica Diseño de la solución Factores que deben considerarse al momento de diseñar una VPN Consideraciones Usuarios Equipos Software Arquitectura 137

9 Índice de Contenidos Configuraciones Configuración del servidor VPN Configuración del cliente VPN Seguridades Administración y personal de control Diagrama para la implementación Algunas Consideraciones para el uso Alternativas de Implementación de VPN Conclusiones y Recomendaciones Conclusiones Recomendaciones 151 CAPITULO 5 CONCLUSIONES y RECOMENDACIONES Conclusiones Recomendaciones 153 ANEXOS 156 ANEXO A 156 ANEXO B 156 ANEXO C 158 ANEXO D 159 ANEXO E 160 ANEXO F 163 GLOSARIO 168 BIBLIOGRAFIA 178

10 Índice de Ilustraciones Índice De Ilustraciones PAG FIGURAS Figura 1.1 Tipos de usuario conectados a la VPN 3 Figura 1.2 Implementación típica de VPNs 3 Figura 1.3 Comparación Diseño Punto a Punto vs. Diseño VPN 6 Figura 1.4 Gateway 12 Figura 1.5 Firewall 13 Figura 1.6 Router 14 Figura 2.1 Tunneling 23 Figura 2.2. Funcionamiento de la Tecnología de Túneles 26 Figura 2.3. Escenario Típico L2TP 39 Figura 2.4. Relación entre los marcos PPP y los mensajes de control de 40 L2TP Figura 2.5. Capas de Encapsulamiento PPTP 43 Figura 2.6 Funcionalidad de MPLS 49 Figura 2.7 Funcionamiento de un LSR del núcleo MPLS 50 Figura 2.8 Funcionamiento de LSR consultando tablas de 51 encaminamiento Figura 2.9 Esquema de campos de la cabecera genérica MPLS y su 52 relación con cabeceras de otros Niveles (Modelo de Referencia OSI) Figura 2.10 Funcionamiento Global de MPLS 54 Figura 2.11 Escenario típico de Utilización de GRE 57 Figura 2.12 Estructura de un paquete encapsulado GRE 57 Figura 2.13 Funcionamiento Protocolo IP IP 59 Figura 2.14 Cabeceras IP usadas en el Protocolo IP IP 59 Figura 2.15 Flujo del Mensaje MPOA entre MPCs y MPSs 61 Figura 3.1 VPN Intranet 69 Figura 3.2 Acceso Remoto VPN 71

11 Índice de Ilustraciones Figura 3.3 VPN Extranet Utilizando Internet 76 Figura 3.4 VPN Extranet 76 Figura 3.5 Esquema de los modelos de implementación de VPN 81 Figura 3.6 VPN superpuesta 82 Figura 3.7 Ejemplo de infraestructura de VPN superpuesta 83 Figura 3.8 VPN superpuesta implementada en capa 1 83 Figura 3.9 VPN superpuesta implementada en capa 2 84 Figura 3.10 VPN superpuesta implementada en capa 3 84 Figura 3.11 VPN par a par 86 Figura 3.12 Modelo par a par de router PE compartido 87 Figura 3.13 Modelo par a par de router PE dedicado 88 Figura 3.14 Modelo VPN sobre ISDN, ATM o Frame Relay 90 Figura 3.15 Líneas Dedicadas Virtuales, VLL 94 Figura 3.16 Redes de Enrutadores Privados Virtuales, VPRN 96 Figura 3.17 Segmentos LAN Privados Virtuales, VPLS 98 Figura 3.18 Protocolo SSL 102 Figura 3.19 SSL VPN 103 Figura 3.20 Arquitectura de VPN sobre MPLS 108 Figura 3.21 Modelo MPLS 109 Figura 3.22 Uso de Túneles LSP 111 Figura 3.23 Concepto BGP/MPLS 114 Figura 3.24 Datagrama IP 115 Figura 3.25 Etiqueta en Ethernet 116 Figura 3.26 Túnel LSP con múltiples circuitos virtuales 117 Figura 3.27 Conceptos básicos detrás del acercamiento de VPLS 119 Figura 4.1 Modelos de servidores PUCE 125 Figura 4.2 Backbone de la red LAN PUCE 127 Figura 4.3 Esquemático de la conexión LAN, WAN, DMZ 128 Figura 4.4 Esquema cliente LAN Universitaria 135 Figura 4.5 Esquema de conexión del cliente 137 Figura 4.6 Ubicación del Servidor y firewall 138 Figura 4.7 Arquitectura General de la red VPN 139 Figura 4.8 Configuración del servidor VPN 141

12 Índice de Ilustraciones TABLAS Tabla 2.1 Definición de términos de MPOA 62 Tabla 2.2 Comparativa global entre los protocolos más usados en VPN 64 Tabla 3.1 Tabla comparativa según el alcance para la organización 77 Tabla 4.1 Requerimientos para VPN PUCE 130 DIAGRAMAS Diagrama 4.1 Flujograma para la implementación de la VPN en la PUCE 147

13 PROLOGO PRÓLOGO El motivo que nos llevó a realizar este trabajo de disertación es el interés en conocer nuevas formas de comunicación que se están desarrollando alrededor del mundo. Dichas tecnologías, están siendo usadas con buenos resultados en pequeñas, medianas y grandes empresas que tienen la necesidad de mantener comunicadas sus redes locales mediante redes públicas como Internet a un bajo costo. Esta tesis provee las orientaciones esenciales para entender un medio de servicios de comunicaciones WAN como son las Redes Privadas Virtuales (VPN). La importancia de este trabajo radica en la investigación realizada, la cual provee una orientación técnica y práctica del uso de esta tecnología. La finalidad de esta tesis es aportar a los estudiantes, al público en general, a proveedores y a las empresas, conceptos fundamentales de Redes Virtuales Privadas, esto gracias a una completa investigación bibliográfica que recoge la mayoría de clasificaciones que se les da a las VPNs. También, aportar con el crecimiento de nuestra Universidad detallando un diseño de VPN, de tal manera que la Universidad sea capaz de implementar este servicio cuando crea conveniente. I

14 AGRADECIMIENTO AGRADECIMIENTO Nuestro más profundo agradecimiento a la PONTIFICIA UNIVERSIDAD CATOLICA DEL ECUADOR, Institución en la cual hemos concluido nuestra carrera universitaria. A todo el personal docente que a lo largo de nuestra carrera nos han instruido e impartido conocimientos, así como valores morales y éticos, para poder desempeñarnos como profesionales calificados y brindar nuestros conocimientos a favor de la sociedad. De manera especial agradecemos a los Ingenieros Suyana Arcos, Marco Cazco y Rafael Melgarejo que con su orientación han sido de gran ayuda en el desarrollo del presente trabajo. Agradecemos también a la Ingeniera Mónica Duran por el tiempo y la información brindada para el desarrollo de esta tesis. II

15 Capítulo 1. Aspectos Básicos De VPN CAPITULO 1 1. ASPECTOS BÁSICOS DE VPN 1.1 Introducción Una de las necesidades vitales de la empresa moderna es la posibilidad de compartir información, particularmente para aquellas empresas que se encuentran dispersas, con sedes en diferentes zonas y/o unidades de negocio que no se encuentran en el mismo entorno físico. Hasta el momento, las grandes corporaciones habían solucionado el problema mediante sistemas de comunicación como líneas punto a punto y sofisticadas instalaciones de interconexión. Aunque efectivas, estas soluciones quedaban fuera del alcance de empresas de menor tamaño y con recursos económicos y técnicos más escasos. Sin embargo, desde hace ya un tiempo, aparece un nuevo término: VPN Virtual Private Network (red privada virtual), el cual no es en realidad una novedad tecnológica, sino una nueva fórmula de interconexión con tecnologías de menor costo. En el presente trabajo explicaremos más a fondo el funcionamiento, tecnología que utiliza y los diferentes tipos de VPNs que existen. 1.2 Surgimiento En el pasado, a medida que en las empresas surgía la necesidad de comunicar las diferentes redes locales, con el objetivo de compartir recursos internos, se creaban nuevas técnicas con tecnologías sofisticadas para cubrir estos requerimientos. Para cumplir este objetivo, debía establecerse un medio físico para la comunicación. Las conexiones, en su mayoría, fueron realizadas como conexiones dedicadas (CDN 1 punto-punto) entre varios centros remotos de una compañía. Esto se lograba realizar mediante algunas opciones de medio físico para la transmisión de datos, como: MODEM directamente o líneas dedicadas. 1 CDN.- Conexiones dedicadas Punto a Punto. 1

16 Capítulo 1. Aspectos Básicos De VPN Estas opciones fueron las mejores posibles desde el punto de vista de seguridad, en cuánto que permite el intercambio de datos a través de los circuitos dedicados y es por lo tanto imposible obstaculizar el tráfico. Carecían, sin embargo, de las características de dinámica y de flexibilidad. Era una desventaja también, que un CDN es una conexión punto-punto y no una red de nube como X25 o sus sucesores, esto generaba una mayor dificultad de configuración. Tampoco podían soportar clientes móviles en cuanto no era posible hacer una CDN para estos tipos de clientes. Y su gran inconveniente es el alto costo que significa el implantar este tipo de conexión en la empresa ya que se suele cobrar un abono mensual más una tarifa por el uso, en el que se tienen en cuenta la duración de las llamadas y la distancia hacia donde se las hace. Si la empresa tiene sucursales dentro del mismo país pero en distintas áreas telefónicas, y, además, tiene sucursales en otros países, los costos telefónicos pueden llegar a ser prohibitivos. Adicionalmente, si los usuarios móviles deben conectarse a la red corporativa y no se encuentran dentro del área de la empresa, deben realizar llamadas de larga distancia, con lo que los costos se incrementan. Además de la comunicación entre diferentes puntos remotos, surgió la necesidad de proveer acceso a los usuarios móviles de la empresa. Las redes privadas virtuales (VPN) son una alternativa a la conexión WAN mediante líneas telefónicas y al servicio RAS 2, bajando los costos de éstos y brindando los mismos servicios, mediante el uso de Internet para transportar la información requerida de manera segura por un túnel establecido entre dos puntos que negocian un esquema de encriptación y autentificación para el transporte. En la figura 1.1 se muestra un esquema general de la forma en que se conectan los diferentes tipos de usuario a la Red Privada Virtual. 2 RAS (Remote Access Service).- Servicio de Acceso Remoto; Ver Glosario. 2

17 Capítulo 1. Aspectos Básicos De VPN Figura 1.1 Tipos de usuario conectados a la VPN Provedor del Servicio De la Red Compartida VPN Oficina Principal Oficinas Remotas Socios Usuario Mobil Autores: Viteri Sebastian, Orbe Fredy. Una VPN permite el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls y routers para lograr esa encriptación y autentificación o simplemente con software específico. Figura 1.2 Implementación típica de VPNs Casa PDE Oficina Matriz Router PDE Router Oficina1 Router Usuario Mobil Autores: Viteri Sebastian, Orbe Fredy. Oficina del Socio 3

18 Capítulo 1. Aspectos Básicos De VPN La figura 1.2 muestra una implementación típica que conecta una Oficina Matriz con distintos puntos. Con esto podemos ver los distintos campos de utilidad real de la VPN. 1.3 Definición de VPN El término Red Privada Virtual (VPN, Virtual Private Network) se trata de una red de comunicaciones privada implementada sobre una infraestructura pública (Internet), mediante un proceso de encapsulación, y en su caso, de encriptación, de los paquetes de datos a distintos puntos remotos. Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública, este proceso es conocido como tunneling. En una red privada virtual todos los usuarios parecen estar en el mismo segmento de LAN, pero en realidad están a varias redes (generalmente públicas) de distancia. Para lograr esta funcionalidad, la tecnología de redes virtuales privadas (VPNs), debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP a través de un túnel en la red pública, de modo que dos segmentos de LAN 3 remotos no parezcan estar separados por una red pública, esto hace que el usuario haga uso de un túnel creado dinámicamente a través de Internet u otra red pública, permitiendo así a los participantes del túnel disfrutar de la misma seguridad y funciones que antes sólo estaban disponibles en las redes privadas; la solución debe agregar encriptación, de modo que el tráfico que cruce por la red pública no pueda ser espiado, interceptado, leído o modificado; y por último, la solución debe ser capaz de autenticar positivamente cualquier extremo del enlace de comunicación, de modo que un adversario no pueda acceder a los recursos del sistema. Desde la perspectiva del usuario la VPN es una conexión de punto a punto entre la computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red intermedia es irrelevante para el usuario, debido a que aparece como si los datos se estuvieran enviando sobre un enlace privado dedicado. 3 LAN.- Local Area Network, Red de Area Local. 4

19 Capítulo 1. Aspectos Básicos De VPN La tecnología VPN está diseñada para tratar temas relacionados con la tendencia actual de negocios hacia mayores telecomunicaciones, operaciones globales ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde los trabajadores deben conectarse a recursos centrales y entre sí. Para proporcionar a los empleados la capacidad de conectarse a recursos de cómputo corporativos sin importar su ubicación, una compañía debe instalar una solución de acceso remoto que sea confiable y escalable. Comúnmente, las compañías eligen una solución basada en un departamento de sistemas que está encargado de adquirir, instalar y mantener los conjuntos de módems corporativos y la infraestructura de red privada; también eligen una solución de red de valor agregado (VAN), donde contratan a una compañía externa para adquirir, instalar y mantener los conjuntos de módems y una infraestructura de telecomunicaciones. Sin embargo, ninguna de estas soluciones proporciona la escalabilidad necesaria en términos de costo, flexibilidad de administración y gestión, así como la demanda de conexiones. Por tanto, tiene sentido encontrar un terreno intermedio donde la organización complemente sus inversiones actuales en conjuntos de módems y su infraestructura de red privada, con una solución menos costosa basada en tecnología de Internet. De esta manera, las empresas se pueden enfocar a su negocio principal con la garantía de que nunca se comprometerá su accesibilidad y que se instalarán las soluciones más económicas. La figura que se muestra a continuación (fig. 1.3) hace una distinción de las formas de comunicación, la primera usando una costosa línea punto a punto abierta permanentemente (enlace dedicado), la segunda muestra la manera de cómo VPN funciona utilizando Internet en este caso como medio de transmisión. 5

20 Capítulo 1. Aspectos Básicos De VPN Figura 1.3. Comparación Diseño Punto a Punto vs. Diseño VPN Autores: Viteri Sebastian, Orbe Fredy. Las VPN constituyen una estupenda combinación entre seguridad y garantía que ofrecen las costosas redes privadas y el gran alcance, lo asequible y lo escalable del acceso a través de Internet. Esta combinación hace de las Redes Privadas Virtuales una infraestructura confiable y de bajo costo que satisface las necesidades de comunicación de cualquier organización. Las VPNs permiten: o o La administración y ampliación de la red corporativa al mejor costobeneficio. La facilidad y seguridad para los usuarios remotos de conectarse a las redes corporativas. 6

21 Capítulo 1. Aspectos Básicos De VPN 1.4 Propiedades de la Conexión VPN La conexión VPN, tiene las siguientes propiedades: Encapsulación Autentificación Encriptación de datos. Asignamiento de servidor de nombres y dirección. Encapsulación.- La encapsulación es el ocultamiento del funcionamiento interno de un objeto, esto permite que sólo la interfaz sea percibida y no la implementación. La tecnología VPN, provee una vía de encapsulación de datos privados con encabezados que permiten a los datos pasar por el tráfico. Autentificación.- La autentificación para conexiones VPN, toma dos formatos: Autentificación de usuario Para que la conexión VPN sea establecida, el servidor VPN autentifica al cliente VPN intentando la conexión y verificando que el cliente VPN tenga los permisos apropiados. Si se acepta, se usa la autentificación mutua, el cliente VPN también autentifica al servidor VPN proveyendo una protección ante servidores VPN enmascarados. Autentificación e integración de datos Para verificar que los datos enviados en la conexión VPN, son originados al otro lado de la conexión y no han sido modificados en el camino, los datos contienen una suma de comprobación criptográfica basaba en un código conocido solo por el emisor y el receptor. 7

22 Capítulo 1. Aspectos Básicos De VPN Encriptación de datos.- Para asegurar la confiabilidad de los datos que son enviados a través del transito compartido o público, este es encriptado por el emisor, y desencriptado por el receptor. El proceso de encriptación y desencriptación depende de que el emisor y el receptor tengan conocimiento de una llave de encriptación conocida por ambos. Los paquetes interceptados a lo largo de la conexión VPN en el transito, son ilegibles para quien no conozca la llave de encriptación. La longitud de la llave de encriptación es un parámetro importante de seguridad. Técnicas computacionales puedes ser usadas para determinar la llave de encriptación, como estas técnicas requieren mayor poder computacional y tiempo de cálculos mientras más larga sea la llave de encriptación, por lo tanto, es muy importante usar una llave lo más larga posible. Además mientras más información es encriptada con la misma llave, es más fácil de descifrar los datos encriptados. Con algunas técnicas de encriptación, se le da la opción de configurar cuan a menudo las llaves de encriptación son cambiadas durante una conexión. El tráfico cifrado o encriptado actúa como si estuviera en un túnel entre dos redes. Aún cuando un atacante pudiera ver o interceptar el tráfico, no podría leerlo y no le haría cambios sin que el destinatario se percatara de ello. Asignamiento servidor de nombres y dirección.- Cuando un servidor VPN es configurado, se crea una interfaz virtual que representa la interfaz en la cual todas las conexiones VPN son hechas. Cuando un cliente VPN establece una conexión, una interfaz virtual es creada en el cliente VPN que representa la interfaz conectada al servidor VPN. La interfaz virtual en el cliente de VPN se conecta con la interfaz virtual en el servidor de VPN creando una conexión VPN punto a punto. A las interfaces virtuales del cliente VPN y del servidor VPN se deben asignar direcciones IP. La asignación de estas direcciones es hecha por el servidor de VPN. Por defecto, el servidor de VPN obtiene a las direcciones IP para sí mismo y a clientes de VPN usando Dynamic Host Configuration Protocol (DHCP). También se 8

23 Capítulo 1. Aspectos Básicos De VPN puede configurar una unión estática de las direcciones identificación de la red IP y una mascara de subred. IP definidas por una 1.5 Requerimientos y Componentes Necesarios Las VPN, al igual que otros tipos de comunicaciones remotas, consisten en Hardware y Software y además de estos requieren otro conjunto de componentes. Estos componentes son requisitos que garantizan que la solución funcione de la mejor manera, ya sea que un ISP 4 (Internet Service Provider) proporcione la VPN o que una organización haya decidido instalar una por si misma. La solución deberá permitir la libertad para que los clientes remotos autorizados se conecten con facilidad a los recursos corporativos de la red de área local (LAN) así como las oficinas remotas se conecten entre si para compartir recursos e información. Es decir, al implementar una solución de red remota, una compañía desea facilitar un acceso controlado a los recursos y a la información de la misma. Por lo tanto, como mínimo, una solución de VPN debe proporcionar lo siguiente: Disponibilidad La solución VPN como cualquier otro servicio de comunicación debe estar disponible para su uso cuando sea necesario. Dicha disponibilidad se aplica tanto al tiempo de actualización como al de acceso. Control El control de una VPN debe contemplar algunos puntos como capacitación, experiencia, supervisión meticulosa y funciones de alerta. Una consideración significativa es que sin importar que tan grande sea la organización, es probable que solo cuente con una VPN; por lo tanto se debe tener un cuidado especial en la administración y control de la VPN. Compatibilidad Para utilizar la tecnología VPN y por lo tanto Internet como medio de transporte, la arquitectura interna del protocolo de red de una compañía debe ser compatible con 4 ISP.- Internet Service Provider, Proveedor de Servicios de Internet. 9

24 Capítulo 1. Aspectos Básicos De VPN el IP nativo de Internet. Esto quiere decir que la compañía debe poder trabajar con el protocolo IP, se debe aclarar que si se están corriendo protocolos como SNA o IPX, no se puede conectar directamente a Internet, a menos que primero se conviertan a protocolo IP. Confiabilidad La compañía que decide instalar el producto VPN del proveedor de Internet o decide hacerlo por su cuenta esta a merced del funcionamiento de este. La confiabilidad es un factor importantísimo y en el caso de que la compañía adquiera este servicio con un proveedor no tiene control sobre ella y tiene que depositar toda su confianza de funcionamiento a este. Control en Sobrecarga de Tráfico Cuando se hablan de tamaño de paquetes cifrados la sobrecarga entra en discusión, ya que si mandamos varios paquetes se incrementa el tamaño de estos y por lo tanto se afecta la utilización del ancho de banda. Para evitar el tráfico elevado, se debe decidir que tipo de tráfico necesita ser protegido. Transmisiones generales, y tráfico similar no necesita ser encriptado necesariamente bastará con la autenticación para mantener su seguridad. Autenticación de Datos y Usuarios La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quién accesó, a que información y cuando. Para la autenticación se reafirma que el mensaje ha sido enviado completamente y que no ha sido alterado de ninguna forma en el camino. Administración de claves y direcciones La VPN debe generar y renovar las claves de codificación para el cliente y el servidor. Así se puede evitar de alguna forma el acceso a personas no permitidas. Así también, La VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así. 10

25 Capítulo 1. Aspectos Básicos De VPN Codificación de datos Los datos que se van a transmitir a través de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red. Esto es relativo puesto que con lo dicho anteriormente la VPN debe tener la posibilidad de decidir qué datos son encriptados y qué datos son autenticados solamente. No repudio Es el proceso de identificar positivamente o negativamente al emisor del mensaje de tal manera que no pueda negar que este envió el mensaje. Soporte a protocolos múltiples La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de Internet (IP), el intercambio de paquete de Internet (IPX) entre otros. Transparencia a las Aplicaciones Otro de los requisitos más importantes a la hora de construir una VPN es el hecho de que las aplicaciones deberían seguir funcionando perfectamente como hasta ahora habían funcionado. Es decir, la creación de la VPN debería ser transparente a las aplicaciones que se estén usando o se puedan usar en cualquiera de las redes que forman la VPN. En complemento a lo expuesto anteriormente podemos decir que son requisitos indispensables para la ínterconectividad VPN y un mejor funcionamiento y desempeño los siguientes puntos: Políticas de seguridad. Requerimiento de aplicaciones en tiempo real. Compartir datos, aplicaciones y recursos. Servidor de acceso y autentificación. Aplicación de autentificación. 1.6 HERRAMIENTAS DE UNA VPN 11

26 Capítulo 1. Aspectos Básicos De VPN VPN Gateway.- La VPN Gateway son dispositivos con un software y hardware especial para proveer de capacidad a la VPN. Proporcionan opciones de autentificación muy robustas, asistentes de configuración intuitivos, encriptación de datos de alto rendimiento, enrutamiento dinámico y funcionalidades de cortafuegos e inspección de estado. Algunos permiten crear hasta túneles simultáneos. En el funcionamiento de VPNs son muy útiles ya que se encargan prácticamente de verificar la autenticación tanto de usuarios como de los datos que serán transportados. Con el uso de estos equipos la VPN tiene un valor agregado de seguridad. Figura 1.4. Gateway Fuente: Alcatel Ink. Acatel 7130 Gateways de VPN Software.- El software se encuentra sobre una plataforma PC o Workstation. El software desempeña todas las funciones de la VPN. Se debe tener un sistema de transporte el cual la única función es transportar los datos sin explorar su contenido. El transporte debe asegurar una cierta calidad de servicio, si esto es posible, y debe proporcionar seguridad (encriptación) a los datos. Además será necesario que junto con los routers se disponga de algún tipo de encapsulamiento disponible para que la red de transporte intermedio (ya sea dial-up, Internet u otro tipo de red) sea capaz de entregar los paquetes entre los desencaminadores de la VPN, sin tener que `mirar' dentro de los datos de la transmisión que, además, podrían estar encriptados. 12

27 Capítulo 1. Aspectos Básicos De VPN Firewall.- La función de un firewall en una red VPN es mantener fuera de la red a usuarios y datos no permitidos y dejar entrar a los usuarios que si están permitidos. Por lo general los firewalls son implantados en la primera línea de protección en la construcción de una VPN. Esto es asegurar las redes como si estas estuvieran aisladas. Figura 1.5. Firewall Fuente: Cisco Systems. Cisco 535 Secure PIX Firewall 535 Router.- Un router es un dispositivo físico que une redes múltiples juntas. Técnicamente, un router es una "capa de 3 entradas", significa que se conectan redes (como entradas), y que opera a la capa de la red del modelo de OSI. Los rotures en el funcionamiento de las VPNs son de gran utilidad ya que se pueden implementar Listas de Control de Acceso ( ACL 5, Access Control Lists) con lo cual se restringe o se permite el acceso a ciertos usuarios, y también se pueden dar políticas de seguridad extras manejadas desde el router a toda la Red Local. Generalmente el Router está ubicado al borde final de salida de una Red Local, es decir comúnmente es el que brinda salida a las Redes WAN o el que restringe el acceso de usuarios de una Red WAN a una Red Local. 5 ACL.- Access Control Lists; Listas de Control de Acceso. 13

28 Capítulo 1. Aspectos Básicos De VPN Figura 1.6.Router Fuente: Cisco Systems. Router cisco serie Escenarios de Utilización Podemos decir que existen dos escenarios básicos para este tipo de red virtual: En el primero, un usuario remoto llama a un ISP con un servidor de acceso remoto que usa un protocolo de túnel, el ISP provee el servicio de túnel hacia un servidor de acceso remoto. En el segundo, el usuario se conecta a un ISP que no ofrece el protocolo y después inicia una conexión con el protocolo de túnel en su computadora cliente. Además de estos escenarios vamos a poner a consideración varias situaciones que pueden prevalecer en el uso práctico de una VPN. Conexión end-system al interior de dos organizaciones, esto es ni más ni menos una conexión punto a punto dedicada. Esto puede ser útil para que dos entidades se conecten entre sí seguras dentro de la compañía. Conexión de organizaciones enteras, como por ejemplo dos plantas de una misma compañía que necesitan intercambiar la información relativa a la producción. Conexión end-system con organizaciones enteras, como ejemplo un cliente (vendedor) móvil puede concurrir a conectarse con el servidor del negocio para la lectura de datos como si estuviera físicamente en la red interna de la compañía Conexiones de negocios, la conexión entre dos intranets para acceder a parte de la información de la compañía así también el acceso de los miembros de esta. 14

29 Capítulo 1. Aspectos Básicos De VPN 1.8 Diferencias entre las VPN y una Intranet Normal Las redes privadas virtuales (VPN) pueden ser puestas en ejecución como Intranet y sustituir totalmente una red privada de área amplia (WAN). VPN conecta sucursales y tellecommuters en una red corporativa "empresa-ancha" vía Internet, y pueden eliminar todas las cargas de distancias largas, así también la responsabilidad del manejo y de la seguridad de mantener redes privadas. Una VPN se diferencia de redes ordinarias de tres maneras: Las redes privadas virtuales permiten que cualquier usuario remoto válido haga parte de una red central corporativa, usando el mismo esquema de la red y tratándolo como usuario de la red central. Cada red central corporativa puede también ser responsable de validar a sus propios usuarios, a pesar del hecho que están operando realmente en una red pública. El Internet Service Provider (ISP) puede dar a cada uno de sus clientes un número de teléfono de marcado único (dial-up) el cual distinguirá el uso del servicio para cualquier otro usuario. Pero esto depende del software que será utilizado por el usuario remoto. 1.9 Calidad de Servicio en VPN (QoS) Las soluciones de Calidad de Servicio permiten personalizar el servicio de VPN de la organización y primar con una mayor calidad de conexión de los usuarios autorizados. Los clientes pueden exigir que el comportamiento de la VPNs sea similar a las líneas físicas arrendadas o a las conexiones dedicadas, con respecto a los parámetros de calidad de servicio (QoS). La mayoría de los servicios de datos, tales como Frame Relay, proporcionan las garantías de tiempo de conexión y de disponibilidad, así como rendimiento y tiempo de reacción. Estas garantías, o calidad de servicio (QoS), se definen con su proveedor de servicio, en el acuerdo del porcentaje de disponibilidad (SLA 6, Service Level Agreement). 6 SLA.- Service Level Agreement, Acuerdo del Nivel de Servicio. 15

30 Capítulo 1. Aspectos Básicos De VPN Si alguien esta considerado como un administrador VPN, tiene que prestar particular atención a las métricas de calidad de servicio (QoS) especificados en el porcentaje de disponibilidad SLA del proveedor de servicio. Si el proveedor de servicio no puede proporcionar garantías adecuadas de SLA, se debe reconsiderar cómo se ha implementado la VPN. A continuación presentaremos algunos tópicos importantes que el usuario debe pedir al proveedor. Qué esquema de QoS se utiliza en la red y qué cubre? Cuál es el nivel de la garantía de la disponibilidad de la red? Qué opciones de BACKUP se ofrece y en qué coste? Los clientes consiguen un garantía cuando hay una interrupción y si es así cuales son sus niveles? El SLA cubre la desconexión temporal, por ejemplo cuando fue hecho con ataques del hacker? En un largo plazo, los SLAs en los servicios de VPN probablemente mejorarán puesto que los diversos esquemas de QoS se despliegan más extensamente. Sin embargo, hasta que pase esto, los SLAs se pueden limitar a las conexiones sobre una sola red del proveedor de servicio Riesgos del Uso de VPN Como se ha mencionado, el motivo principal para el uso de Redes Privadas Virtuales (VPN) es el bajo costo económico y la facilidad para su implementación. Sin embargo, también cabe mencionar algunos puntos en contra del uso de esta tecnología, la principal radica en la dependencia de otras infraestructuras para su total desempeño. Es decir el rendimiento de una VPN se basa principalmente en el rendimiento que esté brindando en su momento la infraestructura pública (Internet), es decir nivel de la seguridad, ancho de banda, o calidad del servicio no dependen de la VPN por sí sola, sino que esta influenciada por el rendimiento de Internet. Otro punto que aún no esta satisfecho con el uso de VPN, es el sacrificio del desempeño real, debido a que los procedimientos de seguridad (tunneling: 16

31 Capítulo 1. Aspectos Básicos De VPN encripción, compresión, descifrado) que se aplican disminuyen un poco el rendimiento real posible de una VPN, ya que pueden provocar una sobrecarga en la conexión de red debido a los procedimientos requeridos para su ejecución. Esta sobrecarga en el cliente VPN se produce ya que se debe realizar la tarea adicional de encapsular los paquetes de datos, luego se realiza encriptación de los datos que produce una mayor lentitud de la mayoría de conexiones. También se produce una mayor complejidad en el tráfico de datos que puede producir efectos no deseados al cambiar la numeración asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o número IP) Beneficios de la Utilización de VPNs Sin duda alguna, el principal beneficio que brindan las VPNs radica en el bajo costo que genera la combinación del uso en conjunto de redes privadas con redes públicas. Las redes privadas por su lado brindan la seguridad y garantía que los datos serán inalterables, mientras que el alcance, lo asequible y lo escalable del acceso lo generan las redes públicas a través de Internet. Esta combinación hace de las Redes Privadas Virtuales (VPN) una infraestructura confiable y de bajo costo que satisface las necesidades de comunicación de cualquier organización. Los principales beneficios que brindan las VPN son: Facilidad de implementación. Aceptable relación costo-beneficio de administración. Seguridad confiable en cuanto al transporte de datos, de acuerdo a su costo. Facilidad de comunicación entre usuarios remotos Justificación de Uso 17

32 Capítulo 1. Aspectos Básicos De VPN Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro, el único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias. Las redes privadas virtuales surgen como una alternativa a los servicios de comunicaciones tradicionales de red amplia (WAN) 7 de enlaces dedicados. Este tipo de comunicaciones presenta múltiples razones para su uso: Bajo costo. Reduce los costos de implementación, ya que al utilizar infraestructura pública para el transporte de datos (Internet), no requiere dispositivos físicos para la conexión entre puntos remotos, como fuera necesario al tener una WAN. Reduce también los costos de comunicación entre puntos remotos, porque se elimina la necesidad de tener líneas dedicadas para la comunicación, reemplazando todo ello al usar el Internet. Flexibilidad. Se puede optar por múltiples tecnologías o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso más adecuado. Por ejemplo, si se trata de una pequeña oficina remota, se puede utilizar acceso discado, ISDN 8, xdsl 9 o cable módem. Implementación rápida. El tiempo de implementación de un "backbone" 10 de WAN para una empresa es muy alto frente a la implementación de una red privada virtual sobre un "backbone" ya existente de un proveedor de servicio. Más aún, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy rápida, que concuerdan con los tiempos del negocio de la empresa. 7 WAN.- Wide Area Network; Red de Area Amplia. 8 ISDN.- (Integrated Services Digital Network). Siglas inglesas de la RDSI, Red Digital de Servicios Integrados. 9 xdsl.- es un término genérico que conjunta varios tipos de tecnologías de subscriptores de líneas digitales (Digital Subscriber Line) incluyendo ADSL, IDSL, SDSL y G.Lite. 10 Backbone.- Eje central de una red de ordenadores de alta velocidad que distribuyen el tráfico de paquetes a otras redes de velocidad inferior. Estas líneas de alta velocidad suelen cruzar tanto Europa como EE.UU. y están sufragadas con fondos públicos aunque parece ser que hay excepciones. 18

33 Capítulo 1. Aspectos Básicos De VPN Escalabilidad. El constante desarrollo de las comunicaciones mediante redes como Internet permite que la empresa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnología de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario En que Ayuda VPN y Servicios a los que se puede Acceder Una red VPN es la solución más factible para la necesidad de comunicación de puntos de red distantes físicamente, basando su funcionamiento en estructuras públicas de transporte como lo es el Internet. Es decir es una solución que reemplaza o simula una red WAN, con el uso de redes locales y redes públicas. Una vez realizada o implementada la VPN de acuerdo a los requerimientos o necesidades que se tengan, la red trabaja de manera como lo hace una LAN (ej: compartir archivos, servidores de impresión, servidores de respaldo, correo electrónico, etc), todo el proceso de comunicación entre los puntos remotos de la red, se hace como si se tratara de una red local, todo este procedimiento es transparente para el usuario Costos Reducidos LAN a WAN Como sabemos una Red Privada Virtual (VPN) es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes localizaciones geográficas (como las redes WAN). Es una red de datos de gran seguridad que permite la transmisión de información confidencial entre puntos distantes, utilizando Internet como medio de transmisión. Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos. La razón principal por la que una VPN reduce el costo económico en relación a las redes WAN (Wide Area Network), es porque no existe la necesidad de contratar líneas dedicadas a los ISP (Internet Service Provider) para basar en este servicio la comunicación punto a punto. Con VPNs, una organización necesita sólo una 19

34 Capítulo 1. Aspectos Básicos De VPN conexión especializada relativamente corta al proveedor de servicio. Esta conexión podría ser una línea arrendada local (mucho menos caro que uno largo distancia), o podría ser una conexión de la banda ancha local como servicio de DSL 11. Otra manera en que las VPNs reducen el costo está en que disminuyen el valor en la conexión telefónica. La llamada para eso proporciona el servicio de acceso remoto, los clientes de VPN sólo necesitan que llamen al punto de acceso del proveedor de servicio más cercano. En algunos casos esto puede requerir una llamada de larga distancia, pero en muchos casos será una llamada local Ventajas de la Utilización De VPNs Las ventajas que brinda VPN son innumerables, pero casi todas se relacionan a la integridad, confidencialidad y seguridad que los datos pueden tener a usar VPN. Entre las más significativas tenemos: Funcionalidad de LAN, aunque en la red existan puntos remotos. Facilidad de implementación. Optimización del uso de recursos de la red física Reducción de costos operacionales e implementación. Reducción de costos de comunicación punto a punto. Sencillez al usar. Sencillez al manipular y configurar clientes. Control de acceso basado en políticas preestablecidas. Existencia de herramientas de diagnostico remoto. Optimización del tráfico del cliente mediante algoritmos de compresión. Reducción del costo de actualizaciones y mantenimiento a las PC s remotas Desventajas 11 DSL.- Digital Subscriptor Line; Línea del Subscriptor Digital. Una línea de DSL puede llevar datos y signos de la voz y los datos parten de la línea se conecta continuamente 20

35 Capítulo 1. Aspectos Básicos De VPN El principal problema del uso de VPN radica en el aspecto de seguridad que puedan brindar este tipo de redes para el tráfico de datos en uso, refiriéndonos a este factor tenemos: Necesidad de procesos y procedimientos de acompañamiento para su correcto funcionamiento, en algunas ocasiones los mismos retardan el rendimiento de la red. Problemas de operatividad al usar diferentes tecnologías de VPN, a veces muy costosas de solucionar. Dependencia de infraestructura pública (Internet) para su funcionamiento como para su seguridad de tráfico, lo que hace depender de grandes factores fuera de su alcance. Costos ocultos para solución de problemas de seguridad cuando lo hayan. 21

36 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) CAPITULO 2 2. ASPECTOS TECNICOS DE REDES PRIVADAS VIRTUALES (VPN) 2.1. Introducción Con el avance de la tecnología, han surgido un sinnúmero de técnicas nuevas para la comunicación de información en las redes de computadores. En el presente capítulo presentaremos aspectos básicos necesarios para comprender técnicamente el funcionamiento de las Redes Virtuales Privadas (VPN), que es la forma más reciente y útil de comunicación de redes en este tiempo. Las Redes Privadas Virtuales (VPN) se basan en el uso de varios protocolos, pero cada uno tiene su finalidad y propósito, es por ello que en el presente capítulo estudiaremos lo referente a los protocolos que se usan para la creación, implementación y mantenimiento de las Redes Virtuales Privadas (VPN). Luego de haber revisado este capítulo se podrá estar en la capacidad de entender de una manera más profunda el funcionamiento y la utilidad de las VPN Tecnología de túneles 12 La tecnología de túneles ("Tunneling") es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algún protocolo, no necesariamente diferente al del paquete original. En lugar de enviar una trama a medida que es producida por el nodo promotor, el protocolo de túnel la encapsula en un encabezado adicional. Éste proporciona información de entubamiento de manera que la carga útil encapsulada pueda viajar a través de la red intermedia. De esta manera, se pueden enrutar los paquetes encapsulados entre los puntos finales del túnel sobre la red (la trayectoria lógica a través de la que viajan los

37 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) paquetes encapsulados en la red se denomina túnel). Cuando las tramas encapsuladas llegan a su destino sobre la red se desencapsulan y se envían a su destino final; nótese que este sistema de túnel incluye todo este proceso (encapsulamiento, transmisión y desencapsulamiento de paquetes). Figura 2.1. Tunneling. Autores: Viteri Sebastian, Orbe Fredy. En la figura 2.1 se muestra el funcionamiento con el que opera una conexión VPN, usando tunneling para el transporte de información o datos de un punto a otro. Las técnicas de autenticación son esenciales en las VPNs, ya que aseguran a los participantes de la misma que están intercambiando información con el usuario o dispositivo correcto. La autenticación en VPNs es conceptualmente parecido al logeo en un sistema como nombre de usuario y contraseña, pero con necesidades mayores de aseguramiento de validación de identidades. La mayoría de los sistemas de autenticación usados en VPN están basados en un sistema de claves compartidas. La autenticación es llevada a cabo generalmente al inicio de una sesión, y luego aleatoriamente durante el curso de la misma, para asegurar que no haya algún tercer participante que se haya intrometido en la conversación. La autenticación también puede ser usada para asegurar la integridad de los datos. Ejemplos de 23

38 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) sistemas de autenticación son Challenge Handshake Authentication Protocol (CHAP) 13 y RSA 14, que van a ser tratados más delante de forma detallada. Todas las VPNs tienen algún tipo de tecnología de encriptación, que esencialmente empaqueta los datos en un paquete seguro. La encriptación es considerada tan esencial como la autenticación, ya que protege los datos transportados de ser vistos y entendidos en el viaje de un extremo a otro de la conexión. Existen dos tipos de técnicas de encriptación que se usan en las VPN: Encriptación de clave secreta, o privada Encriptación de clave pública Encriptación de clave secreta Se utiliza una contraseña secreta conocida por todos los participantes que necesitan acceso a la información encriptada. Dicha contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de encriptación posee el problema que, como la contraseña es compartida por todos los participantes debe mantenerse secreta, al ser revelada, debe ser cambiada y distribuida a los participantes, con lo cual se puede crear de esta manera algún problema de seguridad Encriptación de clave pública La encriptación de clave pública implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta. En las VPNs, la encriptación debe ser realizada en tiempo real. Por eso, los flujos encriptados a través de una red son encriptados utilizando encriptación de clave secreta con claves que son solamente buenas para sesiones de flujo de datos. 13 CHAP.- Challenge Handshake Authentication Protocol 14 RSA.- Siglas de Rivest-Shamir-Ardleman, los tres inventores de la criptografía de clave pública. 24

39 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) El protocolo más usado para la encriptación dentro de las VPNs es IPSec, que consiste en un conjunto de protocolos del IETF 15 que delinean un protocolo IP seguro para IPv4 y IPv6. IPSec, provee encriptación a nivel de IP (capa 3 del nivel OSI) Funcionamiento de la Tecnología de Túneles (Tunneling) 16 El principio de funcionamiento para el proceso túnel es el siguiente: Al enviar un paquete IP a un host destino, el host origen construye el paquete que contiene la dirección IP del host destino, lo inserta en un marco ethernet dirigido al router multiprotocolo que enlaza el punto A, y lo pone en el ethernet. Cuando el router multiprotocolo recibe el marco, retira el paquete IP, lo inserta en el campo de carga útil del paquete de capa de red de la WAN, y dirige este último a la dirección de la WAN del router multiprotocolo que enlaza con el punto B. Al llegar ahí, el router retira el paquete IP y lo envía al host destino en un marco ethernet. La WAN puede visualizarse como un gran túnel que se extiende de un router multiprotocolo al otro. El paquete IP simplemente viaja de un extremo del túnel al otro. No tiene que preocuparse por lidiar con la WAN. Tampoco tienen que hacerlo los hosts de cualquiera de los ethernet. Sólo el router multiprotocolo tiene que entender los paquetes IP y WAN. En la siguiente ilustración, (fig. 2.2.) se muestra la manera de cómo es el funcionamiento técnico de una Red Privada Virtual, cabe recalcar que la información es empaquetada dentro de un campo del paquete que se va a transmitir en la Red WAN, en este caso Internet. 15 IETF.- Internet Engineering Task Force ; organización que define los estándares de la red

40 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.2. Funcionamiento de la Tecnología de Túneles Autores: Viteri Sebastian, Orbe Fredy. Para las tecnologías de túnel de Nivel 2 como PPTP y L2TP, un túnel es similar a una sesión; los dos puntos finales deben estar de acuerdo respecto al túnel, y negociar las variables de la configuración, como asignación de dirección o los parámetros de encriptación o de compresión. En la mayor parte de los casos, los datos que se transfieren a través del túnel se envían utilizando protocolos basados en datagramas; se utiliza un protocolo para mantenimiento del túnel como mecanismo para administrar al mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado fuera de banda todos los temas relacionados con la configuración, normalmente a través de procesos manuales; sin embargo, quizá no exista una fase de mantenimiento de túnel. Para los protocolos de Nivel 2 (PPTP y L2TP) se debe crear, mantener y luego concluir un túnel Los protocolos y los requerimientos básicos del túnel How Virtual Private Networks Work, Cisco Systems,

41 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP o L2TP) heredan un conjunto de funciones útiles. Como se señala adelante, estas funciones y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la VPN Autenticación de usuario. Los protocolos de túnel Nivel 2 hereda los esquemas de autenticación del usuario de PPP. Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una excepción es la negociación IPSec ISAKMP que proporciona una autenticación mutua de los puntos finales del túnel. (Nótese que la mayor parte de las implementaciones IPSec dan soporte sólo a certificados basados en equipo, más que en certificados de usuarios; como resultado, cualquier usuario con acceso a uno de los equipos de punto final puede utilizar el túnel. Se puede eliminar esta debilidad potencial de seguridad cuando se conjunta el IPSec con un protocolo de Nivel 2, como el L2TP) Soporte de tarjeta de señales Al utilizar el Protocolo de autenticación ampliable (EAP), los protocolos de túnel Nivel 2 pueden ofrecer soporte a una amplia variedad de métodos de autenticación, incluidas contraseñas de una sola vez, calculadores criptográficos y tarjetas inteligentes. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define la Autenticación de los certificados de llaves públicas en su negociación ISAKMP/Oakley Asignación de dirección dinámica El túnel de Nivel 2 da soporte a la asignación dinámica de direcciones de clientes basadas en un mecanismo de negociación de protocolos de control de la red en general los esquemas del túnel de nivel 3 suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Cabe mencionar que los esquemas para 27

42 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) la asignación de direcciones en el modo de túnel IPSec están actualmente en desarrollo, por lo que aún no están disponibles Compresión de datos Los protocolos de túnel Nivel 2 proporcionan soporte a esquemas de compresión basados en PPP, por ejemplo, las implementaciones de Microsoft tanto de PPTP como L2TP utilizan Microsoft Point to Point Compression (MPPC) 18. La IETF está investigando mecanismos similares (como la compresión IP) para los protocolos de túnel Nivel Encriptación de datos Los protocolos de túnel Nivel 2 dan soporte a mecanismos de encriptación de datos basados en PPP. Por su parte, la implementación de Microsoft de PPTP da soporte al uso opcional de Microsoft Point to Point Encription (MPPE), basado en el algoritmo RSA/RC4 19. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares; por ejemplo, IPSec define varios métodos de Encriptación opcional de datos que se negocian durante el intercambio ISAKMP/Oaklev. La implementación de Microsoft del protocolo L2TP utiliza la encriptación IPSec para proteger el flujo de datos del cliente al servidor del túnel Administración de llaves MPPE, un protocolo de Nivel 2, se basa en las claves iniciales generadas durante la Autenticación del usuario y luego las renueva en forma periódica. IPSec negocia explícitamente una llave común durante el intercambio ISAKMP y también las renueva de manera periódica Soporte de protocolo múltiple El sistema de túnel de Nivel 2 da soporte a protocolos múltiples de carga útil, lo que facilita a los clientes de túnel tener acceso a sus redes corporativas utilizando IP, 18 MPPC.- Microsoft Point to Point Compression. 19 RSA/RC4.- Criptografía con Codigo de Retorno 4 (RC4) 28

43 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) IPX, NetBEUI, etc. En contraste, los protocolos de túnel Nivel 3, como el modo de túnel IPSec, por lo común dan soporte sólo a redes objetivo que utilizan el protocolo IP Tipos de Túnel En Redes Virtuales Privadas (VPN) se pueden crear 2 tipos de túneles: Túneles voluntarios Túneles obligatorios Túneles Voluntarios Una computadora de usuario o de cliente puede emitir una solicitud VPN para configurar y crear un túnel voluntario. En este caso, la computadora del usuario es un punto terminal del túnel y actúa como un cliente de éste. Un túnel voluntario ocurre cuando, una estación de trabajo o un servidor de entubamiento utiliza el software del cliente del túnel, a fin de crear una conexión virtual al servidor del túnel objetivo; para lograr esto se debe instalar el protocolo apropiado de túnel en la computadora cliente. Para los protocolos que se analizan en este capítulo, los túneles voluntarios requieren una conexión IP (ya sea a través de una LAN o marcación). En determinadas situaciones, el cliente debe establecer una conexión de marcación con el objeto de conectarse a la red antes de que el cliente pueda establecer un túnel (éste es el caso más común). Un buen ejemplo es el usuario de Internet por marcación, que debe marcar a un ISP y obtener una conexión a Internet antes de que se pueda crear un túnel sobre Internet. Para una PC conectada a una LAN, el cliente ya tiene una conexión a la red que le puede proporcionar un entubamiento a las cargas útiles encapsuladas al servidor del túnel LAN elegido. Este sería el caso para un cliente en una LAN corporativa, que inicia, un túnel para alcanzar una subred privada u oculta en la misma LAN (como sería el caso de la red de otra área). 29

44 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Es falso que las VPN requieran una conexión de marcación, pues sólo requieren de una red IP. Algunos clientes (como las PC del hogar) utilizan conexiones de marcación a Internet para establecer transporte IP; esto es un paso preliminar en la preparación para la creación de un túnel, y no es parte del protocolo del túnel mismo Túneles Obligatorios Un servidor de acceso de marcación capaz de soportar una VPN configura y crea un túnel obligatorio. Con uno de éstos, la computadora del usuario deja de ser un punto terminal del túnel. Otro dispositivo, el servidor de acceso remoto, entre la computadora del usuario y el servidor del túnel, es el punto terminal del túnel y actúa como el cliente del mismo. Diversos proveedores que venden servidores de acceso de marcación han implementado la capacidad para crear un túnel en nombre del cliente de marcación. La computadora o el dispositivo de red que proporciona el túnel para la computadora del cliente es conocida de varias maneras: Procesador frontal (FEP) 20 en PPTP, un Concentrador de acceso (LAC) 21 en L2TP o un gateway de seguridad IP en el IPSec. Para realizar esta función, el FEP deberá tener instalado el protocolo apropiado de túnel y ser capaz de establecer el túnel cuando se conecte la computadora cliente. En el ejemplo de Internet, la computadora cliente coloca una llamada de marcación al NAS 22 activado por los túneles en el ISP; puede darse el caso de que una empresa haya contratado un ISP para instalar un conjunto nacional de FEP. Esta configuración se conoce como "túnel obligatorio" debido a que el cliente está obligado a utilizar el túnel creado por FEP cuando se realiza la conexión inicial, todo el tráfico de la red desde y hacia el cliente se envía automáticamente a través del túnel. En los túneles obligatorios, la computadora cliente realiza una conexión única PPP, y cuando un cliente marca en el NAS se crea un túnel y todo el tráfico se 20 FEP.- Frontal Equipement Proccesor; Procesador Frontal. 21 LAC.- LAN Access Concentrador; Concentrador de Acceso 22 NAS.- Network Applications Support; Conjunto de arquitecturas y desarrollos de programas de la Firma DEC. 30

45 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) enruta de manera automática a través de éste. Es posible configurar un FEP para hacer un túnel a todos los clientes de marcación hacia un servidor específico del túnel. De manera alterna, el FEP podría hacer túneles individuales de los clientes basados en el nombre o destino del usuario. A diferencia de los túneles por separado creados para cada cliente voluntario, un túnel entre el FEP y servidor puede estar compartido entre varios clientes de marcación. Cuando un segundo cliente marca al servidor de acceso (FEP) a fin de alcanzar un destino no hay necesidad de crear una nueva instancia del túnel entre el FEP y el servidor del túnel Protocolos de Punto a Punto 23 Como sabemos para la implementación de las VPN es necesario protocolos que se establezcan punto a punto. Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones especificadas para PPP, vale la pena examinar este protocolo más de cerca. PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto. Es utilizado entre un cliente de marcación y un NAS. Existen cuatro fases distintivas de negociación en una sesión de marcación del PPP, cada una de las cuales debe completarse de manera exitosa antes de que la conexión del PPP esté lista para transferir los datos del usuario. Estas fases se explican posteriormente Fase 1: Establecer el Enlace del PPP PPP utiliza el Protocolo de control de enlace (LCP) 24 para establecer, mantener y concluir la conexión física. Durante la fase LCP inicial, se seleccionan las opciones básicas de comunicación

46 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Nótese que durante la fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de Autenticación, pero no se implementan efectivamente hasta la fase de Autenticación de conexión (Fase 2). De manera similar, durante el LCP se toma una decisión respecto a que si dos iguales negociarán el uso de compresión y/o encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de compresión/encriptación y los otros detalles Fase 2: Autenticar al Usuario En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de acceso remoto. Por su parte, un esquema seguro de Autenticación proporciona protección contra ataques de reproducción y personificación de clientes remotos. (Un ataque de reproducción ocurre cuando un tercero monitoriza una conexión exitosa y utiliza paquetes capturados para reproducir la respuesta del cliente remoto, de manera que pueda lograr una conexión autenticada). La personificación del cliente remoto ocurre cuando un tercero se apropia de una conexión autenticada. La gran parte de la implementaciones del PPP proporcionan métodos limitado, de Autenticación, típicamente el Protocolo de autenticación de contraseña (PAP) 25, el Protocolo de autenticación de saludo Challenge (CHAP) 26 Y Microsoft Challenge Handshake Authentication Protocol (MSCHAP) Protocolo de autenticación de contraseña (PAP) El PAP es un esquema simple y claro de autenticación de texto: el NAS solicita al usuario el nombre y la contraseña y el PAP le contesta el texto claro (no encriptado). Obviamente, este esquema de autenticación no es seguro ya que un tercero podría capturar el nombre y la contraseña para tener seña del usuario y asi poder acceder subsecuentemente al NAS y todos los recursos que proporciona el mismo cuando 24 LCP.- Link Control Protocol; Protocolo de Control de Enlace. 25 PAP.- Password Authentication Protocol; Protocolo de Autenticación. 26 CHAP.- Challenge Authentication Protocol; Protocolo de Autenticación de saludo Challenge. 27 MSCHAP.- Microsoft Challenge Handshake Authentication Protocol. 32

47 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) se ha escrito la contraseña del usuario, PAP no proporciona protección contra ataques de reproducción o personificación de cliente remoto Protocolo de autenticación de saludo Challenge (CHAP) El CHAP es un mecanismo encriptado que evita la transmisión de contraseñas reales en la conexión. El NAS envía un Challenge, que consiste de una identificación de sesión y una extensión arbitraria al cliente remoto. El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de texto transparente sobre el enlace. En su lugar, se utiliza la contraseña a fin de crear una verificación encriptada del challenge original. El servidor conoce la contraseña del texto transparente del cliente y, por tanto, puede duplicar la operación y comparar el resultado con la contraseña enviada en la respuesta del cliente. El CHAP protege contra ataques de reproducción al utilizar una extensión challenge arbitraria para cada intento de autenticación. Asimismo, protege contra la personificación de un cliente remoto al enviar de manera impredecible challenge repetidos al cliente remoto, a todo lo largo de la duración de la conexión Microsoft Challenge Handshake Authenticatíon Protocol (MSCHAP) Es un mecanismo de autenticación encriptado muy similar al CHAP. Al igual que en este último, el NAS envía un challenge, que consiste en una identificación de sesión y una extensión challenge arbitraria, al cliente remoto. MSCHAP también proporciona códigos adicionales de error, incluido un código de Contraseña ya expirado, así como mensajes adicionales cliente-servidor encriptado que permite a los usuarios cambiar sus contraseñas. En la implementación de Microsoft del MSCHAP, tanto el Cliente como el NAS, de manera independiente, proporcionan una llave inicial para encriptaciones posteriores de datos por el MPPE MPPE.- Microsoft Point to Point Encription 33

48 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) El último punto es muy importante, ya que explica la forma en que se te quiere la autenticación del MSCHAP, a fin de permitir la encriptación de datos con base en MPPE. Durante la fase 2 de la configuración del enlace del PPP, el NAS recopila los datos de autenticación y luego valida los datos contra su propia base de datos del usuario o contra un servidor central para la autenticación de base de datos, como el que mantiene un Controlador del dominio primario Windows NT, un servidor de Servicio remoto de usuario con marcación de autenticación (RADIUS) Fase 3: Control de Iteración del PPP La implementación de Microsoft del PPP incluye una Fase opcional de control de interacción. Esta fase utiliza el protocolo de control de iteración (CBCP) 30 inmediatamente después de la fase de autenticación. Si se configura para iteración, después de la autenticación, le desconectan tanto el cliente remoto como el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el número telefónico especificado, lo que proporciona un nivel adicional de seguridad a las redes de marcación. El NAS permitirá conexiones a partir de los clientes remotos que físicamente residan sólo en números telefónicos específicos Fase 4: Invocar los Protocolos a Nivel de Red Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red (NCP) 31, que se seleccionaron durante la fase de establecimiento de enlace (fase 1) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a un usuario de marcación. 29 RADIUS (Remote Authentication Dial-In User Service) Sistema de autenticación y accounting empleado por la mayoría de proveedores de servicios de Internet (ISPs) si bien no se trata de un estándar oficial. Cuando el usuario realiza una conexión a su ISP debe introducir su nombre de usuario y contraseña, información que pasa a un servidor RADIUS que chequeará que la información es correcta y autorizará el acceso al sistema del ISP si es así. 30 CBCP.- Protocolo de control de Iteración. 31 NCP.- Network Control Protocols; Protocolos de Control de Red. 34

49 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) En la implementación del PPP de Microsoft, el Protocolo de Control de Compresión (MPPC) se utiliza para negociar tanto la compresión de datos, como la encriptación de éstos (utilizando MPPE), por la simple razón de que ambos se implementan en la misma rutina Fase 5: Transferencia de Datos Una vez que hayan concluido las cuatro fases de negociación, PPP empieza a transferir datos desde un origen a un destino. Cada paquete de datos transmitidos se envuelve en un encabezado del PPP, que elimina el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se negoció en la fase 4, los datos se comprimirán antes de la transmisión. Pero si se seleccionó y se negoció de manera similar la encriptación de datos, éstos (comprimidos opcionalmente) se encriptarán antes de la transmisión. Generalmente cuando se habla de la transferencia de datos en una red, especialmente en redes WAN, se utiliza mucho los Circuitos Virtuales. Por esta razón algunas metodologías de implementación de VPN usan protocolos que hacen este procedimiento en su funcionamiento Circuitos Virtuales El principal objetivo de los Circuitos Virtuales (CV) es facilitar la toma de decisiones al momento del encaminamiento para cada paquete transmitido. Cuando se establece una conexión, se selecciona una ruta que va desde la máquina origen hasta la máquina destino como parte del proceso de conexión. Esta ruta se utiliza para todo el tráfico que circule por la conexión, exactamente de la misma manera en como trabaja el sistema telefónico. Cuando se libera la conexión, se desecha el circuito virtual. Ofrecen una trayectoria de comunicación bidireccional de un dispositivo DTE 32 a otro y se identifica de manera única por medio del DLCI 33 (Identificador de Conexiones de Enlace de Datos). Se puede multiplexar una gran cantidad de circuitos virtuales en un solo circuito físico para transmitirlos a través de la red. Con 32 DTE.- Data Terminal Equiment; Equipo Terminal de Datos. 33 DLCI.- Data Link Conection Identificator; Identificador de Conexiones de Enlace de Datos. 35

50 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) frecuencia esta característica permite conectar múltiples dispositivos DTE con menos equipo y una red compleja. Existen dos clases de Circuitos Virtuales (CV): Circuitos Virtuales Conmutados (SVC) Conexiones temporales que se utilizan en situaciones donde se requiere solamente de una transferencia de datos esporádica entre los dispositivos DTE a través de una red Circuitos Virtuales Permanentes (PVC) Conexiones establecidas en forma permanente, que se utilizan en transferencia de datos frecuentes y constantes entre dispositivos DTE a través de una red. La comunicación a través de un PVC no requiere los estados de establecimiento de llamada y finalización que se utilizan con los SVCs Protocolos utilizados en las VPNs 34 Han sido implementados varios protocolos de red para el uso de las VPN, los cuales intentan cerrar todos los hoyos de seguridad inherentes en VPN. Estos protocolos continúan compitiendo por la aceptación, ya que ninguno de ellos ha sido más admitido que otro. Estos protocolos de acuerdo a la capa del Nivel de Referencia OSI se los puede clasificar de dos maneras: 34 On Managing Virtual Private Networks, Raouf Boutaba IEEE, University Of Waterloo ; Cisco Hardware and VPN Clients Supporting IPSec/PPTP/L2TP, Cisco Systems, Noviembre

51 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Protocolos que trabajan en la capa de enlace (Nivel 2 del Modelo de Referencia OSI) L2F PPTP L2TP MPLS capa 2 Protocolos que trabajan en la capa de Red (Nivel 3 del Modelo de Referencia OSI) IPSec GRE IP/IP MPLS capa 3 MPOA Protocolos Capa 2 Los siguientes protocolos son usados en el Nivel 2 del Modelo de Referencia OSI, es decir a nivel de la Capa de Enlace L2F (Layer 2 Forwarding) 35 Desarrollado por Cisco, L2F utilizará cualquier esquema de autentificación soportado por el PPP. Es usado como un protocolo de transmisión que permite que los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP, y lo transmitan sobre enlaces WAN hacia un servidor L2F (un router). Luego, el servidor L2F envuelve los paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no tiene un cliente definido. 35 RFC 2341 Cisco Layer Two Forwarding (Protocol) "L2F" 37

52 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Cabe recalcar que el protocolo L2F funciona sólo en túneles obligatorios, es por ello que en base a este protocolo se han desarrollado nuevos protocolos que se tratarán más adelante Layer Two Tunneling Protocol (L2TP) 36 El principal competidor de PPTP en soluciones VPN fue L2F, desarrollado por Cisco. Con el fin de mejorar L2F, se combinaron las mejores características de PPTP y L2F para crear un nuevo estándar llamado L2TP. L2TP existe en el nivel de enlace del modelo OSI. L2TP, al igual que PPTP soporta clientes no IP, pero también da problemas al definir una encriptación estándar. L2TP facilita el entunelamiento de paquetes PPP a través de una red de manera tal, que sea lo más transparente posible a los usuarios de ambos extremos del túnel y para las aplicaciones que éstos corran. El escenario típico L2TP, cuyo objetivo es la creación de entunelar marcos PPP entre el sistema remoto o cliente LAC 37 y un LNS 38 ubicado en una LAN local, es el que se muestra en la siguiente figura (fig. 2.3.). Un L2TP Access Concentrator (LAC) es un nodo que actúa como un extremo de un túnel L2TP y es el par de un LNS. Un LAC se sitúa entre un LNS y un sistema remoto y manda paquetes entre ambos. Los paquetes entre el LAC y el LNS son enviados a través del túnel L2TP y los paquetes entre el LAC y el sistema remoto es local o es una conexión PPP. 36 RFC 2661 Layer Two Tunneling Protocol "L2TP" 37 LAC.- L2TP Access Concentrador. 38 LNS.- L2TP Network Server. 38

53 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.3. Escenario Típico L2TP Autores: Viteri Sebastian, Orbe Fredy. Un L2TP Network Server (LNS) actúa como el otro extremo de la conexión L2TP y es el otro par del LAC. El LNS es la terminación lógica de una sesión PPP que está siendo puesta en un túnel desde el sistema remoto por el LAC. Un cliente LAC, una máquina que corre nativamente L2TP, puede participar también en el túnel, sin usar un LAC separado. En este caso, estará conectado directamente a Internet. 39

54 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Mensajes usados en L2TP L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de control son usados para el establecimiento, el mantenimiento y el borrado de los túneles y las llamadas. Utilizan un canal de control confiable dentro de L2TP para garantizar el envío. Los mensajes de datos encapsulan los marcos PPP y son enviados a través del túnel. La siguiente figura (fig. 2.4) muestra la relación entre los marcos PPP y los mensajes de control a través de los canales de control y datos de L2TP. Figura 2.4. Relación entre los marcos PPP y los mensajes de control de L2TP Autores: Viteri Sebastian, Orbe Fredy. Los marcos PPP son enviados a través de un canal de datos no confiable, encapsulado primero por un encabezado L2TP y luego por un transporte de paquetes como UDP, Frame Relay o ATM. Los mensajes de control son enviados a través de un canal de control L2TP confiable que transmite los paquetes sobre el mismo transporte de paquete. Se requiere que haya números de secuencia en los paquetes de control, que son usados para proveer el envío confiable en el canal de control. Los mensajes de datos pueden usar los números de secuencia para reordenar paquetes y detectar paquetes perdidos. Al correr sobre UDP/IP, L2TP utiliza el puerto El paquete entero de L2TP, incluyendo la parte de datos y el encabezado, viaja en un datagrama UDP. El que inicia un túnel L2TP toma un puerto UDP de origen que esté disponible, pudiendo ser o no el 1701 y envía a la dirección de destino sobre el puerto Este 40

55 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) extremo toma un puerto libre, que puede ser o no el 1701, y envía la respuesta a la dirección de origen, sobre el mismo puerto iniciador. Luego de establecida la conexión, los puertos quedan estáticos por el resto de la vida del túnel Autenticación en L2TP En la autenticación de L2TP, tanto el LAC como el LNS comparten una clave única. Cada extremo usa esta misma clave al actuar tanto como autenticado como autenticador. Sobre la seguridad del paquete L2TP, se requiere que el protocolo de transporte de L2TP tenga la posibilidad de brindar servicios de encriptación, autenticación e integridad para el paquete L2TP en su totalidad. Como tal, L2TP sólo se preocupa por la confidencialidad, autenticidad e integridad de los paquetes L2TP entre los puntos extremos del túnel, no entre los extremos físicos de la conexión Point-to-Point Tunneling Protocol (PPTP) 39 Point-to-Point Tunneling Protocol (PPTP) es un protocolo que fue desarrollado conjuntamente por las compañias: Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer entre usuarios de acceso remoto y servidores una conexión VPN. Como protocolo de túnel, PPTP encapsula datagramas de cualquier protocolo de red en datagramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. PPTP fue diseñado para permitir a los usuarios conectarse a un servidor de acceso remoto desde cualquier punto en Internet para tener la misma autenticación, encriptación y los mismos accesos de LAN como si discaran directamente al servidor. En vez de discar a un modem conectado al servidor RAS, los usuarios se conectan a su proveedor y luego llaman al servidor RAS a través de Internet utilizando PPTP. 39 RFC 2637 Point-to-Point Tunneling Protocol (PPTP) 41

56 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Escenarios de Uso Existen dos escenarios comunes para este tipo de VPN: El usuario remoto se conecta a un ISP que provee el servicio de PPTP hacia el servidor RAS. El usuario remoto se conecta a un ISP que no provee el servicio de PPTP hacia el servidor RAS y, por lo tanto, debe iniciar la conexión PPTP desde su propia máquina cliente. Para el primero de los escenarios, el usuario remoto estable una conexión PPP con el ISP, que luego establece la conexión PPTP con el servidor RAS. Para el segundo escenario, el usuario remoto se conecta al ISP mediante PPP y luego llama al servidor RAS mediante PPTP. Luego de establecida la conexión PPTP, para cualquiera de los dos casos, el usuario remoto tendrá acceso a la red corporativa como si estuviera conectado directamente a la misma Técnica de Encapsulamiento La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet. La versión PPTP, denominada GREv2, añade extensiones para temas específicos como identificador de llamada (Call Id) y velocidad de conexión Funcionamiento de Point to Point Tunneling Protocol El paquete PPTP está compuesto por un encabezado (header) de envío, un header IP, un header GREv2 y el paquete de carga. El encabezado de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El encabezado IP contiene información relativa al paquete IP, como direcciones de origen y destino, longitud del datagrama enviado, etc. 42

57 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) El encabezado GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. Por último, el paquete de carga es el paquete encapsulado, que, en el caso de PPP, el datagrama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura (fig. 2.5) ilustra las capas del encapsulamiento PPTP. Figura 2.5. Capas de Encapsulamiento PPTP Fuente: RFC 2637 Point-to-Point Tunneling Protocol (PPTP) Autenticación en PPTP Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y aceptar cualquier tipo, inclusive texto plano. Si se utiliza CHAP, standard en el que se intercambia un secreto y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. 43

58 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Protocolos Capa 3 Los siguientes protocolos son usados en el Nivel 3 del Modelo de Referencia OSI, es decir a nivel de la Capa de Red Internet Protocol Security (IPSec) 40 IPSec es una colección de múltiples protocolos relacionados. Puede ser usado como una solución completa de protocolo VPN o simplemente como un esquema de encriptación para L2TP o PPTP. IPSec existe en el nivel de red (capa 3) en OSI, para extender IP para el propósito de soportar servicios más seguros basados en Internet. IPSec trata de remediar algunas falencias de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) 41 y Encapsulated Security Payload (ESP) 42. Por confidencialidad se entiende que los datos transferidos sean sólo entendidos por los participantes de la sesión. Por integridad se entiende que los datos no sean modificados en el trayecto de la comunicación. Por autenticidad se entiende por la validación de remitente de los datos. Por protección a repeticiones se entiende que una sesión no pueda ser grabada y repetida salvo que se tenga autorización para hacerlo Autenticación en IPSec 43 AH (Authentication Protocol) provee autenticación, integridad y protección a repeticiones pero no así confidencialidad. La diferencia más importante con ESP es que AH protege partes del header IP, como las direcciones de origen y destino AH.- Authentication Protocol. 42 ESP.- Encapsulated Security Payload. 43 RFC 2401 Security Architecture for the Internet Protocol; RFC 2475 An Architecture for Differentiated Services 44

59 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Encapsulación en IPSec ESP (Encapsulated Security Payload) provee autenticación, integridad, protección a repeticiones y confidencialidad de los datos, protegiendo el paquete entero que sigue a la cabecera. AH sigue a la cabecera IP y contiene diseminaciones criptográficas tanto en los datos como en la información de identificación. Las diseminaciones pueden también cubrir las partes invariantes del header IP. El header de ESP permite reescribir la carga en una forma encriptada. Como no considera los campos de la cabecera IP, no garantiza nada sobre el mismo, sólo la carga División de IPSec de acuerdo a su funcionalidad Una división de la funcionalidad de IPSec es aplicada dependiendo de dónde se realiza la encapsulación de los datos, si es la fuente original o un gateway: El modo de transporte es utilizado por el host que genera los paquetes. En este modo, las cabeceras de seguridad son antepuestas a los de la capa de transporte, antes de que la cabecera IP sea incorporada al paquete. En otras palabras, AH cubre el header TCP y algunos campos IP, mientras que ESP cubre la encriptación del header TCP y los datos, pero no incluye ningún campo del header IP. El modo de túnel es usado cuando la cabecera IP entre extremos está ya incluido en el paquete, y uno de los extremos de la conexión segura es un gateway. En este modo, tanto AH como ESP cubren el paquete entero, incluyendo la cabecera IP entre los extremos, agregando al paquete un header IP que cubre solamente el salto al otro extremo de la conexión segura, que, por supuesto, puede estar a varios saltos del gateway. Los enlaces seguros de IPSec son definidos en función de Security Associations (SA). Cada SA está definido para un flujo unidireccional de datos y generalmente de un punto único a otro, cubriendo tráfico distinguible por un selector único. Todo el 45

60 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) tráfico que fluye a través de un SA es tratado de la misma manera. Partes del tráfico puede estar sujeto a varios SA, cada uno de los cuales aplica cierta transformación. Grupos de SA son denominados SA Bundles. Paquetes entrantes pueden ser asignados a un SA específico por los tres campos definitorios: la dirección IP de destino, el índice del parámetro de seguridad y el protocolo de seguridad. El SPI puede ser considerado una cookie que es repartido por el receptor del SA cuando los parámetros de la conexión son negociados. El protocolo de seguridad debe ser AH o ESP. Como la dirección IP de destino es parte de la tripleta antes mencionada, se garantiza que este valor sea único. Un ejemplo de paquete AH en modo túnel es: Un ejemplo de paquete AH en modo transporte es: Como ESP no puede autentificar el header IP más exterior, es muy útil combinar un header AH y ESP para obtener lo siguiente: Este tipo de paquete se denomina Transport Adjacency. La versión de entunelamiento sería: MPLS (Multi Protocol Label Switching) 44 A medida que las redes van evolucionando y optimizándose, las necesidades también van creciendo, es así, que en la actualidad las redes no son solo necesarias para el transporte de datos, sino que han incursionado en el transporte 44 RFC 2917 A Core MPLS IP VPN Architecture 46

61 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) de otras aplicaciones integradas entre sí como video, voz, datos, lo que ha dado como resultado una infraestructura de red común basada en paquetes, de aquí la necesidad de un protocolo que sea capaz de trabajar de esta manera. MPLS (Multi-Protocol Label Switching) es una red privada IP que combina la flexibilidad de las comunicaciones punto a punto o Internet y la fiabilidad, calidad y seguridad de los servicios Private Line, Frame Relay o ATM. Ofrece niveles de rendimiento diferenciados y priorización del tráfico, así como aplicaciones de voz y multimedia. Y todo ello en una única red. El MPLS usa un método de reenvío de paquetes basado en etiquetas. Estas pueden corresponder a los destinos IP en las redes, como en el reenvío IP tradicional, pero también puede representar otros parámetros, como fuentes de direcciones, calidad de servicio (QoS) y otros protocolos. MPLS implementa intercambio de etiquetas entre diferentes módulos entre las redes. MPLS es el último paso en la evolución de las tecnologías de conmutación multinivel (o conmutación IP). La idea básica de separar el envío de los datos los procedimientos de routing estándar IP, ha llevado a un acercamiento de los niveles 3 y 2 del Modelo de Referencia OSI, con el consiguiente beneficio en cuanto a rendimiento y flexibilidad de esta arquitectura. En las VPNs MPLS, los paquetes pueden ser asignados con etiquetas al ingresar en una red de proveedores de servicios y ruteadas de acuerdo a instrucciones de reenvío. Asimismo, GRE simples sobre un transporte de capa 2, pueden utilizarse para transportar AppleTalk en una red IP. Este escenario puede ser implementado por una compañía para transportar AppleTalk sobre un enlace seguro, vía proveedor de servicio utilizando MPLS u otros medios de transporte. La operación del MPLS se basa en las componentes funcionales de envío y control, que actúan ligadas íntimamente entre sí. 47

62 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Funcionamiento del envío de paquetes en MPLS La base del MPLS está en la asignación e intercambio de etiquetas, que permiten el establecimiento de los caminos LSP 45 por la red. Los LSPs son simples por naturaleza (se establecen para un sentido del tráfico en cada punto de entrada a la red); el tráfico dúplex requiere dos LSPs, uno en cada sentido. Cada LSP se crea a base de concatenar uno o más saltos (hops) en los que se intercambian las etiquetas, de modo que cada paquete se envía de un "conmutador de etiquetas" (Label-Swiching Router) a otro, a través del dominio MPLS. Un LSR no es más que un router especializado en el envío de paquetes etiquetados por MPLS. MPLS separa las dos componentes funcionales de control (routing) y de envío (forwarding); el envío se implementa mediante el intercambio de etiquetas en los LSPs para este fin MPLS usa un protocolo para señalización y encaminamiento que es el protocolo RSVP 46 o bien un nuevo estándar de señalización (Label Distribution Protocol), LDP 47. Pero, de acuerdo con los requisitos del IETF, el transporte de datos puede ser cualquiera. Si éste fuera ATM, una red IP habilitada para MPLS es ahora mucho más sencilla de gestionar que la solución clásica IP/ATM. Ahora ya no hay que administrar dos arquitecturas diferentes a base de transformar las direcciones IP y las tablas de encaminamiento en las direcciones y el encaminamiento ATM: esto lo resuelve el procedimiento de intercambio de etiquetas MPLS. El papel de ATM queda restringido al mero transporte de datos a base de celdas. Para MPLS esto es indiferente, ya que puede utilizar otros transportes como Frame Relay, o directamente sobre líneas punto a punto. La siguiente figura (fig. 2.6.) muestra la funcionalidad de MPLS. 45 LSP.- son circuitos virtuales que siguen por la red todos los paquetes. 46 RSVP.- Protocolo de Reserva de Recursos. 47 LDP.- Label Distribution Protocol. 48

63 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.6 Funcionalidad de MPLS Fuente: Un camino LSP es el circuito virtual que siguen por la red todos los paquetes asignados a la misma FEC. Al primer LSR que interviene en un LSP se le denomina de entrada o de cabecera y al último se le denomina de salida o de cola. Los dos están en el exterior del dominio MPLS. El resto, entre ambos, son LSRs interiores del dominio MPLS. Un LSR es como un router que funciona a base de intercambiar etiquetas según una tabla de envío. Esta tabla se construye a partir de la información de encaminamiento que proporciona la componente de control. Cada entrada de la tabla contiene un par de etiquetas entrada/salida correspondientes a cada interfaz de entrada, que se utilizan para acompañar a cada paquete que llega por ese interfaz y con la misma etiqueta (en los LSR exteriores sólo hay una etiqueta, de salida en el de cabecera y de entrada en el de cola). En la figura 2.7 se ilustra un ejemplo del funcionamiento de un LSR del núcleo MPLS. A un paquete que llega al LSR por el interfaz 3 de entrada con la etiqueta 45 el LSR le asigna la etiqueta 22 y lo envía por el interfaz 4 de salida al siguiente LSR, de acuerdo con la información de la tabla. 49

64 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.7 Funcionamiento de un LSR del núcleo MPLS Fuente: El algoritmo de intercambio de etiquetas requiere la clasificación de los paquetes a la entrada del dominio MPLS para poder hacer la asignación por el LSR de cabecera. En la figura 2.8 (fig. 2.8) el LSR de entrada recibe un paquete normal (sin etiquetar) cuya dirección de destino es El LSR consulta la tabla de encaminamiento y asigna el paquete a la clase FEC definida por el grupo /16. Asimismo, este LSR le asigna una etiqueta (con valor 5 en el ejemplo) y envía el paquete al siguiente LSR del LSP. Dentro del dominio MPLS los LSR ignoran la cabecera IP; solamente analizan la etiqueta de entrada, consultan la tabla correspondiente (tabla de conmutación de etiquetas) y la reemplazan por otra nueva, de acuerdo con el algoritmo de intercambio de etiquetas. Al llegar el paquete al LSR de cola (salida), ve que el siguiente salto lo saca de la red MPLS; al consultar ahora la tabla de conmutación de etiquetas quita ésta y envía el paquete por routing convencional. 50

65 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.8 Funcionamiento de LSR consultando tablas de encaminamiento Fuente: Como se ve, la identidad del paquete original IP queda enmascarada durante el transporte por la red MPLS, que no "mira" sino las etiquetas que necesita para su envío por los diferentes saltos LSR que configuran los caminos LSP. Las etiquetas se insertan en cabeceras MPLS, entre los niveles 2 y 3. Según las especificaciones del IETF, MPLS debía funcionar sobre cualquier tipo de transporte: PPP, LAN, ATM, Frame Relay, etc. Por ello, si el protocolo de transporte de datos contiene ya un campo para etiquetas (como ocurre con los campos VPI/VCI de ATM y DLCI de Frame Relay), se utilizan esos campos nativo para las etiquetas. Sin embargo, si la tecnología de nivel 2 empleada no soporta un campo para etiquetas (p. ej. enlaces PPP o LAN), entonces se emplea una cabecera genérica MPLS de 4 octetos, que contiene un campo específico para la etiqueta y que se inserta entre la cabecera del nivel 2 y la del paquete (nivel 3). En la figura 2.9 (fig. 2.9) se representa el esquema de los campos de la cabecera genérica MPLS y su relación con las cabeceras de los otros niveles. Según se muestra en la figura, los 32 bits de la cabecera MPLS se reparten en: 20 bits para la etiqueta MPLS, 3 bits para identificar la clase de servicio en el campo EXP (experimental, anteriormente llamdo CoS), 1 bit de stack para poder apilar etiquetas de forma jerárquica (S) y 8 bits para indicar el TTL (time-to-live) que sustenta la funcionalidad estándar TTL de las redes IP. De este modo, las cabeceras MPLS 51

66 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) permiten cualquier tecnología o combinación de tecnologías de transporte, con la flexibilidad que esto supone para un proveedor IP a la hora de extender su red. Figura 2.9 Esquema de campos de la cabecera genérica MPLS y su relación con cabeceras de otros Niveles (Modelo de Referencia OSI) Fuente: Control de la información en MPLS Hasta ahora se ha visto el mecanismo básico de envío de paquetes a través de los LSPs mediante el procedimiento de intercambio de etiquetas según las tablas de los LSRs. Pero queda por ver dos aspectos fundamentales: Cómo se generan las tablas de envío que establecen los LSPs Cómo se distribuye la información sobre las etiquetas a los LSRs El primero de ellos está relacionado con la información que se tiene sobre la red: topología, patrón de tráfico, características de los enlaces, etc. Es la información de control típica de los algoritmos de encaminamiento. MPLS necesita esta información de routing para establecer los caminos virtuales LSPs. Lo más lógico es utilizar la propia información de encaminamiento que manejan los protocolos internos IGP (OSPF 48, IS-IS 49, RIP 50, etc.) para construir las tablas de encaminamiento (recuérdese que los LSR son routers con funcionalidad añadida). Esto es lo que hace MPLS precisamente: para cada "ruta IP" en la red se crea un "camino de etiquetas" a base de concatenar las de entrada/salida en cada tabla de 48 OSPF.- Open Shortest Path Firsht; protocolo de encaminamiento para redes IP. propone el uso de rutas más cortas y accesibles mediante la construcción de un mapa de la red y mantenimiento de bases de datos con información sobre sistemas locales y vesinos, de esta manera es capaz de calcular la metrica para cada ruta, entonces se eligen las rutas de encaminamiento más cortas. 49 IS-IS.- Intermediate System Intermediate System; Protocolo de Ruteo Interior. 50 RIP.- Routing Information Protocol 52

67 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) los LSRs; el protocolo interno correspondiente se encarga de pasar la información necesaria. El segundo aspecto se refiere a la información de "señalización. Pero siempre que se quiera establecer un circuito virtual se necesita algún tipo de señalización para marcar el camino, es decir, para la distribución de etiquetas entre los nodos. Sin embargo, la arquitectura MPLS no asume un único protocolo de distribución de etiquetas; de hecho se están estandarizando algunos existentes con las correspondientes extensiones; unos de ellos es el protocolo RSVP del Modelo de Servicios Integrados del IETF (recuérdese que ése era uno de los requisitos). Pero, además, en el IETF se están definiendo otros nuevos, específicos para la distribución de etiquetas, cual es el caso del Label Distribution Protocol (LDP) Funcionamiento global MPLS Una vez vistos todos los componentes funcionales, el esquema global de funcionamiento es el que se muestra en la figura 2.10, donde quedan reflejadas las diversas funciones en cada uno de los elementos que integran la red MPLS. Es importante destacar que en el borde de la nube MPLS tenemos una red convencional de routers IP. El núcleo MPLS proporciona una arquitectura de transporte que hace aparecer a cada par de routers a una distancia de un sólo salto. Funcionalmente es como si estuvieran unidos todos en una topología mallada (directamente o por PVCs ATM). Ahora, esa unión a un solo salto se realiza por MPLS mediante los correspondientes LSPs (puede haber más de uno para cada par de routers). 53

68 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.10 Funcionamiento Global de MPLS Autores: Viteri Sebastian, Orbe Fredy. La Figura 2.10 muestra el funcionamiento global de MPLS, con cada una de las fases que ejecuta para realizar la transmisión de información. Fases de MPLS 1. Construcción de Tablas de encaminamiento mediante protocolos internos (OSPF, IS-IS, RIP, etc). 54

69 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) 2. Construcción de rutas LSPs mediante tablas de intercambio de etiquetas entre LSRs adyacentes. Distribución a los LSR por el LDP. 3. LSR cabecera (entrada); examina el paquete, lo procesa (funciones de servicio Nivel 3), lo etiqueta y lo envía al backbone. 4. LSRs del backbone conmutan los paquetes mediante intercambio de etiquetas. 5. LSR cola (salida); quita la etiqueta y entrega el paquete al destino Protocolo de señalización de MPLS (RSVP) El protocolo de señalización usado para MPLS es RSVP. Este protocolo es un estándar en Internet para la reserva de recursos. Con RSVP se pueden reservar anchos de banda mínimos, se permite la gestión del tráfico según su origen y según su tipo. Actualmente representa la forma más completa y sencilla de implementación de técnicas de ingeniería de tráfico. Las Redes Privadas Virtuales implementadas con MPLS sólo se aplican al backbone del proveedor. Esto significa que el cliente sólo tiene que solicitarla y el proveedor se encarga de provisionarla y de hacerla activa sin afectar al cliente. Las VPNs implementadas sobre una red MPLS, contará con una latencia baja. RSVP también permite técnicas de protección de los caminos MPLS, con lo que a pesar de la caída de algún enlace del backbone del proveedor, no se apreciará la pérdida de conectividad en ningún instante (siempre y cuando exista un camino físico alternativo). Este protocolo basa las VPN en la creación de una tabla de rutas distintas para cada VPN. Esto permite el solapamiento de direcciones y por tanto la reutilización del espacio de direcciones. Para los clientes esto añade una ventaja más ya que puede crear una VPN sin necesidad de cambiar el direccionamiento de sus equipos. La creación de una tabla de rutas por VPN separa el tráfico de diferentes VPN de forma lógica. 55

70 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) GRE (Generic Routing Encapsulation) 51 El GRE (Generic Routing Encapsulation) es un protocolo usado en las VPNs, para la función de encapsulación de los paquetes de datos que son transferidos. Estos paquetes que necesitan ser transferidos se denomina Carga Útil, el cual se lo encapsula en un paquete GRE, luego de este procedimiento se puede encapsular el Paquete Resultante en algún otro protocolo y de ahí ser remitido a su destino. En un túnel de una VPN de punto-a-punto, GRE (Generic Routing Encapsulation) será el protocolo de encapsulamiento más habitual, a fin de poder pasar un paquete de cualquier protocolo nativo envuelto en un paquete IP enviable por Internet. Esto incluye información de qué tipo de paquete se está encapsulando e información de la conexión entre el cliente y el servidor. Este protocolo de encapsulación también puede ser usado para direccionar paquetes de múltiples aplicaciones (multicast) sobre redes que no son siempre compatibles. Las GRE también pueden ser utilizadas para rutear protocolos no IP (por ejemplo: AppleTalk, IPX) sobre redes IP. Cuando un paquete GRE llega a su destino, el encabezamiento y su rastro son desconectados y el protocolo trabaja de forma normal A continuación se muestra un escenario típico en donde es usado el protocolo GRE (fig 2.11). 51 RFC 2784 Generic Routing Encapsulation (GRE) 56

71 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.11 Escenario típico de Utilización de GRE Fuente:Cisco Systems Estructura de un paquete encapsulado GRE.- Un paquete encapsulado GRE tiene la siguiente forma (fig. 2.12): Figura 2.12 Estructura de un paquete encapsulado GRE Fuente: RFC 2784 Generic Routing Encapsulation (GRE) Cabecera de Entrega (Destino) Cabecera GRE Paquete de la Carga Útil (Paquete Original) Este protocolo solamente soporta el estándar de IPv4, y esta orientado a encaminar los paquetes IP entre redes privadas IP a través de Internet Envío de paquetes encapsulados en GRE Cuando un túnel es establecido, y el paquete a ser transmitido es encapsulado con el protocolo GRE, la dirección de destino se la utiliza con el fin de remitir el paquete y el campo TTL del paquete original debe ser decrementado, con el fin de garantizar el correcto envío de la información. Se debe tener mucho cuidado en 57

72 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) cuando se especifica la dirección de destino ya que pueden provocarse lazos o envíos incorrectos a otros hosts o mediante otros túneles establecidos Consideraciones de seguridad La seguridad en una red que usa GRE debe ser relativamente similar a la seguridad en una red normal IPv4, el enrutamiento que usa GRE sigue el mismo proceso que usa el enrutamiento IPv4. Es decir la filtración de la ruta se mantiene sin cambios hasta el final de la transferencia. Sin embargo la filtración del paquete requiere de la ayuda de un firewall ya sea en el lado de salida del paquete GRE o en los puntos finales del túnel. En cualquiera de ambos casos es imprescindible tomar seguridades extras en el firewall, por motivos de seguridad en la transferencia de la información IP Encapsulation within IP (IP / IP) Este protocolo funciona en el Nivel de Capa 3 del Modelo de Referencia OSI, es decir en Nivel Red. Su principal característica es que permite encapsular datagramas IP dentro de otro datagrama IP. La encapsulación en este protocolo se la hace para alterar el enrutamiento normal de los datagramas, ya que se vale de destinaciones intermedias con el fin de proteger las direcciones de origen y de destino. Una vez que el paquete llega al nodo intermedio, este es desencapsulado, aquí se añaden campos extras, y nuevamente es encapsulado hasta llegar a la dirección de destino original. Este proceso de encapsulación y la desencapsulación como ya lo hemos mencionado en el tema de tunneling se lo hace en los puntos finales del túnel. La Figura 2.13 muestra como este protocolo se basa en el proceso básico de transporte IP de la siguiente manera: 58

73 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.13 Funcionamiento Protocolo IP - IP Autores: Viteri Sebastian, Orbe Fredy. Como sabemos el origen, encapsulador, desencapsulador y el destino son nodos separados. El nodo Encapsulador es considerado el punto de entrada y el nodo Desencapsulador es considerado el punto de salida del túnel. Para encapsular un datagrama IP usando encapsulación IP-IP, una cabecera extra es añadida antes de la cabecera del datagrama IP original como se muestra (fig. 2.14): Figura 2.14 Cabeceras IP usadas en el Protocolo IP - IP Cabecera IP (IP Header) Paquete IP Original (IP Payload) Cabecera Extra IP Cabecera IP (IP Header) Paquete IP Original (IP Payload) Fuente: RFC 2003 En la cabecera Extra IP, están las direcciones de Origen y Destino que identifican los puntos finales del túnel. En la Cabecera IP, se encuentran las direcciones de Origen y Destino que identifican al nodo fuente de la información y al receptor del datagrama respectivo. La Cabecera Extra IP no sufre cambios por el encapsulador, excepto que el campo TTL (Time to Live) es decrementado, el resto de campos no sufre cambios durante el transporte del datagrama a través de túnel hasta el punto de salida del mismo. Si es necesario se puede usar otro protocolo, para lo que se refiere a Auntenticación que pudiera ser insertado en otra cabecera extra. 59

74 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Existe una variación de este protocolo y se trata del protocolo IP-GRE que es un protocolo de encapsulamiento de otros protocolos sobre IP. En un principio el tráfico que puede encapsular IP-GRE sería cualquiera. Es útil en el sentido de que podemos tener redes de otro tipo además de IP (como por ejemplo IPX) y funcionar con una VPN de igual manera. Más adelante se verá como IPSec sirve para este mismo fin (a la vez que proporciona otros muchos servicios) MPOA (Multiprocolo sobre ATM) 52 En una red de NBMA, el encaminamiento de los paquetes en una intranet implica el manejo de los mismos con un proceso de salto-por-salto a traves de los routers intermedios. MPOA puede aumentar funcionamiento y reducir estados latentes identificando los dispositivos del borde, establecer un VCC directo entre el ingreso y los dispositivos del borde de la salida, y paquetes de la expedición Capa-3 directamente sobre este atajo VCC, traspasando los routers intermedios. Un cliente de MPOA (MPC) proporciona el VCCs directo entre los dispositivos del borde o los hosts siempre que sea posible y remite los paquetes Layer-3 usando el atajo VCC encontrado. El MPCs se debe utilizar con el residente de MPSs en las rebajadoras. Como lo muestra la siguiente figura (fig. 2.15): 52 Multiprotocol over ATM Overview, Cisco IOS Switching Services Configuration Guide, Cisco Systems,

75 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Figura 2.15 Flujo del Mensaje MPOA entre MPCs y MPSs MPS-C 5 MPS-D 4 3 MPS-A 7 MPS-B Host A Host B Autores: Viteri Sebastian, Orbe Fredy. La secuencia de evento demostrada en el cuadro se resume como sigue: 1. Petición de la resolución de MPOA enviada de Mpc-a (Cliente MPOA a) a Mps-c (Servidor MPOA c) 2. Petición de la resolución de NHRP enviada de Mps-c (Servidor MPOA c) a Mps-d (Servidor MPOA d) 3. Petición de la imposición de MPOA enviada de Mps-d (Servidor MPOA d) a Mpc-b (Cliente MPOA b) 4. Contestación de la imposición de MPOA enviada de Mpc-b (Cliente MPOA b) a Mps-d (Servidor MPOA d) 5. Contestación de la resolución de NHRP enviada de Mps-d (Servidor MPOA d) a Mps-c (Servidor MPOA c) 6. Contestación de la resolución de MPOA enviada de Mps-c (Servidors MPOA c) a Mpc-a (Cliente MPOA a) 7. Atajo VCC establecido (entre Servidores MPOA necesarios) Definición de términos de MPOA A continuación se presenta la definición de términos usados en el protocolo MPOA. 61

76 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Tabla 2.1 Definición de términos de MPOA Término MPOA Definición Petición de la resolución de MPOA Una petición de un MPC para resolver una dirección de destino del protocolo a una dirección ATM para establecer un atajo VCC al dispositivo de la salida. Petición de la resolución de NHRP Una petición de la resolución de MPOA que se ha convertido a una petición de la resolución de NHRP. Petición de la imposición MPOA Una petición de una salida MPS(Servidor MPOA) a una salida MPC(Cliente MPOA) que proporciona la información de la reescritura del MAC para una dirección del protocolo de la destinación. Contestación de la imposición Una contestación de una salida MPOA MPC(Cliente MPOA) que reconoce una petición de imposición de MPOA. Contestación de la resolución de NHRP Una contestación de la resolución de NHRP que será convertida eventual a una contestación de la resolución de MPOA. Contestación de la resolución de MPOA Una contestación del ingreso MPS que resuelve una dirección de protocolo a una dirección de ATM. Atajo VCC establecido El camino establecido entre MPC (Servidores MPOA), para que los paquetes sean enviados Autores: Viteri Sebastian, Orbe Fredy Secure Sockets Layer (SSL) 53 SSL (Secure Sockets Layer) es un protocolo diseñado por la empresa Netscape Communications, que permite cifrar la conexión, incluso garantiza la autenticación

77 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) Se basa en la criptografía asimétrica y en el concepto de los certificados. La versión estandarizada por el IETF se conoce como TLS. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash. Proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP. Cuando el cliente pide al servidor seguro una comunicación segura, el servidor abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Será el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente El Protocolo SSL Handshake Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes seis fases (de manera muy resumida): 1. La fase HELLO, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. 2. La fase de intercambio de claves, en la que intercambia información sobre las claves, de modo que al final ambas partes comparten una clave maestra. 3. La fase de producción de clave de sesión, que será la usada para cifrar los datos intercambiados. 63

78 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) 4. La fase de verificación del servidor, presente sólo cuando se usa RSA como algoritmo de intercambio de claves, y sirve para que el cliente autentique al servidor. 5. La fase de autenticación del cliente, en la que el servidor solicita al cliente un certificado (si es necesaria la autenticación de cliente). 6. Por último, la fase de fin, que indica que ya se puede comenzar la sesión segura El Protocolo SSL Record El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y recibidos. La porción de datos del protocolo tiene tres componentes: MAC-DATA, el código de autenticación del mensaje. ACTUAL-DATA, los datos de aplicación a transmitir. PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se usa cifrado en bloque Comparativa global entre los diferentes protocolos más usados en VPN A continuación (tabla 2.2) se presenta una comparativa de las ventajas y desventajas de los protocolos más usados en la realización de Redes Virtuales Privadas (VPN). Tabla 2.2 Comparativa global entre los protocolos más usados en VPN Protocolo Puntos fuertes Puntos débiles En desarrollo Opera No proporciona la Estandarización de independiente de gestión de usuarios todas las facetas de las aplicaciones de Interoperabilidad PKI, incluyendo los IPSEC niveles superiores Subconjunto de entre los fabricantes No estandarizado protocolos de intercambio de IPv6 certificados y el formato Ocultación de de éstos direcciones de red El IETF está en su 64

79 Capítulo 2. Aspectos Técnicos de Redes Privadas Virtuales (VPN) sin emplear NAT desarrollo Acoplamiento con las técnicas criptográficas existentes y futuras Soporta tunneling No proporciona Integración con IPSec extremo a extremo encriptación de y entre servidores datos para los Posibilidad de valor servidores de añadido para el acceso remoto PPTP acceso remoto Precisa un servidor Proporciona una NT como terminador capacidad del túnel multiprotocolo Sólo usa Empleo de encriptación RSA encriptación RSA RC-4 RC-4 Habilita el No posee Implementaciones que tunneling encriptación empleen el nombre de multiprotocolo Autenticación débil usuario y dominio en el Soportado por la No dispone de establecimiento del L2F gran mayoría de control de flujo túnel fabricantes sobre el túnel Combina L2F y Aún no Estandarización y PPTP implementado operación en proceso L2TP Necesidad de Será adoptado por los únicamente una fabricantes para el red de paquetes acceso remoto una vez para operar bajo completo X.25 y Frame Relay Autores: Viteri Sebastian, Orbe Fredy. 65

80 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) CAPITULO 3 3. ANÁLISIS COMPARATIVO DE TIPOS DE REDES VIRTUALES PRIVADAS (VPN) 3. 1 Introducción Con la introducción de nuevas tecnologías en las redes de proveedores de servicio y nuevos requerimientos de los clientes, las implementaciones de VPN se han convertido más complejas y para su solución los servicios de VPN modernos recorren una gran variedad de tecnologías y topologías que difieren entre otras cosas en el nivel que se las realiza en el modelo OSI 54, protocolos que se utilizan, formas de hacer el túnel, según su alcance en la organización, etc. En este capítulo expondremos una serie de clasificaciones que se les da a las tecnologías VPN como son: una clasificación según tipos de IP VPN (dados en la RFC 2764), una división en categorías según alcance de las VPN para las organizaciones y clasificaremos las VPN según modelos implementados superpuestos (Overlay), y par a par (peer to peer). Así también las más recientes formas de VPN como son VPN SSL y VPN sobre MPLS. Se realizará un completo análisis de estas clasificaciones y por supuesto conceptos importantes que se debe tener en cuenta para la total comprensión del tema. Después de que se haya leído y entendido este capítulo se estará en la condición de catalogar los tipos de VPN, distinguir sus características principales y su funcionamiento técnico. 3.2 Clasificación y Tipos de VPN 55 En toda la investigación realizada se ha podido encontrar que la mayoría de proveedores de servicio VPN y compañías lideres de telecomunicaciones difieren en como clasifican las VPN. Tomando en cuenta esto, se ha analizado y organizado 54 OSI.- Modelo de referencia OSI. Ver Glosario 55 VPN TECHNOLOGIES - A COMPARISON, Working Group Data Connection Limited UK June 2004; Estudio Sobre Las VPN. Universidad De Valladolid 66

81 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) toda la información obtenida para un mejor análisis comparativo entre las diferentes clasificaciones. Algunas organizaciones clasifican a las VPN con el simple hecho de la tecnología o el protocolo utilizado, por ejemplo si se utiliza IPSec en la red privada virtual se las denomina IPSec VPN. Esto ya se lo ha revisado en el capítulo anterior y se puede tener una idea clara del uso de las tecnologías. A continuación se muestra la clasificación completa de las VPN, esta clasificación va hacer la base de lo desarrollado en este capítulo: Según el alcance de la VPN para la organización. o Intranet o Extranet o Acceso Remoto Según el tráfico de cliente transportado o VPN de capa 3 o VPN de capa 2 Según modelo de implementación (según el punto de terminación) o Basadas en el CE (overlay) o Basadas en el PE (peer-to-peer) VPNs basadas en ISDN, Frame Relay o ATM o También Llamadas VPN basadas en VC IP VPNs o Líneas Dedicadas Virtuales (VLL, Virtual Leased Lines) o Redes de Enrutadores Privados Virtuales (VPRNs, Virtual Private Routed Networks) o Segmentos LAN Privados Virtuales (VPLS, Virtual Private LAN Segments) o Redes Conmutadas Privadas Virtuales (VPDNs, Virtual Private Dial Networks) VPN basadas en SSL MPLS sobre VPN o VPN MPLS capa 3 o VPN MPLS capa 2 67

82 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Algunas de estas clasificaciones tienen dos características, por un lado no son excluyentes, esto quiere decir que al realizar la VPN, esta puede estar conformada por una combinación de ellas. Por otro lado pueden ser similares, esto es, al momento de darle una clasificación a una VPN, esta puede estar dentro de uno o varios tipos de VPN expuestos Según el alcance de la VPN para la organización 56 Según la utilización que le dan las organizaciones las dividiremos en tres categorías: VPN Intranet, entre departamentos de una misma organización. VPN Extranet, entre una organización, sus socios, clientes y suministradores. VPN con accesos remotos, entre la organización y empleados móviles o remotos VPN Intranet Una Intranet VPN, vincula la oficina remota o sucursal a la red corporativa, a través de una red pública, mediante enlace al proveedor de servicio. Estas Intranet VPNs, que se utilizan para interconectar departamentos o dependencias de una misma organización, son generalmente redes con un alto nivel de aislamiento y seguridad, además requieren de garantías de calidad de servicio para aplicaciones críticas, principalmente por estas dos razones es que no muchas organizaciones utilizan Internet para este tipo de VPN. Las VPN Intranet han sido generalmente implementadas con tecnologías tradicionales como X.25, Frame Relay o ATM. Una de las características principales de este tipo de VPN, es que extiende el modelo IP a través de la WAN compartida. Las Intranet VPN pueden ser usadas para proveer costo-beneficio a las sucursales y ofrecer grandes ahorros con 56 The VPN Overview Part

83 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) respecto a las soluciones tradicionales de líneas arrendadas o conexiones dedicadas. Figura 3.1 VPN Intranet Intranet Sucursal B Organizacion 1 RED WAN Oficina Central Organizacion 1 Autores: Viteri Sebastian, Orbe Fredy. Sucursal A Organizacion 1 Intranet o site to site aplican a muchas categorías de sitios desde pequeñas oficinas de casa hasta organizaciones completas como se puede observar en la figura 3.1. En una Intranet VPN, las grandes y costosas líneas arrendadas pueden ser remplazadas con conexiones a Internet brindadas por el proveedor de servicio o conexiones seguras como Frame Relay o ATM. Las conexiones de los proveedores de servicio pueden ser hechas usando diferentes tecnologías desde dial-up, ISDN para sitios pequeños hasta líneas arrendadas o conexiones Frame Relay para sitios más grandes. El mercado de Intranets es uno de donde tradicionalmente los proveedores de redes WAN probablemente compiten con los proveedores de servicio ISPs. Estos portadores WAN ofrecen servicios de VPN similares a un servicio Frame Relay con calidad de servicio (QoS) basados en estadísticas confiables de información como CIR 57 (Committed Information Rate) Ventajas 57 CIR.- Velocidad de Información Suscrita, Velocidad en bits por segundo 69

84 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Alquiler de una línea más barata, los proveedores del servicio VPN proveen líneas arrendadas que son contratadas con las compañías tradicionales proveedoras. Puesto que las líneas arrendadas tienen a menudo una estructura de distancia relacionada con el coste, el conectar con un punto de presencia local POP 58 proporcionará los ahorros comparados a un enlace directo interurbano o un enlace internacional y ni se diga de Internet que el servicio es económico. Barato ancho de banda, rentar ancho de banda de líneas arrendadas, por ejemplo T1/E1 o T3/E3 es caro, pero existen opciones más baratas para conexiones de ultima-milla en ciertas áreas como Cable, xdsl, conexiones inalámbricas y satelital. La escalabilidad, al contrario de las líneas arrendadas y de Frame Relay PVCs, no hay coste adicional para los nuevos enlace punto a punto. Sin embargo, para ofrecer calidad de servicio en el estilo Frame Relay, los portadores de VPN pueden necesitar introducir un factor de ingreso por cada enlace virtual para cubrir costes. Backbone virtual, para las compañías que no tienen todavía backbone nacional/internacional, no hay opción más barata que implantar un backbone virtual usando servicios del proveedor de VPN Desventajas Posibles desventajas de una Intranet VPN pueden incluir lo siguiente: Ataques que interrumpen el servicio, al contrario de una línea arrendada privada, el tráfico que no viene del sitio remoto puede saturar la trayectoria de recepción en el túnel VPN desde cualquier lugar de la red pública. Este tráfico no es solicitado. Pérdida del paquete, un túnel de VPN puede sufrir algunas veces, una gran pérdida de paquetes y reordenar los paquetes. El reordenar puede causar problemas para algunos protocolos, y la gran pérdida de paquetes puede tener un impacto en la configuración óptima de los protocolos de capas altas. 58 POP.- Point Of Presence, Punto De Presencia, Un punto de presencia normalmente se refiere a una ciudad o lugar a dónde una red se puede conectar, por lo regular mediante líneas de acceso telefónico. 70

85 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Multimedia, esta es una meta para la próxima generación de los portadores de VPN que requerirá la inversión y investigación considerable. Para esta investigación las compañías que ofrecen el servicio VPN tienen mejor posibilidad de mejorar Tiempo entre las fallas, interrupciones duraderas más largas, gran problema de resolver y otro problema es las demandas de la remuneración del tiempo muerto Acceso Remoto VPN El acceso remoto se refiere a la habilidad de conectarse a una red desde una gran distancia de ubicación. Un sistema de clientes remotos se conecta a unos dispositivos de acceso de red, como puede ser servidor de red o un concentrador de acceso. Cuando el cliente entra a la red, el sistema del cliente se convierte en un host más de la red. Algunos de los clientes típicos pueden ser: Computadoras portátiles con módems usados por trabajadores móviles. Computadoras con MODEM o con conexiones ISDN usados en casa. Computadoras sobre una red LAN compartida, por ejemplo las cadenas de hoteles ofrecen puntos de conexiones LAN en los cuartos de hotel. Figura 3.2 Acceso Remoto VPN ACCESO REMOTO Organizacion 1 RED WAN Usuarios Mobiles de la Organizacion 1 Autores: Viteri Sebastian, Orbe Fredy. En la figura 3.2 observamos un esquema de cómo los clientes móviles de una organización acceden a su red. 71

86 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Características: Algunas características ponemos a consideración: Proporcionan diferentes niveles de seguridad y también existe la posibilidad que el cliente refuerce la seguridad para su empresa. Acceso remoto VPN esta remplazando rápidamente a las accesos remotos tradicionales por su flexibilidad y bajo costo. El Acceso es único al nodo central de la compañía, con esto se elimina la competencia por puertos. Movilidad IP es una característica que permite direcciones IP dinámicas para los usuarios remotos. Una persona puede acceder a la Red Privada de la corporación desde un sitio remoto, con software de encriptación ejecutándose. Para esto permite el uso de múltiples tecnologías como discado, ISDN, cable, o IP para la conexión segura de usuarios móviles, telecommuters o sucursales remotas a los recursos corporativos. Las VPN con accesos remotos, presentan características similares a las VPDN (Redes Conmutadas Privadas Virtuales) descritas posteriormente y utilizan protocolos como L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol) o PPTP (Point to Point Tunneling Protocol) Consideraciones de Diseño: Se tiene que tener en cuenta lo siguiente: Los clientes o usuarios tienen que tener soporte a protocolos como IPSec, L2F, L2TP, PPTP, las direcciones de los clientes son dinámicas por los tanto los túneles se deben establecer dinámicamente. El tráfico que no se pueda autenticar, en el marcado manual (dial-up), será rechazado por el firewall. 72

87 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Ventajas Ventajas de una VPN de acceso remoto sobre las tradicionales conexiones remotas de marcado son como en todo tipo de VPN el costo del servicio: Menos actualización necesitada para el equipo en una empresa o sitio central, mientras la tecnología moderna mejora, y nuevos servicios de comunicación locales se hacen accesibles, nuevo hardware será requerido al nuevo pool MODEM. Con VPNs, este problema es manejado por los proveedores VPN. Con una VPN de acceso remoto, el usuario puede elegir el mejor local disponible para acceder a la red. Por ejemplo módems de Cable. Mejor utilizaron del ancho de banda que tiene la compañía. Con una VPN es posible una completa utilización del ancho de banda permitido. A medida que el número de usuarios conectados aumente el servicio de cada uno decrece, pero no es bloqueado Desventajas La mayoría de las desventajas que se va a explicar hacen referencia a las VPN de acceso remoto basadas en Internet. Algunas de las posibles desventajas pueden ser: Calidad De Servicio, al contrario de los circuitos conmutados o líneas arrendadas los enlaces VPN sobre una red pública no ofrece muchas garantías punto a punto. Puede que los paquetes enviados se pierdan y que puedan ser entregados fuera de orden o fragmentados. Esto se debe a que la calidad de servicio sobre el túnel es muy pobre. La reservación del ancho de banda se refiere a la nulidad de reservar ancho de banda para la transmisión sobre una conexión de red para particulares tipos de tráfico. Esto es mucho más difícil alcanzarlo mediante VPN que con los métodos tradicionales. 73

88 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Llamadas en espera es un problema para los accesos remotos VPN basadas en Internet. Pequeñas oficinas que usas ISDN para acceder al sitio central directamente gozan del servicio de llamada en espera y esto puede perjudicar directamente las conexiones telefónicas para acceder al servicio VPN. Saturación (Overhead), los túneles VPN imponen un cargo extra para usuarios de dial-up. Algoritmos encriptados pueden impactar el desarrollo del sistema del usuario, habrá un incremento de uso del protocolo, autenticación de tiempo, y el retardo incrementara. Existe un gran problema para el soporte de los enlaces directos con túneles VPN debido a la complejidad de los proveedores de red VPN. El tiempo de reconexión, el uso de túneles puede incrementar el tiempo de reconexión para los usuarios de marcado ya que deben hacer varias operaciones de autenticación para conectarse a la VPN. Multimedia, aplicaciones tales como conferencia de video solo funcionan aceptablemente sobre enlaces de bajo latencia que pueden ofrecer el mínimo rendimiento del proceso requerido. Actualmente en el Internet, la latencia y rendimiento pueden variar alarmantemente. Servicios de datos Multicanales, tales como ISDN y xdsl solucionan este problema en corto plazo, permitiendo al canal de DATOS ser usado por el túnel VPN y un canal separado de VOZ, que puede ser usado para llamadas telefónicas de negocios o video conferencias. Cuando se hace uso de encriptación para proteger al túnel, la compresión de datos ya no es posible porque la información encriptada no es compresible. Esto significa que compresión de hardware sobre una conexión de MODEM no es posible VPN Extranet Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de interés a la Intranet corporativa a través de una red pública. Básicamente es 74

89 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) creada entre una corporación y sus clientes, socios o proveedores. La conexión puede hacerse usando el protocolo HTTP usado en los Web Browsers, o también la conexión podría ser realizada usando cualquier otro servicio y protocolo acordado por los grupos relacionados con la corporación, aquí es donde el comercio electrónico podría tener gran impacto. Este sistema podría dar a la corporación la facilidad de hacer negocios eficazmente y de una manera segura con sus clientes o proveedores. Las VPN Extranet frecuentemente tienen lugar interconectando sitios principales de diferentes organizaciones y dedicando políticas y dispositivos de seguridad como firewall Características: Extiende la conectividad a proveedores y clientes sobre una infraestructura compartida usando conexiones virtuales dedicadas Los socios tienen diferentes niveles de autorización, listas de control de acceso, firewalls, filtros, según decida la empresa Consideraciones de Diseño El flujo de datos entre el proveedor y la empresa debe ser encriptado Los miembros de una VPN deben usar direcciones IP públicas en la Intranet o usar un traductor de direcciones como lo es el NAT (network address translation) para evitar colisiones al encaminar los paquetes. La cobertura de seguridad se extiende de host a host, el protocolo de túnel debe ser soportado en clientes, servidores y cortafuegos para la encriptación y autenticación. Se necesitaran nuevas reglas para la filtración de los paquetes para que puedan ser transferidos de una mejor forma. 75

90 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.3 VPN Extranet Utilizando Internet EXTRANET UTILIZANDO INTERNET Organizacion 1 Organizacion 2 Firewall Túneles punto a punto INTERNET Firewall Organizacion 3 Firewall Autores: Viteri Sebastian, Orbe Fredy. En la figura 3.3 se muestra una configuración típica de una VPN Extranet utilizando Internet. Esta configuración presenta menos requerimientos de calidad de servicio y hace a Internet más adaptable para este tipo de VPN para comunicación entre organizaciones. No es una sorpresa que cada vez más el tráfico entre organizaciones se realice a través de Internet. La siguiente figura nos muestra una VPN Extranet. Figura 3.4 VPN Extranet Extranet clientes de Organizacion 1 RED WAN Oficina Central Organizacion 1 Socios Organizacion 2 Autores: Viteri Sebastian, Orbe Fredy. 76

91 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Las categorías expuestas anteriormente no son excluyentes, es decir, una red puede estar conformada por una combinación de ellas, incluso por la unión de las tres categorías; VPN Intranet, VPN Extranet y accesos remotos. A continuación se muestra una tabla comparativa de las tres categorías de VPN según el alcance para la organización. Tabla 3.1 Tabla comparativa según el alcance para la organización Servicio Arquitectura Aplicación Alternativa Tecnología Acceso Iniciada por Usuarios Basadas en Remoto cliente Móviles Marcados CPE y en RED VPN Iniciada por NAS conectividad dedicados IPSec, L2TP, remota ISDN PPTP Basadas en Intranet Túnel IP Sitio a sitio Líneas CPE y en RED VPN Circuitos Virtuales conectividad arrendadas IPSec, GRE MPLS interna FR, ATM, IP Basadas en Extranet Túnel IP e- commerce Fax CPE y en RED VPN Circuitos Virtuales conectividad Mail IPSec, GRE MPLS externa Negocios FR, ATM, IP Autores: Viteri Sebastian, Orbe Fredy Según el tráfico de cliente transportado Los niveles de realización de una VPN 77

92 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) La creación de una VPN se puede considerar como realizable en algunos de los niveles del protocolo OSI. Por ejemplo, una conexión directa se puede considerar como una VPN del nivel 1 (se aprovecha de la infraestructura de la comunicación del nivel físico del proveedor de telecomunicación), mientras que un circuito permanente PVC ATM se puede ver como una VPN de nivel 2,. Y podemos decir que para una VPN del nivel 3 se aprovechan generalmente los mecanismos fin a fin de hacer un túnel utilizando sus respectivos protocolos. Mientras que VPN del nivel 4 puede aprovecharse del mecanismo Aplicación-a- Aplicación como SSL y similares. Sin embargo, actualmente el término VPN se divulga generalmente a una infraestructura de red del nivel 3. Las clasificaciones y tipos de VPN se diferencian substancialmente por nivel del modelo OSI en las que se desarrollan VPN de Capa 2 Además de ofrecer a los clientes conectividad simple, los proveedores de servicio han sido capaces de crear servicios VPN de capa 2 basados en Frame Relay, a través del uso de circuitos virtuales permanentes (PVCs). En la configuración de los PVCs, los operadores de red establecen los identificadores de la conexión de enlaces de datos asociados con aparatos de acceso diferentes, creando un túnel para el tráfico de clientes siguiendo un camino predeterminado. Frame Relay se ha probado como una tecnología atractiva porque separa el tráfico de capa 2, y entrega capacidades equivalentes a líneas arrendadas, a un menor costo. Con su habilidad de soportar una variedad de protocolos, tales como IP, Novel Internetwork Packet Exchange (IPX) e IBM Systems Network Arquitecture (SNA), Frame Relay se convirtió en la primera elección para conexiones LAN-a- LAN y es usado ampliamente para comunicaciones Intranet. Los proveedores de servicios de Internet (ISPs) han tomado ventaja de L2TPv3 y L2F, para construir VPNs que agreguen de manera transparente sus clientes a sus redes. Estas VPNs basadas en L2TP permiten a los proveedores de servicio (ILECs e IXCs) entregar servicios DSL y dial a los ISPs. Estos últimos, por otro lado, son capaces de ofrecer servicio global sin tener que usar su propia infraestructura. 78

93 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) VPNs de capa 3 En las VPNs de capa 3, los proveedores de servicio entregan una conexión de línea arrendada entre un cliente y el POP (punto de presencia) más cercano en la red del proveedor de servicio, esto en el caso de contratar el servicio al proveedor. En el caso de utilizar Internet como medio se hace uso de los protocolos VPN directamente sin necesidad del proveedor. Actualmente, las tecnologías VPN más desplegadas, basadas en IP, son Seguridad IP (IPSec) y VPNs basadas en MPLS Border Gateway Protocol (BGP). Estas tecnologías pueden acomodar Intranet, Extranet y aplicaciones de acceso a Internet, satisfaciendo la necesidad de las empresas de interconectar sitios dispersos geográficamente de manera segura y privada. Las VPNs basadas en IP permiten a las empresas tomar ventaja de la flexibilidad y ubicuidad de Internet y de los backbone basados en proveedores de servicio IP, para una comunicación segura, de un sitio a otro, de manera más eficiente. Un paso hacia la simplificación de comunicaciones de área amplia Unificación de VPNs de capa 2 y VPNs de capa 3 La desconexión histórica entre las soluciones de capa 2 y capa 3 basadas en IP ha forzado a los proveedores de servicio para construir, operar y mantener infraestructuras separadas para acomodar varias tecnologías de acceso VPN. Grandes empresas desarrolladoras de equipos de red como Cisco Systems ofrece ahora servicios VPN de capa 2 de próxima generación como L2TPv3 (Layer 2 Tunneling Protocol versión 3) y Any Transport sobre MPLS (AToM) que permiten a los proveedores de servicio ofrecer Frame Relay, ATM, Ethernet, y servicios de línea arrendada sobre una red core común IP/MPLS. Al unir múltiples capas de red y entregar un conjunto integrado de servicios de software y herramientas de administración sobre esta infraestructura, la Suite unificada VPN permite a los proveedores de servicio alcanzar un conjunto más amplio de clientes potenciales VPN y ofrecer VPNs realmente globales. 79

94 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Modelo de implementación de VPNs (según el punto de terminación) Aunque los clientes tienden a considerar a las VPN como realizaciones fin a fin, un ISP que provee la conectividad entre varias islas de VPN puede ser forzado a modificar su red (backbone) con el motivo de soportar mejor al cliente. El problema fundamental es la distribución de la información de ruteo en el interior de la VPN en cuanto cada router miembro debe tener el conocimiento de cuales son las direcciones de las redes que participan en la VPN y en consecuencia la mejor distancia para escoger cada destino perteneciente a la VPN. La realización de un backbone de red para el soporte de VPN prevé sustancialmente dos modelos para la solución de este problema. El modelo de VPN par a par en donde la información de enrutamiento es intercambiada entre los routers de los clientes y los routers de los proveedores de servicio SP. El modelo de VPN superpuesto en donde el proveedor de servicio SP solo brinda circuitos virtuales VC 59 (similar a líneas dedicadas) y la información de enrutamiento es intercambiada directamente entre los routers de los clientes. En grandes redes de proveedores de servicio los dos modelos pueden ser combinados, el modelo VPN par a par puede utilizar VPN superpuestas en la parte de acceso (ejemplo, los clientes conectados a los routers del proveedor a través de Frame Relay o ATM) o en el núcleo (ejemplo, enlazando los routers P del proveedor de servicio a través de ATM). El funcionamiento de estos modelos los trataremos con detalle más adelante 59 VC.- Circuitos Virtuales 80

95 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.5 Esquema de los modelos de implementación de VPN Fuente: Revista Telemática (Cuba) En la esta figura podemos observar lo siguiente: El modelo de VPN superpuesto puede ser implementado con tecnologías de conmutadores de redes WAN de Nivel 2 (Frame Relay, SMDS, ATM) o con tecnologías de túneles de Nivel 3 (IP sobre IP, IPSec, PPTP, MPOA). Los servicios de VPN se pueden ofrecer basados en dos modelos como se ha mencionado anteriormente: VPNs superpuesto. VPNs par a par Modelo Superpuesto (Overlay) En el modelo superpuesto el proveedor de servicio simula líneas dedicadas para el cliente. Este modelo se despliega a través de una infraestructura compartida del proveedor de servicio. Aquí la red del proveedor de servicio es una conexión enlaces punto a punto o de circuitos virtuales (VCs). El encaminamiento dentro de la red del cliente es transparente a la red del proveedor de servicio, y los protocolos del encaminamiento funcionan directamente entre los routers del cliente. El proveedor de servicio no tiene ningún conocimiento de las rutas del cliente y es simplemente responsable de proporcionar el transporte de datos punto a punto entre los sitios de cliente. 81

96 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Este modelo se lo puede comprender de una mejor forma porque en el existe una clara separación entre las responsabilidades del cliente y del SP 60. El SP brinda al cliente una configuración que simula líneas dedicadas llamadas circuitos virtuales (VC, Virtual Circuit), los que pueden estar disponibles constantemente (PVC, Permanent Virtual Circuit) o establecidos bajo demanda (SVC, Switched Virtual Circuit). Estas VPNs se pueden poner en ejecución en capa 1 usando líneas dedicadas leased/dialup, en capa 2 usando los circuitos virtuales de X.25, frame relay o ATM, o en capa 3 usando tunneling IP (GRE, IPSec). Figura 3.6 VPN superpuesta. Sitio del Cliente 2 Red del Proveedor de Servicios Backbone Manta Sitio del Cliente 1 Circuito Virtual CV B PE Quito PE Sitio del Cliente 3 Circuito Virtual CV A PE Guayaquil Autores: Viteri Sebastian, Orbe Fredy. Como observamos en el ejemplo dado en la figura 3.7 el cliente establece comunicación entre sus routers sobre los circuitos virtuales VC (A y B) suministrados por el proveedor de servicio. El sitio de Quito se enlaza hasta el sitio de Manta vía punto a punto con el circuito virtual B. Asimismo, el sitio de Guayaquil se enlaza hasta el sitio de Quito vía punto a punto con el circuito virtual A. La información de los protocolos de enrutamiento siempre es intercambiada entre los dispositivos del cliente por lo que el SP desconoce la topología interna de la red del 60 SP.- Proveedor de Servicio VPN. 82

97 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) cliente. En el gráfico 3.8 se muestra una percepción de cómo es la infraestructura del proveedor de servicio formada de Quito a Manta y Quito Guayaquil. Figura 3.7 Ejemplo de infraestructura de VPN superpuesta Enlace Punto a Punto Manta Quito Enlace Punto a Punto Guayaquil Autores: Viteri Sebastian, Orbe Fredy. El modelo superpuesto VPN tiene dos apremios. Uno es el alto nivel de dificultad en medir las capacidades del circuito entre los sitios. El otro es el requisito de un despliegue completamente acoplado de enlaces punto a punto o VCs sobre el backbone del proveedor de servicio para lograr en encaminamiento óptimo. Como se ha mencionado anteriormente las VPN superpuestas se pueden poner en ejecución en tres capas del modelo OSI Implementación en la Capa 1 Figura 3.8 VPN superpuesta implementada en capa 1 Cliente PPP IP HDLC Proveedor ISDN DSO, T1, E1 SDH Autores: Viteri Sebastian, Orbe Fredy. Esta figura ilustra la implementación del VPN superpuesto de capa 1. Aquí se adopta la solución tradicional de la multiplexación por división del tiempo. En este panorama, el proveedor de servicio establece la conectividad de la capa física entre los sitios de cliente mediante ISDN, DS0, el T1, E1, SONET, o SDH, y el 83

98 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) cliente es responsable de la implantación de todas las capas más altas, tales como PPP, HDLC, e IP Implementación en la Capa 2 Figura 3.9 VPN superpuesta implementada en capa 2 Cliente IP Proveedor X.25 Frame Relay ATM Autores: Viteri Sebastian, Orbe Fredy. Esto ilustra la puesta en práctica del VPN superpuesto capa 2. Aquí se adopta la solución conmutada WAN tradicional. En este panorama, el proveedor de servicio es responsable de establecer los circuitos virtuales de capa 2 entre los sitios de cliente mediante X.25, Frame Relay, o ATM, y el cliente es responsable por la capa IP y capas superiores Implementación en la Capa 3 Figura 3.10 VPN superpuesta implementada en capa 3 IP GRE IPSec IP Autores: Viteri Sebastian, Orbe Fredy. Esta figura ilustra la implementación del VPN superpuesto de capa 3. La VPN es implementada como punto a punto sobre túneles IP. Esto se lo llama comúnmente como tunneling IP, por el que un destino se pueda alcanzar transparente sin necesidad de saber la topología especifica. Por lo tanto, las redes virtuales pueden ser creadas atando dispositivos o hosts mediante un túnel. Los túneles también permiten el uso de direcciones de red privadas a través de un backbone del proveedor de servicio sin la necesidad de la conversión de dirección de red (NAT). 84

99 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Ventajas Permite repetir las direcciones IP. Total aislamiento entre los clientes. Servicio seguro de VPN Desventajas Difícil medir la capacidad del circuito entre los sitios. Se requiere de un completo acoplamiento de circuitos para obtener un óptimo rendimiento en el encaminamiento. Las adyacencias del ruteo con los equipos del cliente entre los sitios Modelo Par a Par El modelo de par a par adopta un esquema simple del encaminamiento para el cliente. El proveedor y la red del cliente utilizan el mismo protocolo de red y todas las rutas del cliente se llevan dentro del núcleo (core) de la red (red del proveedor de servicio). Los routers del Proveedor PE 61 intercambian la información con los routers del cliente CE 62, y las adyacencias del ruteo de capa 3 se establecen entre los routers del cliente y del proveedor en cada sitio. El despliegue total del acoplamiento de enlaces punto a punto o circuitos virtuales VCs sobre el backbone del proveedor de servicio es aplicable para obtener un encaminamiento optimo debido a que esta implantado el modelo par a par y no hay acoplamientos superpuestos con quienes competir. Con la implantación del modelo par a par la adición de nuevos sitios es más fácil, y la medición de la capacidad del circuito no es un problema. El espacio de dirección asignada o pública del proveedor necesita ser desplegado en la red del cliente, debido a que el proveedor de servicio ahora participa en el encaminamiento del cliente. 61 PE.- Proveider Equipment, equipos del proveedor. 62 CE.- Customer equipment, equipos del cliente. 85

100 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.11 VPN par a par. Red del Proveedor de Servicios Backbone Manta Quito Los routers del SP intercambian rutas del cliente a través del nucleo de la red Se intercambia información de enrutamineto entre el cliente y el SP Autores: Viteri Sebastian, Orbe Fredy. Guayaquil Este gráfico ilustra el despliegue de una VPN par a par. En este panorama, la información del encaminamiento del cliente se intercambia entre el router de Quito con el router de el proveedor de servicio asignado. Las rutas del cliente son entonces una difusión de información a través de la red entre los router de cada sitio con el respectivo router del proveedor de servicio. Existen dos proposiciones del modelo par a par que son router compartido y del router dedicado. A continuación explicaremos estas dos proposiciones: Modelo de router PE compartido En este modelo, se despliega un router común como equipo del proveedor (PE) que lleva las rutas del cliente. Las rutas individuales de los clientes se separan con filtros de paquetes en interfaces Proveedor PE - Cliente CE. Se manejan los filtros de paquetes de modo que la información vaya al sitio apropiado y separen de la cantidad diversa de clientes. La complejidad de estos filtros del paquete da lugar a altos costes de mantenimiento y a un impacto significativo en el funcionamiento. 86

101 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.12 modelo par a par de router PE compartido Manta Red del Proveedor de Servicios Backbone Rutas son aisladas mediante filtos de paquetes Quito PE Este router lleva todas las rutas de los clientes Guayaquil Autores: Viteri Sebastian, Orbe Fredy. Este gráfico ilustra el Modelo de router PE compartido. En este panorama, hay tres diversos sitios de cliente. Podemos ver que el router del proveedor PE lleva todas las rutas del cliente para Quito, Guayaquil y Manta. El aislamiento entre las VPNs es alcanzado con los filtros de paquetes (listas del acceso) Modelo de router PE dedicado. En este modelo, cada cliente tiene un router PE dedicado que lleva solamente sus propias rutas. La segregación de clientes se alcanza con la carencia de información de encaminamiento sobre el router PE. El router principal del proveedor P 63 contiene todas las rutas y filtros del cliente que encaminan actualizaciones entre diversos routers PE usando comunidades de Border gateway protocol (BGP 64 ). El desplegar este modelo es costoso, y por lo tanto no es una solución rentable, dado que cada cliente tiene un router dedicado del proveedor. 63 P.- así se denomina al Router principal del proveedor 64 BGP.- protocolo de gateway fronterizo, Protocolo de enrutamiento interdominios 87

102 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.13 modelo par a par de router PE dedicado Red del Proveedor de Servicios Backbone Manta PE 1 El router P contiene todas las rutas de los clientes Cada Cliente tiene un Quito ruter del proveedor dedicado Router P PE 3 Guayaquil Cuenca PE 2 Autores: Viteri Sebastian, Orbe Fredy. Este gráfico ilustra un modelo de router PE dedicado. En este panorama, existen cuatro diversos sitios de cliente Quito, Manta, Cuenca y Guayaquil. Podemos ver que la rebajadora de P en la red del proveedor de servicio contiene todas las rutas del cliente. En el ejemplo esta filtra actualizaciones de ruteo entre PE 1, PE 2, y PE 3 usando comunidades BGP. Cada cliente o VPN tienen un router dedicado PE que lleva solamente sus rutas. El aislamiento del cliente se alcanza simplemente con la carencia de la información del ruteo sobre los routers de PE. En este ejemplo, las rutas de Manta y Quito, las cuales están en son una sola VPN, se anuncian a un router PE dedicado PE 1. Y este PE 1 alternadamente anuncia las rutas al router P. El router P utiliza una lista de la comunidad para emparejar las rutas y propaga las rutas a PE 3, el cual sirve al Guayaquil para recibir la información Ventajas Encaminamiento entre los sitios del cliente es óptimo. La medición de la capacidad del rendimiento del circuito no es un problema. Una fácil configuración de ruteo para los clientes. 88

103 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Desventajas Todos los routers VPN son llevados en el IGP 65 del proveedor de servicios. No se permite la repetición de direcciones IP. Filtros complejos y también los dispositivos dedicados VPNs basadas en ISDN, Frame Relay o ATM o También Llamadas VPN basadas en VC Este tipo de VPN brinda servicios IP a través de redes públicas como Frame Relay, ATM, esto se lo hace con esto un alto grado de privacidad. VPNs basado en ISDN, Frame Relay o conexiones ATM son muy diferentes de VPNs basado en los túneles IP. Este tipo de VPN utiliza servicios públicos de red conmutados de datos y utiliza los canales de ISDN B, PVC (Permenent virtual circuit), o SVC (switched virtual circuits) para separar tráfico de otros usuarios. Los canales simples o múltiples B, PVCs, o SVCs se pueden utilizar entre los sitios con características adicionales tales como reserva y ancho de banda bajo pedido. Las VPNs basadas en redes de datos públicos conmutadas son proporcionadas generalmente por los proveedores de servicio y otros portadores, y puede como no puede proporcionar servicios completamente administrados. En la mayoría de los casos, los servicios adicionales tales como opciones de QoS están disponibles. Este tipo de VPN puede probablemente llegar a ser popular en Europa, donde están extensamente disponibles las redes de datos conmutadas públicas y el negocio de Internet se desarrolla menos. Algunas veces incluyen un servicio de router administrado para proveer soluciones fin a fin, como una manera tradicional de brindar el servicio VPN. 65 IGP. - Interior Gateway Protocol. 89

104 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.14 modelo VPN sobre ISDN, ATM o Frame Relay VPN sobre ISDN, ATM o Frame Relay PVCs Router Router Red Publica ATM o Frame Relay Router Router Office Autores: Viteri Sebastian, Orbe Fredy. Implementar este tipo de VPN es directo, pero el aprovisionamiento individual de circuitos virtuales permanentes (PVC) es desperdicio de tiempo. Los proveedores de servicio proveen PVCs y tablas de ruteo para los sitios remotos que se encuentra en los equipos del cliente (CPE). Esta implementación tiene la ventaja de proporcionar mecanismos directos de asignación de ancho de banda tales como Frame Relay el committed information rate (CIR), en ATM sustained cell rate (SCR), o también minimum cell rate (MCR), que garantizan el ancho de banda fin a fin a través de la red. La administración de una VPN basada en VC aumenta la complejidad de la configuración de los routers de CE porque cada dispositivo de borde necesita estar enterado de todas las rutas posibles VC, lo cual hace difícil proporcionar un servicio fin a fin completamente manejado Características La encripción de los datos es una característica opcional en este tipo de arquitectura. Pero debido a un conocimiento más extenso sobre precauciones de seguridad muchos usuarios ahora eligen encriptar sus datos. 90

105 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Los paquetes de los datos no necesariamente deben ser IP. Los proveedores pueden crear servicios IP VPN usando circuitos privados para establecer conexiones punto a punto sobre redes Frame Relay o ATM, usando routers para manejar la información de capa Ventajas Las ventajas principales de VPNs basadas en conexiones ISDN, Frame Relay o ATM incluyen el siguiente: Las conexiones se pueden utilizar para cualquier tipo de comunicación, desde conexiones de PBX, video conferencias hasta datos confidenciales. Las conexiones internacionales son relativamente fáciles de obtener, especialmente para Frame Relay, aunque pueden ser costosas. La información de la facturación, de contabilidad y de precios está disponible, pues estos servicios son establecidos. La seguridad es menos preocupante, pues los datos generalmente se transportan sobre la red privada del proveedor o del portador de servicio. La Asignación del ancho de banda basada en Frame Relay CIR, ATM SCR o MCR es muy buena. Circuitos virtuales permanentes (PVCs) proporcionan una separación lógica de VPN, por lo tanto, no se requiere necesariamente de la encriptación Desventajas Las desventajas principales de este tipo de VPNs son: ISDN, Frame Relay y ATM pueden ser muy costosos y no están tan extensamente disponibles como servicios que brindan los ISP. Además, es a menudo más difícil proporcionar conexiones Extranet y de comercio electrónico a los socios, a los surtidores y a los clientes de negocio. La topología de VPN debe ser mantenida en todos los dispositivos de CE en el VPN. 91

106 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Para adicionar funciones, movimientos, y cambios se requiere un completo reabastecimiento de cada punto final. Mientras el número de sitios aumenta se necesitarían más circuitos virtuales por lo tanto la escalabilidad esta limitada por la naturaleza del aprovisionamiento de un acoplamiento de red completo punto a punto IP VPNs Servicios IP VPN Una IP VPN es un servicio de comunicación y administración IP que es ofrecido a una compañía por un proveedor de servicio. Este servicio como ya se lo ha mencionado, se lo hace sobre una infraestructura compartida de red pública. Este servicio provee seguridad, confianza en la conectividad, gerencia y direccionamiento equivalente a una red privada VPN basadas en CPE y en CLE Se podría decir que las IP VPNs entran en dos categorías basadas en CPE (basadas en equipos del cliente) y basadas en CLE o también llamadas basadas en red (basadas en equipos del proveedor), la primera se da cuando la compañía que necesita el servicio implanta y opera por si misma la VPN mediante sus propios equipos (CPE). Los dispositivos CPE o VPN Gateway usan estándares basados en túneles sobre una red IP pública, estos generalmente son configurados y administrados por la misma compañía. Las VPN basadas en CPE pueden a su vez operar sobre Internet. La mayoría de las implementaciones VPN son basadas en CPE. Las capacidades de Internet han estado siendo integradas dentro de una variedad de dispositivos CPE, extendiéndose desde firewalls a dispositivos WAN y a dispositivos terminales VPN especializados. Para la segunda categoría las VPNs son basadas en equipos que tienen los proveedores (CLE). En funcionamiento de esta categoría es idéntico al de la 66 RFC A Framework for IP Based Virtual Private Networks 92

107 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) basada en CPE pero el equipo es propio del proveedor y por lo tanto administrado por este. Existe también un alto interés en las VPN basadas en red, donde la operación de la VPN es encargada al proveedor del servicio ISP y es implantada sobre la red. Hay un interés significativo en tales soluciones por los clientes que intentan reducir costes de soporte y por ISPs que busca nuevas fuentes del rédito. Las VPN basadas en red permiten el uso de mecanismos los cuales lideran una gran eficiencia y soluciones VPN rentables, con la ayuda común del equipo y de las operaciones amortizadas a través de una gran cantidad de clientes. En conclusión las dos categorías se diferencian por la ubicación de los equipos y por lo tanto quien sea el propietario estará encargado de la operación y la administración de estos Calificación de IP VPNs Líneas Dedicadas Virtuales (VLL, Virtual Leased Lines) Es la forma más simple de una VPN, brindan enlaces punto a punto orientado a conexión entre los sitios de los clientes, conectando dos dispositivos del cliente CPE (Customer Premises Equipment). El tipo de capa de enlace usada para conectar los CPE hacia los nodos del ISP puede ser cualquier tipo, por ejemplo Internet, ATM o Frame Relay. Vale recalcar que un CPE puede ser Routers, Bridges or Hosts del usuario. Los dos nodos del ISP están conectados a una Red IP, y el túnel IP es implantado entre ellos. Cada nodo del ISP es configurado para enlazar conjuntamente la parte del enlace y el túnel IP en capa 2 (Ej. ATM y el túnel IP). Con esto se puede trasmitir los paquetes entre las dos conexiones. Un usuario percibe este tipo de conexión como si una simple conexión ATM VCC o Frame Relay fueran usadas para interconectar los dispositivos CPE. El usuario no estaría conciente de que esa conexión al no saber que en realidad, esta 93

108 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) implementada por un túnel IP a través del backbone de la red. No es necesario que los dos enlaces usados para conectar los dispositivos de CPE con los nodos del ISP estén en el mismo tipo de medio, pero en este caso los nodos del ISP no pueden tratar el tráfico de una manera transparente para el usuario. Figura 3.15 Líneas Dedicadas Virtuales, VLL IP Backbone CPE Nodo ISP Tunel IP Nodo ISP CPE Autores: Viteri Sebastian, Orbe Fredy Características El protocolo de túnel IP utilizado debe ser capaz de transportar cualquier protocolo entre los sitios conectados por las VLL. El protocolo de túnel IP usado debe soportar la operación multiprotocolo y si esa característica es importante para el tráfico del cliente debe necesitar soporte secuencialmente. Si se establece el túnel usando un protocolo específico, este debe ser instalado en un manejador de datos. Cuando un paquete es recibido desde el enlace del cliente y no existe ningún túnel, dicho túnel se puede establecer en el tiempo del aprovisionamiento y mantenerse permanentemente Ventajas Puede proveer garantía de ancho de banda para cada punto la conexión punto a punto a través de la red pública. Inafectado por la capa 3 routing o capa 2 bridging en los retrasos de la convergencia. Es una de las mejores opciones para el transporte de tráfico de vos Desventajas 94

109 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Es muy costoso y mucho tiempo de uso para la disposición de este tipo de VPN. Ineficiente en el uso de ancho de banda en el acceso a la red. Esto quiere decir que se desperdicia el ancho de banda. Los costos de operación tienden a crecer exponencialmente si se los organiza como un acoplamiento de red Redes de Enrutadores Privados Virtuales (VPRNs, Virtual Private Routed Networks) 67 Simulan redes dedicadas de routers IP entre los múltiples sitios de clientes en un área amplia. Aunque una VPRN transporte tráfico IP, esta debe ser tratada como un dominio de enrutamiento separado desde la subyacente red del ISP, dado que la VPRN es probablemente usada por varios clientes asignando direcciones IP. Cada cliente se ve el mismo como el operador de la red y por lo tanto puede asignar las direcciones IP de la manera que desee. La característica distintiva de una VPRN, en comparación con otros tipos de VPNs es que el envío de paquete es realizado en la capa de Red. Una VPRN consiste de un acoplamiento de túneles IP entre los routers del proveedor de servicio, estos con sus respectivas capacidades de enrutamiento necesitan enviar tráfico que han recibido de cada nodo VPRN hacia el destino apropiado. Adjuntado a los routers del ISP están los routers de los clientes (CPE routers) conectados vía uno o más enlaces. En cada ISP router existen tablas específicas de envío de los miembros conectados al VPRN. El tráfico es enviado entre los mismos ISP routers y entre los ISP routers y los clientes, usando las tablas de envío las cuales contienen información sobre la capacidad de alcance en la capa de red, al contrario a la VPLS donde las tablas de envío contienen información de búsqueda en la capa MAC. Para soporte de multiprotocolo, una VPRN separada para cada protocolo de capa de red puede ser usada. En el ejemplo ilustrado (fig 3.16), nos muestra tres routers de borde ISP conectados mediante un acoplamiento de túneles IP, usados para 67 A Vprn Solution, For Fully Secure And Efficient Group Communications, Inria, Apr

110 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) interconectas 4 routers CPE. Uno de estos es multihome hacia la red ISP. En el caso de multihome todos los fragmentos de enlace pueden ser activados o como se muestra, 3 pueden ser primarios y uno o más backups que pueden ser usados en caso de alguna falla de la primera. El termino BACKDOOR es usado para referirse al enlace entre 3 sitios de clientes que no atraviesan la red ISP. Figura 3.16 Redes de Enrutadores Privados Virtuales, VPRN VPRN CPE Tunel IP Enlace CPE Enlace Nodo ISP IP Backbone Tunel IP Tunel IP Enlace BackDoor Enlace BackUp Enlace Router Nodo ISP Enlace CPE CPE Autores: Viteri Sebastian, Orbe Fredy Requerimientos Identificador VPN, el uso de un único y universal identificador de VPN. Determinación de la membresía VPRN, un router de borde debe aprender de los enlaces locales que están en cada VPRN y de los sistemas de otros routers que son miembros es ese VPRN. Un router de borde debe aprender el sistema de direcciones y los prefijos de las direcciones, alcanzable mediante cada enlace local. Dentro de la VPRN cada router debe diseminar la información del prefijo de la dirección asociada con cada de los enlaces locales a todos los otros routers de borde en la VPRN. 96

111 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Un router de borde debe construir los túneles necesarios para otros routers que tienen miembros en la VPRN, y deben realizarse la encapsulación y la desencapsulación necesaria para enviar y recibir los paquetes sobre los túneles Funcionamiento El router ISP aparece como un router vecino en la red del cliente para el CPE router. El ISP router envía todo el tráfico en la red. Todo el acoplamiento del túnel que es implantado para transferir el tráfico de la red únicamente se extiende entre los router ISP y no con los de CPE. EL tipo VPRN de VPN se da entonces cuando el acoplamiento del túnel se extiende hacia los router CPE, y donde los router ISP proporcionan solamente conectividad en la capa 2 del modelo OSI Características de VPRN Para el funcionamiento de una VPN se necesita de servicios adicionales como la deposición de un Firewall y un proceso de QoS (Calidad De Servicio) puede ser dirigido por un pequeño número de routers ISP, mucho mejor que un gran grupo de dispositivos CPE Ventajas La introducción y mantenimiento de nuevos servicios puede también ser dirigidos de una forma más fácil, sin la necesidad de mejorar los equipos o dispositivos CPE. Este beneficio, es particularmente importante cuando exista un gran número de usuarios remotos usando el servicio de VPN para acceder a una red corporativa privada. El principal beneficio de una VPN es que la complejidad y la configuración del router del CPE es mucho menor. Eficiente uso de ancho de banda en el acceso a la red. Fácil configuración de la red basada en protocolos de ruteo mucho mejor que las configuraciones manuales. 97

112 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Desventajas Limitado al tráfico con encapsulamiento IP. Sujeto a los retrasos de convergencia de capa Segmentos LAN Privados Virtuales (VPLS, Virtual Private LAN Segments) 68 VPLS brinda una imitación de LAN entre sitios. Como con las VLLs, una VPLS requiere el uso de túneles IP que sean transparentes a los protocolos transportados por las LAN simuladas. Las LAN pueden ser simuladas usando un engranaje de túneles entre los sitios de los clientes o por el mapeado de cada VPLS a una dirección IP separada. Topológicamente y operacionalmente una VPLS es similar a una VPRN, excepto que cada nodo VPLS implementa puentéo en la capa de enlace en vez del envío en la capa de red. Figura 3.17 Segmentos LAN Privados Virtuales, VPLS VPLS CPE Tunel IP Nodo ISP Nodo ISP CPE IP Backbone Tunel IP Tunel IP Router Nodo ISP CPE Autores: Viteri Sebastian, Orbe Fredy

113 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Una VPLS es la emulación de un segmento de LAN usando las facilidades de una red compartida como Internet Ventajas Eficiente uso del ancho de banda en el acceso a la red. Fácil configuración de la red basada en protocolos Ethernet. No tiene límite de tráfico IP puede transportar incluso paquetes IPX o AppleTalk Desventajas En algunos casos los estándares para este tipo no están terminados. Dependiendo del mecanismo del túnel puede estar sujeto a retrasos de convergencia de capa Redes Conmutadas Privadas Virtuales (VPDNs, Virtual Private Dial Networks) Les permiten a los clientes que el proveedor de servicio le aprovisione y gestione los accesos conmutados a su red. En lugar de que cada cliente configure sus propios servidores de acceso y use secciones PPP (Point to Point Protocol) entre un local central y los usuarios remotos, el proveedor de servicio brinda uno o muchos servidores de acceso compartidos. Usando túneles desde el servidor de acceso del SP hasta un punto de acceso dentro de la red del cliente se transportan secciones PPP para cada VPDN conocido como concentrador de acceso. Una red conmutada privada virtual permite la creación de un túnel mediante demanda entre los usuarios remotos y otros sitios. Los usuarios son conectados a una red pública IP vía dial-up, PSTN o enlace ISDN. Los paquetes de los usuarios son enviados por el túnel a través de la red pública al sitio del destino. Lo más importante es la autenticación de usuarios, así nadie indebido podrá acceder de un lugar remoto a la red. Existen dos tipos de túneles que son el túnel obligatorio y el voluntario. El funcionamiento de estos ya se lo ha analizado en el capítulo 2. 99

114 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Tipos de Acceso a Redes Conmutadas Privadas Virtuales VPDN Existen dos tipos de acceso que son: 1. Client initiated. 2. NAS initiated Client initiated El cliente debe tener un software instalado, este software debe ser compatible con el que esta en el lado del servidor. Aquí el cliente va a inicializar una conexión al servidor NAS que internamente crea una trayectoria para el túnel entre el cliente y el servidor. Dicho túnel alcanza toda la ruta del cliente al servidor. Primero el usuario remoto marca para tener acceso al Internet mediante su proveedor de Internet; después, el usuario crea un túnel (capaz de ser encriptado) enlazado con la red de la empresa para tener acceso a los recursos internos de dicha red. En este caso, el cliente final debe mantener y manejar la iniciación del túnel relacionando coherentemente los protocolos y el software. Generalmente, este tipo de arquitectura es utilizada para enviar datos altamente sensibles que necesitan ser enviados seguramente de un punto a otro punto. Muchas aplicaciones de las actividades bancarias utilizan esta clase de arquitectura NAS initiated Aquí el servidor NAS va a inicializar la conexión. En el uso de VPN iniciado por el servidor del acceso (NAS), los usuarios marcan para tener acceso al servidor de Internet (ISP) a través de los números locales. Entonces la NAS del ISP inicia otro túnel con la red de la empresa de los usuarios. En este caso, la conexión establecida de VPN es transparente a los usuarios remotos. La ISP está a cargo de la gerencia y del mantenimiento de los protocolos y del software necesario para la construcción de VPN. Aquí el hacer un túnel se extiende solamente entre el NAS y la red corporativa y no entre el cliente y el NAS. Por lo tanto para este tipo de arquitectura de VPN se debe tener en consideración el envío de datos altamente sensibles sobre red. 100

115 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Ventajas Soporta sesiones de poca duración esto especialmente para usuarios remotos como trabajadores ejecutivos, socios y usuarios de casa. Provee facilidades en la conexión a la red como si estuviera el usuario conectado directamente Desventajas Consume mucho tiempo al mantener las listas de control de acceso y los procedimientos de autenticación. Se necesita mayor esfuerzo en el soporte de calidad de servicio (QoS). Se requiere que cada usuario tenga un software o un dispositivo especifico para la concepción SSL VPN Es una nueva tecnología VPN, basada en el uso del protocolo estándar SSL para el cifrado de la comunicación, permite el establecimiento de un acceso seguro entre la empresa, sus oficinas y/o usuarios remotos sin necesidad de instalar software adicional en el puesto de cliente. Las VPNs basadas en SSL aprovechan la ubicuidad de los navegadores para obtener un acceso remoto seguro, flexible y a un bajo coste. Se puede decir que también aprovechan las capacidades de encripción y autenticación de los navegadores Web para proveer acceso remoto seguro a las aplicaciones corporativas. SSL son las siglas de Segure Sockets Layer, un protocolo para la transmisión privada de documentos vía Internet. SSL trabaja usando una llave privada para encriptar los datos que serán transferidos sobre la conexión. Netscape Navigator o Internet Explorer soportan el protocolo SSL y muchos sitios Web usan este protocolo para obtener información de usuario confidencial, tal como números de 101

116 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) tarjetas de crédito. El protocolo SSL, esta encajado en la mayoría de stacks IP y se asienta en la base de la capa de aplicación como se muestra en la siguiente figura. Figura 3.18 Protocolo SSL Capa 5,6,7 OSI SSL Capa 4 Capa IP 3 OSI Capa 1 y 2 OSI Autores: Viteri Sebastian, Orbe Fredy. Las SSL VPNs exponen ciertos tipos de aplicaciones Web privadas, sobre una conexión segura conocida como HTTPS (HTTP sobre el SSL), reconstruyendo las trayectorias de la navegación de la aplicación Web por medio del análisis y la reconstrucción de páginas Web en tiempo real como peticiones son ofrecidas. Los bancos usan SSL para el proceso de tarjetas de crédito, lo cual hace fácil a los desarrolladores Web que no quieren comprar sus propios certificados SSL. Con una combinación de SSL, navegador Web, un cortafuegos seguro en la terminación de la conexión y fuertes políticas y control de acceso, las conexiones SSL VPNs proveen acceso a clientes desde la Web, de una forma cliente/servidor, y aplicaciones finales desde cualquier sitio como, los hogares, centros de negocios de hoteles, Internet cafés o un socio LAN. La idea de SSL VPNs es buena primero que todo por que SSL esta donde este un navegador Web. El resultado de esto es millones de millones de clientes preinstalados listos para usar. Existe, por lo tanto una población más amplia de usuarios factibles que con VPNs de otro tipo para acceso remoto. Como segunda idea podemos decir que el sistema público de encripción de SSL, ha sido tomado y puesto en marcha por grandes expertos en la seguridad. Los bancos, gobiernos, y corporaciones importantes confían mucho dinero en transacciones por esta vía. Y tercero, el acceso remoto SSL goza de la 102

117 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) ventaja suprema que todos los productos nuevos tienen la capacidad de atacar las debilidades de sus competidores por ejemplo las falencias de IPSec VPN. Figura 3.19 SSL VPN Fuente: Mambo technology Esencialmente, las soluciones del SSL VPN proporcionan un portal Web de acceso solamente a cierta lista de aplicaciones Web. Pero algunos proveedores de SSL VPN han escrito los conectores de encargo que permiten a un número limitado de servidores de clientes también ser accedidos. Los conectores de encargo que son vendidos por los proveedores están normalmente para aplicaciones que tienen un cliente estándar. Un ejemplo de este tipo de aplicación es Microsoft Outlook, que tiene un cliente estándar. Es decir el paquete de Microsoft Outlook 2000 es igual para la compañía A que para la compañía B o cualquier otra compañía Procedimiento de conexiones SSL Las empresas pueden simplificar la creación de enlaces Internet seguros utilizando los nuevos productos que explotan el protocolo SSL ya presente en los navegadores, sin necesidad de instalar hardware como los de VPN IPSec. Un usuario remoto teclea la URL de un servidor proxy/ssl situado tras el cortafuego corporativo. El usuario, una vez autenticado, recibe una lista de recursos disponibles. 103

118 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) El servidor SSL/proxy facilita la comunicación entre los servidores de aplicaciones y el usuario remoto Consideraciones Técnicas Funcionamiento.- cualquier sistema para el desarrollo de la empresa debe poder escalar para resolver las demandas del gran volumen de usuarios que se requiere mantener. Alta disponibilidad.- para el despliegue de la empresa, la alta disponibilidad y control de fallos es la clave. La mayoría de los proveedores pueden realizar mecanismos internos para el control de errores y fallas Funcionamiento de la Red.- se debe tener en cuenta aparte de los aspectos de movilidad de SSL VPNs, también si la velocidad del enlace es buena y se satisface los requerimientos Consideraciones de diseño Sandbox.- Un sandbox se utiliza para almacenar cualquier archivo descargado de una red corporativa sobre el SSL VPN. Una vez que la sesión de VPN haya finalizado, el contenido del sandbox es eliminado con seguridad. Esto evita problemas con los archivos adjuntos del y los datos corporativos que se han ido accidentalmente en las máquinas no confiables. Término de sesión y seguros de credencial.- esto asegura que cuando los usuarios terminan una sesión, todas las credenciales de la conexión son limpiadas de la máquina del cliente. Por supuesto, con una solución VPN segura de una empresa, una solución fuerte de autentificación se debe también utilizar para proteger las credenciales más lejos. Recesos y re-autenticación.- para evitar sistemas que han sido conectados y olvidados de desconectar, las sesiones se pueden terminar después de períodos de la inactividad. También, asegurar al usuario correcto todavía está utilizando la conexión, autentificación periódica durante una sesión se puede poner en ejecución en algunos sistemas. 104

119 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Auditoria e intervención de actividades.- cualquier aplicación segura, sistemas de hardware o de software deben incluir un buen nivel de auditoria. Con SSL VPN esta funcionalidad se considera como clave, debido a los sistemas relativamente simples necesitados por un hacker para atacar un SSL VPN. Soporte de Aplicaciones.- el bloque principal de despliegue de SSL VPNs es probablemente el soporte de aplicaciones. Mientras que el SSL trabaja en el límite de las capas 4 y 5, cada aplicación debe soportar su uso. De acuerdo con esto, el primer paso por tomar al diseñar una solución SSL VPN debe ser mirar el acceso que será requerido y determinar que tan simple esto será para ser proporcionado Ventajas La facilidad de los navegadores Web y la ubicuidad de los navegadores Web permiten un acercamiento de acceso universal. Bajos costos de implantación y casi nulos los costos de mantenimiento. Administración de acceso y privilegios permite políticas robustas de autenticación y autorización sin implementar software. Clientes, dispositivos, datos y servidores con controles de seguridad por capas. Asegura clientes remotos, intranets, Extranets desde un dispositivo central. Hardware y software mínimo en clientes y servidores Se tiene una plataforma independiente que no depende del sistema operativo. El acceso se puede conceder desde muchos tipos de máquina (Linux, Windows 2K/XP, Apple Mac, Palm OS, Pocket PC, Symbian). No se tiene problemas con la conversión de direcciones NAT ya que SSL VPN no se ata a la capa IP. SSL VPNs presta un control de acceso más granular porque cada recurso accedido debe ser definido explícitamente, debido a que las redes corporativas enteras se pueden definir con una sola declaración. Para sitios de cliente, el acceso a los recursos corporativos es normalmente muy restrictivo. Esto es porque estas organizaciones constan con una infraestructura razonable de seguridad y emplean reglas de cortafuego 105

120 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) fijadas que limita el acceso solamente a servicios claves del negocio. La ventaja clave de VPNs basados en SSL es que tienden a comunicarse sobre el puerto usado para un HTTP seguro (puerto 443 del TCP), que es uno de los pocos puertos que permiten el acceso de salida desde cualquier máquina de la red corporativa en la mayoría de los ambientes. Dado que un cliente es casi no confiable, la mayoría del SSL VPNs puede también filtrar tráfico en el nivel de la aplicación bloqueando gusanos y virus en la entrada Desventajas Una ironía de SSL VPNs es que su más grande activo que es el acceso basado en un navegador Web es también su característica más problemática. La libertad y la movilidad del browser significan que sus usuarios pueden correr aplicaciones y acceder a recursos de la red desde cualquier lugar. Mientras que esa libertad puede incrementar la productividad, también expone a la red a un número ilimitado de computadoras donde el estado de la seguridad es desconocido. Su red puede experimentar riesgo creciente de virus, Troyanos, y código malévolo. El acceso basado en navegador Web tiene otras complicaciones también. La autentificación del usuario se limita, por defecto, a un nombre de usuario y a una contraseña que es notoriamente insegura. La mayoría de las soluciones SSL también requieren una transferencia directa de ActiveX o de Java para proporcionar un acceso más completo, pero las máquinas remotas pueden no permitir que estos applet funcionen, y así negando el acceso. SSL VPN no soporta aplicaciones en tiempo real y no permite compartir archivos. Los browsers pueden depositar en memoria documentos o las pantallas en la máquina remota, potencialmente exponiendo la información sensible. No soporta aplicaciones en tiempo real y no permite compartir archivos. Cuando un cliente se conecta con la VPN un pequeño applet de java se descarga al cliente, este puede buscar archivos buenos o malos, procesos o escuchan puertos. Por ejemplo, puede chequear y saber si hay un programa 106

121 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) ejecutándose en el sistema, la presencia de un cortafuego personal con un sistema de reglas estándar puede detectar la presencia de cualquier troyano conocido. La desventaja de este mecanismo es que puede poner limitaciones en los tipos de clientes que se puedan conectar MPLS VPN Introducción Con el continuo crecimiento de Internet resulta evidente que el mundo se dirige hacia una comunicación pública más omnipresente y mejor. También se hace patente que las periferias de estas redes en constante crecimiento deben atender a la gran variedad de aplicaciones que demandan los usuarios, tales como Protocolo de Internet (IP), servicios de voz, VPN de nivel 3 y VPN de nivel 2 compatibles con ATM, tecnología Frame Relay y servicios de redes de área local virtuales (VLAN). Con objeto de aunar estos servicios y buscar soluciones al aumento de la densidad de tráfico que debe soportar el núcleo de las redes, los proveedores de servicios están optando por la conmutación de etiquetas multiprotocolo (MPLS) como el protocolo más idóneo. La tecnología MPLS se diseñó como vehículo para proporcionar mayor flexibilidad a la gestión de la combinación, cada vez mayor y más diversa, de tráfico público y privado Multi Protocol Label Switching (MPLS) 70 MPLS es un protocolo que se encapsula por encima de los protocolos de nivel de enlace, pero por debajo de IP. El protocolo de señalización usado para MPLS es RSVP. Este protocolo es un estándar en Internet para la reserva de recursos. Con RSVP se pueden reservar anchos de banda mínimos, se permite la gestión del tráfico según su origen y según su tipo. Actualmente representa la forma más completa y sencilla de implementación de técnicas de ingeniería de tráfico. 69 Mpls Virtual Private Networks, Working Group Data Connection Limited, UK November 2000; Implementación de Redes MPLS VPN Casos de Estudio, Hugo Zamora, México, RFC 2547 BGP/MPLS VPNs 107

122 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Las Redes Privadas Virtuales implementadas con MPLS sólo se aplican al backbone del proveedor. Esto significa que el cliente sólo tiene que solicitarla y el proveedor se encarga de aprovisionarla y de hacerla activa sin afectar al cliente. Este protocolo basa las VPN en la creación de una tabla de rutas distintas para cada VPN. Esto permite el solapamiento de direcciones y por tanto la reutilización del espacio de direcciones que lo analizaremos más adelante. En la siguiente figura se puede ver una arquitectura de una VPN sobre MPLS. Figura 3.20 Arquitectura de VPN sobre MPLS Fuente: DataConnection.com Modelo MPLS VPN Una VPN MPLS (virtual private network) permite conectividad de múltiples sitios a través de una red compartida, con los mismos atributos que una red privada y permite utilizar prácticamente todas las tecnologías de acceso para interconectar las oficinas del cliente con su Proveedor de Servicios. MPLS VPN es un modelo par a par que combina lo mejor de los dos mundos. Une la seguridad del cliente y las características de segregación implementadas en el modelo superpuesto con el encaminamiento simplificado desarrollado en el modelo par a par. La segregación del cliente se alcanza a través del concepto de encaminamiento virtual y envío (forwarding) por el que los routers del proveedor PE son subdivididos en routers virtuales sirviendo diferentes VPNs. Esto establece direcciones superpuestas en diversos sitios de cliente puesto que ahora es asignado a cada cliente una tabla de encaminamiento independiente. 108

123 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Los routers PE tienen la información de ruteo solamente para las VPNs conectadas directamente. Como resultado de esto el tamaño de las tablas de ruteo es reducido significativamente y la cantidad de información es proporcional al número de VPN conectadas al router PE. Los routers PE participan en el encaminamiento del cliente, aseguran su óptimo encaminamiento y el fácil aprovisionamiento. Figura 3.21 Modelo MPLS Cliente A Sitio 1 Router Virtual A Cliente A Sitio 2 Cliente A Sitio 3 Cliente B Sitio 1 VPN 1 Tabla de ruteo VPN Router Global IP para cliente A PE Router VPN 2 Router Virtual B Global IP Tabls de ruteo Tabla de ruteo VPN para cliente B IGP & no VPN BGP Router P Autores: Viteri Sebastian, Orbe Fredy. En esta figura se muestra el modelo MPLS. Existen en este panorama 2 clientes separados Cliente A y Cliente B. El cliente A tiene tres sitios diferentes mientras que el cliente B solo tiene uno. El aislamiento de los clientes es realizado con un router virtual dedicado. También podemos notar que el encaminamiento dentro del router PE esta dividido en dos planos separados, unos para el encaminamiento VPN y el otro para el encaminamiento global IP. En el plano de encaminamiento VPN el router PE es subdividido en dos router virtuales uno que sirve al cliente A y otro al cliente B. Cada uno de estos routers virtuales participa en el encaminamiento del cliente y mantiene una tabla de ruteo independiente para cliente respectivo. Mientras tanto, el router PE también tiene un router global IP en el plano global del encaminamiento IP que toma los cuidados del encaminamiento IGP y del non-vpn BGP entre los varios routers PE y P (routers de núcleo del proveedor) Componentes 109

124 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) El componente básico de cualquier solución MPLS es el uso de túneles LSP para el envió de datos. Nodos P (routers del núcleo del backbone del proveedor) o LSR-P: Nodos que hablan MPLS. No saben nada sobre la VPN. CE (Customer Edge Router): Router del lado del cliente. Habla IP y enrutamiento convencional con el router PE. PE (Provider Edge Router): Router del lado del proveedor que recibe el tráfico del cliente. Habla IP y enrutamiento convencional con el router CE. Hablan MPLS hacia los nodos P y BGP4 con otros router PE Túneles LSP El componente básico de cualquier MPLS para VPN es el uso de túneles LSP para el envío de datos entre los routers de borde del proveedor de servicio PE sobre un VPN dado. Se etiqueta los datos VPN y así entra al túnel. El LSR (Label Switching Router) es un componente de una MPLS que envía los datos basados en las etiquetas asociadas con cada paquete de datos. Este segrega cuidadosamente el flujo VPN del resto de los datos que fluctúan en el backbone. Esta segregación es la clave para que MPLS soporte las siguientes características de un esquema de túnel VPN: o o o o Protocolos múltiples sobre una VPN pueden ser encapsulados por el ingreso del túnel LSR, debido a que los datos que atraviesan el túnel LSP es transparente a los routers intermedios (Routers P). Multiplexación de tráfico para diferentes VPNs sobre enlaces compartidos en el backbone pueden realizarse usando túneles LSP para cada fuente de datos. Autenticación de los puntos finales del túnel LSP es proporcionada por los protocolos de distribución de etiquetas. Protección de la conmutación y el ruteo automático de los túneles LSP aseguran que se puedan corregir las fallas de un enlace o router sin la intervención de mantenimiento. 110

125 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.22 Uso de Túneles LSP Fuente: DataConnection.com Esta figura (Fig. 3.22) muestra una interconexión simple entre cinco sitios VPNs pertenecientes a dos diferentes VPNs. Un total de 4 LSPs son requeridos en esta topología, uno para conectar dos sitios en la VPN B, y los tres restantes para conectar los sitios de la VPN A Características Servicio de VPN implementado a partir del backbone MPLS. (RFC 2547). En MPLS, una VPN es un conjunto de sitios (comunidad) compartiendo información de enrutamiento. En el lado del cliente se tienen routers convencionales. La lógica de la VPN reside en los router del proveedor de servicio (PE Router). Para los nodos P, las VPN son transparentes. Permite direcciones privadas o públicas al lado del cliente. Permite direcciones repetidas siempre y cuando sean de VPNs diferentes (overlaping). Si un sitio pertenece a dos o más VPNs, el espacio de direccionamiento en estas VPN debe ser único. Permite conectividad cualquiera a cualquiera, un sitio conectado a la VPN tiene conexión directa con todos los otros lugares que pertenecen a la VPN. Políticas de QoS avanzadas. 111

126 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Beneficios de MPLS El encaminamiento entre sitios es óptimo. Permite direcciones IP repetidos. Servicio seguro VPN. Los router del proveedor solo permiten routers VPN pertinentes. Total aislamiento entre clientes. Un sitio puede pertenecer a varias VPN. No filtros complejos ni routers dedicados. Integra todos los servicios y aplicaciones en una sola conexión (voz, datos, video e Internet). Ofrece niveles de rendimiento diferenciados y priorización del tráfico, así como aplicaciones de voz y multimedia. Y todo ello en una única red MPLS de capa 2 y de capa 3 71 MPLS fue utilizado originalmente para los propósitos de ingeniería del tráfico. Ahora, la última aplicación de MPLS que está implementando el proveedor son las VPN basadas en MPLS. Usar MPLS para implementar VPNs es una alternativa viable a usar una solución pura de capa 2, una solución pura capa 3, o cualquiera de los métodos de hacer túnel usados comúnmente para la implementación de VPNs. Al decidir sobre implementar una VPN basada en MPLS, el proveedor de servicio tiene dos opciones: Capa 3, designado comúnmente MPLS Capa 3 VPNs Capa 2, designado comúnmente MPLS Capa 2 VPNs Los méritos de evaluación para saber en que capa están basados y que al final de este tema se tratara, pueden ser los siguientes: Tipo de tráfico soportado

127 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Escenarios de conectividad de VPN que se podrían ofrecer al cliente. Escalabilidad. Complejidad del desarrollo. La complejidad del aprovisionamiento del servicio. Complejidad de la administración y de la localización de fallas. Coste de despliegue. Costes de la administración y de mantenimiento VPNs sobre MPLS de capa 3 Este acercamiento confía en tomar datagramas IP del cliente en un sitio dado, se observa la dirección IP del destino en el datagrama en una tabla de envío (VRF 72 ), entonces enviando ese datagrama a su destino a través de la red del proveedor usando un LSP (Label Switch Path). Para que los routers del proveedor de servicio (routers PE) adquieran la información sobre las redes de un cliente, los routers de borde del proveedor (edge routers) intercambian rutas con los routers de borde de los clientes. Por lo tanto, el acercamiento de capa 3 o también llamado BGP/MPLS VPNs esta dentro del modelo par a par de VPNs. Estas rutas que se intercambian los routers de borde del proveedor y los del cliente se propagan a otros routers PE llevando el mismo VPN mediante el uso del border gateway protocol BGP. Sin embargo, nunca se mezclan con los routers del núcleo del proveedor (Routers P). Un router PE, recibe las rutas de un sitio dado de VPN desde otro PE, propaga las rutas a los routers CE del sitio conectado que pertenece a ése el mismo VPN, de modo que el CE también aprenda sobre las redes en sitios remotos. Las VRF son creadas en cada router PE, para separar las rutas que pertenecen a diversas VPNs sobre un router PE. Una tabla VRF es creada por cada sitio conectado al PE, sin embargo, si hubiera múltiples sitios pertenecientes a la misma VPN conectada con el mismo PE, estos sitios deben compartir una simple tabla VRF sobre ese PE. Un sitio que es un miembro de una múltiple VPN no pueden compartidas tablas con otros sitios que no son miembros de exactamente el mismo 72 VRF.- Virtual Routing and Forwarding table, un conjunto de reglas y protocolos de encaminamiento que determina que va dentro de las tablas de envío. 113

128 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) sistema de VPN. Tal sitio debe tener su propia tabla de VRF, que incluye las rutas de todos los miembros de la VPN. Para evitar que un router del PE acepte las rutas de VPNs que no lleva, y por lo tanto, perder sus propios recursos, el uso de comunidades extendidas BGP se ponen a disposición para controlar la distribución de rutas dentro de la red del proveedor. Un atributo esta incluido en la ruta anunciada el cual indica cual VPN pertenecen a esta ruta. Un valor único para este atributo se asigna a cada cliente VPN. Figura 3.23 Concepto BGP/MPLS Fuente: Foundry Networks White Paper En esta figura se muestra los principales conceptos detrás de BGP/MPLS VPNs. Bajo este panorama se observa que, el cliente A sitio 1, pertenecen a la VPN 1 y VPN 2. Las rutas de ese sitio son anunciadas por la conexión del router PE con un RD, sin embargo, con dos atributos de comunidades: uno para VPN 1, el otro para VPN 2. El router PE conectado, también, acepta las rutas de los otros routers del PE, sólo si las rutas tienen valores RD iguales a ese valor de VPN 1 o de VPN 2, puesto que éstos son el único VPNs llevado por este router en este ejemplo. 114

129 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Cuando un PE recibe un paquete con un destino en un sitio remoto, une dos etiquetas de MPLS al paquete para remitirlo a su destino. La etiqueta externa está para el LSP que conduce al BGP. La etiqueta interna es la etiqueta asociada a ese destino, aprendida previamente de una actualización del BGP recibida de un par. El PE, entonces, envía la trama al puerto asociado a ése LSP. La trama conmuta todas las vías al PE remoto, el cual elimina la etiqueta externa y examina la etiqueta interna. La etiqueta interna, en la mayoría de los casos, identifica únicamente el destino, por lo tanto, se elimina la etiqueta interna y el paquete se envía a su destino. Figura 3.24 datagrama IP Fuente: Foundry Networks White Paper MPLS Capa 2 VPNs Las implementaciones de capa 2 para MPLS VPN ofrecen una solución conmutada de capa 2. El acercamiento de capa 2 provee una completa separación entre la red del proveedor y la red del cliente. Ejemplo, no existe ninguna ruta entre los dispositivos del proveedor PE con el de los clientes CE. Por lo tanto este acercamiento sigue el modelo superpuesto de las VPNs. La separación entre la red del proveedor y la red del cliente provee simplicidad. VPNs sobre MPLS de capa 2 provee servicios simulados capaces de llevar tramas de capa 2 del cliente desde un sitio a otro. Esto es realizado de una manera totalmente transparente a los dispositivos del cliente CE. La manipulación de las tramas del cliente de capa 2 permite el proveedor de servicio ofrecer un servicio que es independiente de los protocolos de capa 3 que estén en uso por el cliente. Ejemplo, el proveedor será capas de transportar IPV4, IPV6, IPX, DECNet, OSI, etc. 115

130 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) El acercamiento de capa 2 trata dos problemas de conectividad: Abastecer conectividad punto a punto. Abastecer conectividad multipunto Conectividad punto a punto Para llevar las tramas de capa 2 a través de una nube MPLS, se debe tener el conocimiento de circuitos virtuales (VCs). Un LSP actúa como túnel llevando múltiples circuitos virtuales VCs, mientras que los circuitos virtuales llevan tramas del cliente de capa 2. Un circuito virtual en realidad es otro LSP dentro del túnel LSP original. VCs son unidireccionales justamente como los normales LSPs (Label Switch path). Por lo tanto, para comunicaciones bidireccionales un par de circuitos virtuales en cada dirección son necesitados. Para crear esta jerarquía, una trama encapsulada del cliente que atraviesa la red del proveedor de servicio tiene dos etiquetas unidas él: Una etiqueta perteneciente al túnel LSP que conduce a destino del PE. Esta enllamada Etiqueta del túnel Una etiqueta perteneciente al circuito virtual que lleva las tramas y conduce a un cierto sitio unido al destino del PE. Esta es llamada etiqueta del circuito virtual Figura 3.25 Etiqueta en Ethernet Fuente: Foundry Networks White Paper Los túneles LSPs que están entre los routers PE se podría crear usando cualquier protocolo como RSVP/TE o LDP. Los routers PE intercambian las etiquetas del circuito virtual mediante LDP en modo no solicitado y en sentido descendiente. 116

131 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) En el borde de la red del proveedor, los routers PE encapsulan la trama, une una etiqueta del circuito virtual y una etiqueta del túnel, entonces envía la trama sobre el túnel LSP. En el otro extremo del túnel LSP, el router PE de recepción (POP puntos de presencia), determina que a puerto del cliente debe ir el paquete basado en la etiqueta del circuito virtual, extrae la trama original de capa 2, y lo envía al puerto determinado. Figura 3.26 Túnel LSP con múltiples circuitos virtuales. Fuente: Foundry Networks White Paper Usando este acercamiento, un proveedor de servicio podría ofrecer un servicio que se asemeja a las líneas arrendadas o a Frame Relay PVCs, mientras que usa bloques más baratos en la infraestructura: IP, PoS, Ethernet, etc Conectividad Multipunto Actualmente existen varias propuestas que tratan el problema de conectividad de múltiples sitios en la capa 2. El objetivo es una solución que facilite el transporte de tramas del cliente en esta capa. Para el uso eficiente del ancho de banda de la red del proveedor, una trama se debe enviar solamente a los equipos del proveedor PE que están conectados con el sitio destino siempre que sea posible. Se lo logra conmutando las tramas del cliente basados en su dirección de destino MAC 73. El resultado final es un servicio simple que simula conectar los sitios que constituyen el VPN vía un switch de capa MAC.- Control de Acceso al Medio, Parte de la capa de enlace de datos que incluye la dirección del origen y del destino 117

132 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) El acercamiento popular de implementar esta solución es llamada Servicios LAN privados virtuales (VPLS, virtual private LAN services). VPLS construye la VPN creando un acoplamiento completo de VCs entre los PEs que hace frente a los sitios que hacen la VPN. Hay que notar que los VCs son unidireccionales, por lo tanto, entre cualquier par de PE debe haber un par de VCs para llevar tráfico bidireccional. VPLS confía en LDP para el intercambio de etiquetas del circuito virtual entre los routers del PE. Sin embargo, otros métodos de señalización se podrían utilizar. Identifican al cliente VPNs vía una identificación única de VPN, actualmente, un valor de 32 bits. Los routers PE realizan el aprendizaje de la dirección MAC justo como un switch transparente normal, excepto que lo realizan en las tramas recibidas sobre los VCs. Un router PE mantiene una tabla separada del envío en capa 2 llamadas Virtual Forwarding Instante (VFI), para cada VPN que lleve. Un router PE no aprende todas las direcciones MAC de todas las VPNs llevadas por la red del proveedor solamente las VPNs relacionadas con estos. Los routers P no aprenden ninguna dirección MAC, ellas apenas realizan la conmutación de la etiqueta. La siguiente figura (Fig. 3.27) ilustra los conceptos básicos detrás del acercamiento de VPLS. 118

133 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Figura 3.27 conceptos básicos detrás del acercamiento de VPLS. Fuente: Foundry Networks White Paper Bajo este panorama se observa que, el cliente A sitio 1, pertenece a la VPN 1 y VPN 2. Para separar el tráfico que pertenecía a cada VPN, el sitio de cliente se podría conectar con el router del PE usando dos enlaces de acceso, uno para cada VPN. Alternativamente, tráfico que pertenece a ambas VPNs podría ser multiplexado sobre el mismo enlace de acceso usando dos diversas VLAN ID una para cada VPN. En contraste con el acercamiento capa 3, la tarea de controlar las rutas que consiguen cada de VPN demanda responsabilidad del cliente, puesto que los routers del PE no manejan ninguna ruta del cliente. Puesto que VPLS se basa en MPLS, este nivela las capacidades de protección al tráfico MPLS para implementar un servicio tolerante a fallos. También, puesto que VPLS confía en un acoplamiento completo de VCs para un VPN dado, es decir, cada PE podría alcanzar cualquier otro PE dentro de un VPN en exactamente un salto sin ningún tránsito de PEs, los VPLS PEs aplican una regla para el envío de tramas del diente: Si una trama del cliente es recibida sobre un VC dentro de un VPN, esa trama se podría enviar solamente a un sitio de cliente que este unido, no de nuevo al mismo VPN. 119

134 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Esta simple regla junto con el acoplamiento completo de la topología de direcciones VCs trata de evitar un lazo sin usar STP. Evitando el uso de STP permite que los routers PE no tengan problemas de escalabilidad encontrados comúnmente en las redes puras de capa Comparación de MPLS capa 2 y MPLS capa 3. Con lo dicho anteriormente se podría ver que cada acercamiento tiene sus fuerzas y sus debilidades. Una sabia opción debe considerar esas fuerzas y debilidades, además de los requisitos actuales y futuros, la infraestructura existente, y los costes implicados. Tipo de tráfico soportado Es claro que el acercamiento de capa 3 solamente ofrece transporte de tráfico IP. Por el otro lado MPLS de capa 2 permite transportar cualquier paquete de protocolo de capa 3 como IPV4, IPV6, IPX, DECNet, OSI, etc. Escenarios de conectividad Para ambas capas pueden implementar específicamente los siguientes escenarios de conectividad: 1. Punto a punto, 2. Hub and Spoke (Estrella) 3. Acoplamiento parcial 4. Acoplamiento total. 5. Overlapping VPNs. MPLS capa 3 realiza las implementaciones 1, 4, 5 en una forma transparente para los equipos del usuario CE. Sin embargo los escenarios 2 y 3 se los realiza y puede ser más complicado realizar. MPLS capa 2 se realiza las implementaciones 2 y 3 mediante circuitos virtuales, sin embargo se pueden realizar todas los demás escenarios. 120

135 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) Escalabilidad Cuando se considera la escalabilidad de una solución de capa 3 VS capa 2, se puede encontrar similaridades. Un factor limitante es el número de LSPs y/o VCs que pueden ser soportados por un LSR dado. Otro factor a considerar es los archivos de configuración. Para una solución Capa 3, el número máximo de las rutas que se podrían almacenar en un PE dado es también factor a considerar, debido al hecho que un router del PE almacena las rutas de todo las VPNs que lleva. Despliegue El despliegue de una solución capa 3 requiere generalmente un alto extremo LSRs capaces de manejar encaminamiento múltiple y las tablas de envío en borde del proveedor. También requiere que el BGP sea instalado en estos routers. Una solución de capa 2 requeriría típicamente routers del PE más simples y sin el requisito del tener sesiones BGP instaladas entre el PEs. Para los proveedores de servicio que no confían en el BGP la solución capa 2 puede ser más atractiva. Sigue habiendo el uso del BGP para VPN que señala entre el PEs como primera opción al abastecedor, en caso de que hagan el BGP desplegar y lo quisieran ya aprovecharse de él. Como en el caso de la capa 3, LSPs entre el PEs tiene que ser instalado para el tráfico que lleva a partir del un PE al otro. Aprovisionamiento del servicio Para una solución capa 3, el aprovisionamiento del servicio requeriría claramente diseñar la encaminamiento para la topología específica de VPN pedida por el cliente. Esto significa diseñar VRFs que van a contener las rutas del cliente, y decidir sobre cómo las comunidades de RDs y de Route Target van a ser asignadas. El aprovisionamiento de VPN en una solución capa 2 es más simple. Cada router del PE que lleva la VPN necesita conocer el otro PEs para establecer VCs entre ellos, para formar el VPN deseado. Entonces los puertos del PE conectados con los sitios de cliente son trazados a la VPN. Administración y mantenimiento Al manejar una solución capa 3, haciendo cambios de configuración, o localizando problemas de fallas, los ingenieros del proveedor de servicio se estarían ocupando 121

136 Capítulo 3. Análisis Comparativo de tipos de Redes Virtuales Privadas (VPN) principalmente de sesiones BGP, rutas BGP con diversas comunidades extendidas, de su propagación, y de la selección del PE, etc. También, el tratar de una gran cantidad de rutas que pertenecen a la tabla de encaminamiento múltiple y de la de envió, además de la tabla global es ciertamente más exigente que tratar con una sola tabla. Finalmente, los archivos de la configuración en los routers del PE podrían crecer tan grandes que hace más difícil de configuración. Una solución capa 2 es más simple puesto que el abastecedor no conserva ninguna rutas de cliente, controlar su distribución, o a par con cualquier rebajadora del CE del cliente. También, puesto que el BGP no se requiere, administración y localización de fallas. Costos Comparando los costes de despliegue, es más probable que una solución capa 3 cueste levemente más que una solución capa 2, debido al hecho que la capa 3 confía en routers más sofisticados capaces de dirigir VRFs múltiples. Los costes de la administración y de mantenimiento de una solución dada se relacionan directamente con la complejidad de esa solución. Una solución capa 3 es más probable costar más debido a su complejidad más alta. La complejidad de la solución exige cierto nivel de los conocimientos técnicos, y se puede traducir a más horas de trabajo requeridas para lograr cualquier tarea relacionada con la solución. 122

137 Capítulo 4. Diseño De Solución VPN Para La PUCE. CAPITULO 4 4. DISEÑO DE SOLUCIÓN VPN PARA LA PUCE 4.1 Introducción En el presente capítulo se hará un análisis de requerimientos, se detallarán los aspectos del diseño de la solución VPN para la PUCE-Q, se conocerá su funcionalidad y se demostrará que la solución escogida es la mejor frente a otras alternativas. Es necesario que nuestra Universidad esté acorde a las tendencias de comunicación actuales, sea por ello que mediante el uso de Redes Privadas Virtuales (VPN) se podrá brindar un servicio más a toda su comunidad (profesorado, administrativos, estudiantes). Los beneficios que otorgará la implementación de dicho servicio, son amplios ya que facilitará a los usuarios remotos conectarse a la red Intranet y hacer uso de todos los recursos disponibles que posee la red Interna de la. 4.2 Descripción de requerimientos La Dirección de Informática de la en su afán de mejorar los servicios de comunicación a sus usuarios requiere la resolución de los problemas de comunicación de su institución específicamente en la movilidad de sus usuarios. Esta solución debe contar con la seguridad respectiva contra elementos externos que puedan interferir en el buen funcionamiento de la institución. Se requiere la interconexión de los usuarios con la Intranet ya establecida de la Universidad y entre ellos mismos, posibilitando la capacidad a todos ellos de conectarse en cualquier momento y en cualquier lugar de Ecuador o del Mundo. Así también poder acceder a los datos permitidos del servidor central y/o a cualquier elemento conectado a él, tales como ordenadores de la red LAN, otros usuarios remotos conectados a la red, impresoras remotas, faxes, etc. 123

138 Capítulo 4. Diseño De Solución VPN Para La PUCE. El servicio VPN permite al usuario remoto acceder a los servicios de la red como si se estuviera dentro de la propia red. De los cuales podemos resaltar algunos que serían de gran utilidad para la universidad. La VPN se podría usar para: Leer y enviar correo. Usar TELNET y SSH. Acceder a bases de datos. Revistas electrónicas de biblioteca, sumarios electrónicos (en el caso de que la Universidad lo implementara). Documentos Web. Casos especiales como trabajo de grupo de Windows, VNC, escritorio remoto. Zonas de FTP. 4.3 Objetivos Conocer la infraestructura que posee la PUCE Quito como fuente de información para el desarrollo del diseño VPN. Analizar y diseñar la mejor solución VPN para la Universidad tomando en cuenta el estudio realizado capítulos anteriores y así proporcionar movilidad a sus usuarios. 4.4 Alcance Nuestro trabajo está limitado al análisis y diseño de una Red Privada Virtual para la PUCE-Q. El trabajo abarca el estudio del proyecto, el análisis y finalizará con el diseño de la VPN para la universidad. 4.5 Recopilación de información A continuación se presenta información detallada de la infraestructura de comunicación que posee actualmente la Universidad, servicios que prestan y sus equipos. 124

139 Capítulo 4. Diseño De Solución VPN Para La PUCE Antecedentes La Pontificia Universidad Católica dentro de sus servicios de comunicación brinda el servicio RAS (Remote Access Service). Este servicio tiene alrededor de 600 usuarios, tiene 4 líneas E1 contratadas, cada E1 admite 300 usuarios. Con este servicio tienen el acceso a los servidores de Internet y FTP. Sin embargo, no cuenta con el acceso a la Intranet para estos usuarios Inventario Modelos de servidores y servicios que prestan Figura 4.1 Modelos de servidores PUCE Fuente: Dirección de Informática PUCE Cantidad Servidor Modelo 7 IBM X series Compaq DL Compaq ML Compaq DL 580 G2 1 Compaq Compaq 6400R 1 Compaq Sun V240 1 Sun V440 Servidores controladores de dominio: Servidor donde se encuentran los usuarios y demás recursos de la red y sus permisos (Base de Active Directory). Servicios adicionales: DNS, DHCP, WINS. Servidor de archivos. Servidor Proxy para acceso a Internet. Servidor de correo de administrativos y docentes. Servidor de correo de estudiantes. Servidor de sistema de RR.HH. Servidor de sistema académico. 125

140 Capítulo 4. Diseño De Solución VPN Para La PUCE. Servidor de sistema financiero. Servidor de Terminal Server. Servidor de administración de backups. El software utilizado es BrightStor. La unidad de tape que se tiene para generación de los backups es una IBM Servidor Web. Servidor de Intranet. Servidor de aulas virtuales Equipos de comunicación LAN Los equipos de comunicación de la red LAN de la Universidad son de marca 3Com y se cuenta con los siguientes modelos: Switch 4007, es el equipo central de conectividad. Como equipos de borde se cuenta con switches 4400 Como equipos finales se tiene Switches 4250T, 4226T, 4228G, 3300, PS HUB 40 y hubs office connect Plataformas de Sistema Operativo Windows 2000 Advanced Server. Linux Red Hat 7.x y superior. Solaris Acceso a Internet El Acceso total entre la PUCE e IMPSAT es de 4 MBPS en dos canales de 2048 KBPS. El esquema de ruteo es de acceso balanceado, con una velocidad de 1.5 MBPS por canal (Canal internacional). El exceso de 512 Kbps por canal (1 MBPS TOTAL) se utiliza para el acceso a contenido NACIONAL (Nap Ecuador, red Nacional IMPSAT). Por tener dos medios de acceso independiente (Radio y Cobre), con diseño de ruteo balanceado, los enlaces son BACKUP ACTIVO uno del otro. 126

141 Capítulo 4. Diseño De Solución VPN Para La PUCE Diagramas de la Red PUCE La siguiente figura muestra el backbone de la red LAN de la PUCE. Figura 4.2 Backbone de la red LAN PUCE Fuente: Dirección de Informática PUCE 127

142 Capítulo 4. Diseño De Solución VPN Para La PUCE. El gráfico dos muestra un esquemático de la conexión LAN, WAN, DMZ (Zona Desmilitarizada). Figura 4.3 Esquemático de la conexión LAN, WAN, DMZ. Fuente: Dirección de Informática PUCE 4.6 Análisis de Factibilidad Propósito del Estudio de Factibilidad El propósito principal del presente estudio de factibilidad, es determinar cuan factible es la realización de VPN (Redes Privadas Virtuales) para la Pontificia Universidad Católica del Ecuador Sede Quito. Este estudio trata de mostrar todas las facilidades e inconvenientes que posee la Universidad para la realización del proyecto. Una vez realizado el análisis se estará en la posibilidad de establecer la solución más adecuada y conveniente para la institución. 128

143 Capítulo 4. Diseño De Solución VPN Para La PUCE Factibilidad Operacional La Sede Quito, a través de su Dirección de Informática busca brindar soluciones eficaces a toda su comunidad, es por ello que con este afán ha desarrollado y esta brindando un sinnúmero de servicios como Internet, Intranet, VLANS, RAS, etc. Este servicio propuesto de VPN (Virtual Private Networks) sería de utilidad para la Universidad ya que ayudaría de gran manera para solucionar el problema de comunicación entre usuarios remotos y por ello la Dirección de Informática de la PUCE-Q ha brindado su apoyo para llevar adelante el presente proyecto. La Universidad con este nuevo servicio gozará de una nueva manera de interconexión entre sus usuarios (administrativos, estudiantes, profesores) para el fin que ellos necesiten. La productividad de la Red Local aumentará, y esto se podrá ver reflejado en los resultados que puedan obtener los usuarios, ya que sacarán mayor provecho de dicha red, y podrán usar los recursos necesarios cuando lo requieran. Cabe recalcar que el presente proyecto no afectará a los usuarios o clientes actuales de la Red Local de la PUCE-Q, dado que el servicio se manejará independientemente, ocupará sus propios recursos y no influirá el rendimiento de la misma. En cuanto a la administración y control de la VPN PUCE-Q estará a cargo de los técnicos del área de Redes de la Dirección de Informática, ya que ellos serán los responsables de manejar de acuerdo a sus políticas el uso de los recursos por parte de los usuarios remotos. El gran beneficio de lo propuesto, es la facilidad de acceso y la seguridad con la que se manejará la información, lo que es muy útil cuando se requiere usar información restringida o privada. 129

144 Capítulo 4. Diseño De Solución VPN Para La PUCE Factibilidad Económica Una de las principales razones que empujaron a adoptar la solución en ese sentido es, fundamentalmente de costos. Resulta mucho más barato interconectar a los usuarios utilizando una infraestructura pública que desplegar una red físicamente privada, también abaratará los costes en facturas telefónicas debido a que las tarifas de conexión a Internet usualmente son sensiblemente más baratas (ejemplo ANDINANET) que las de las llamadas directas. La siguiente tabla muestra los requerimientos para la implementación de la VPN en la PUCE, así también, como la disponibilidad de estos. Tabla 4.1 Requerimientos para VPN PUCE. Requerimiento Disponibilidad Máquina para Servidor 2 Tarjetas de Red Conexión a Internet (IP Fija) Firewall Servidor de Autenticación (con RADIUS) S.O. Windows x Server. Autores: Viteri Sebastián, Orbe Fredy Factibilidad Técnica Actualmente la cuenta con los requerimientos básicos con respecto a tecnología, es decir tanto los dispositivos físicos (hardware) como lógicos (software) están disponibles y siendo usados; y hay gran variedad de ellos, (como se lo detalló anteriormente en el inventario realizado). También la institución cuenta con personal calificado para el desarrollo y administración del presente proyecto. Para la administración de la VPN se necesita una persona que sea responsable de cumplir las tareas de administración y monitoreo de la VPN, así como su seguridad (Antivirus, actualizaciones del servidor) y el control de usuarios (listas de usuarios, concesión de permisos). En conclusión el proyecto es técnicamente viable de parte de la Universidad. 130

145 Capítulo 4. Diseño De Solución VPN Para La PUCE. Por los requerimientos al cliente solamente es necesario que el usuario posea un Computador con acceso a Internet, y con la debida configuración de conexión a la VPN de la PUCE-Q, por lo que por parte del usuario el proyecto también es viable. 4.7 Diseño de la solución La solución que se ha adoptado es la de una VPN de acceso remoto. Con esta VPN se implementará una nueva forma en que los académicos, estudiantes y profesionales de la puedan conectarse desde su hogar a los servicios que tiene nuestra casa de estudios y cuyo acceso ha estado tradicionalmente circunscrito a computadores instalados dentro de la red universitaria. Según el requerimiento de la Universidad y de lo analizado se puede afirmar que la clasificación a la solución VPN adoptada es: Según el alcance de la VPN para la organización. Acceso Remoto, obviamente el diseño es de acceso remoto ya que ofrece la conectividad a los usuarios desde una gran distancia de ubicación. Un sistema de clientes remotos se conecta a unos dispositivos de acceso de red, como puede ser servidor de red o un concentrador de acceso mediante Internet. Según el modelo de implementación (según el punto de terminación). Superpuesto (Overlay), esto es simplemente por que son basadas en los equipos del cliente CE. Este modelo se despliega a través de una infraestructura compartida del proveedor de servicio que en este caso será Internet. El proveedor de servicio no tiene ningún conocimiento de las rutas del cliente y es simplemente responsable de proporcionar el transporte de datos punto a punto entre los sitios de cliente. Según el tráfico de cliente transportado. 131

146 Capítulo 4. Diseño De Solución VPN Para La PUCE. VPN de capa 3, Esta VPN esta basada en el protocolo de Internet IP, permite a la Universidad tomar ventaja de la flexibilidad y ubicuidad de Internet, para una comunicación segura. El Internet es un punto importante con el que se va a trabajar, dado que en este caso es el medio público que la tecnología VPN usará para comunicar los datos privados entre los usuarios y la Intranet propia de la universidad. Se necesita un protocolo de túnel para el funcionamiento de la VPN, mediante el cual se puede tener acceso de forma segura a los recursos de la red universitaria al conectarse con un servidor de acceso remoto VPN a través de Internet. En este caso de la Universidad se utilizara el protocolo PPTP (point to point tunneling protocol). Este tendrá las funciones de encriptación, encapsulamiento y la creación del túnel privado a través del Internet. Con la utilización del protocolo PPTP se reducirá las responsabilidades de gestión de la red local LAN. PPTP trabaja de la siguiente manera: Encapsulado de tramas PPP en datagramas IP, utilizando una versión extendida del GRE (protocolo IP 47). La conexión de control se realiza sobre TCP, puerto Es necesario también el uso de un servidor VPN para las conexiones, los clientes se conectan a Internet, llaman al servidor y se enlazan mediante éste a la Intranet de la universidad. Existe una gran ventaja en el acceso remoto VPN, el acceso es único al nodo central de la universidad. También dado que la Universidad tiene un servidor de autenticación en una zona privada, se hará uso de éste para la autenticación de los usuarios VPN. A continuación veremos en detalle el diseño de la solución. 132

147 Capítulo 4. Diseño De Solución VPN Para La PUCE. 4.8 Factores que deben considerarse al momento de diseñar una VPN Para distribuir una solución VPN a la Universidad, se realizará un análisis y una toma de decisiones acerca de su diseño teniendo en cuenta lo siguiente: Usuarios, este factor cabe dentro del simple concepto, a quienes va dirigido el servicio. Es decir, para el diseño de la red VPN se debe considerar a los usuarios que harán uso de este servicio, así también como el control, gestión, condiciones y permisos de éstos. Equipos, para la puesta en marcha de la VPN son necesarios algunos equipos de comunicación especializados. Este factor es imprescindible y obligatorio en el diseño de la VPN. Software, la utilización de programas específicos de VPN son necesarios para hacer la conexión, la administración de protocolos de túnel, gestión de seguridades, etc. Arquitectura, se detalla la arquitectura de la red Configuraciones, los puntos claves de la configuración de la red. Seguridades, este factor es uno de los más importantes en el diseño, aquí entra todo lo referente a la seguridad de las conexiones VPN, y por supuesto la seguridad de la Intranet de la universidad. Administración y personal de control, la red VPN debe ser administrada, se debe contar con personal capaz de monitorear, dar soporte y administrar con responsabilidad la red. Diagrama para la implementación, se presenta un diagrama de flujo para la implementación Consideraciones En el sitio Web de la Universidad se pondrá a consideración información sobre este servicio, desde información general, configuraciones de los clientes, leyes y sanciones, hasta el soporte a usuarios. Este servicio solo debe usarse con conexiones externas a la red de la Universidad, es decir, no tiene sentido para los usuarios RAS de la Universidad que llamen al servicio de acceso remoto VPN. Estos usuarios 133

148 Capítulo 4. Diseño De Solución VPN Para La PUCE. cuando se conectan ya tienen direccionamiento de la red y pueden acceder (si son permitidos) a los mismos recursos que mediante conexiones VPN. Otra consideración es que con VPN en vez de discar a un MODEM conectado al servidor RAS, los usuarios se conectan a su proveedor de Internet y luego llaman al servidor VPN a través de Internet utilizando PPTP. También, únicamente se permitirán los túneles iniciados desde Internet. No se permiten los túneles iniciados desde la Intranet. Aquellos usuarios de la Universidad que necesiten tener acceso a Internet desde la Intranet deben pasar por el servidor Proxy donde se controla y supervisa el acceso a Internet Usuarios La Universidad consta con tres tipos diferentes de posibles usuarios que pueden acceder a este servicio, aproximadamente estudiantes, 650 administrativos y 870 docentes. No todos estos usuarios pueden acceder al servicio, el manejo de los usuarios en este sentido se lo realizara mediante pedido, es decir que el usuario que necesite el servicio VPN debe solicitar el consentimiento de la Dirección de Informática. La Dirección de Informática estudia el caso de petición, y en caso de aceptar concede el pasaporte e ingresa al nuevo usuario en el sistema de listas, en el servidor de autenticación con los atributos y permisos que crea convenientes. Es decir, las cuentas son personales, el uso de ellas es solo y exclusivamente responsabilidad del propietario de la misma. Para que un usuario pueda ingresar a la red se necesita: Estar matriculado. Contar con correo electrónico (usuario@puce.edu.ec). El usuario debe poseer acceso a Internet a través de cualquiera de los proveedores comerciales existentes. Tener el software necesario para la conexión. 134

149 Capítulo 4. Diseño De Solución VPN Para La PUCE. Pedir mediante solicitud a la Dirección de Informática un pasaporte para que pueda acceder a este servicio. La Universidad se reserva el derecho de admitir o no a esta persona. El siguiente gráfico muestra un esquema de cómo un cliente ingresa a la red de la Universidad Católica por medio de Internet. Figura 4.4 Esquema cliente LAN Universitaria Autores: Viteri Sebastian, Orbe Fredy. Los usuarios que acceden a Internet por medio de un proveedor de servicios de Internet distinto al de la Universidad, podrán conectarse a la red corporativa de la PUCE de manera segura, de forma que puedan utilizar los servicios y recursos que ésta concede a sus usuarios. Estos usuarios serán aquellos que dispongan en sus casas ADSL, cable MODEM o incluso MODEM. Un usuario que ya está conectado a Internet utiliza una conexión VPN para marcar el número IP del servidor de acceso remoto. Este tipo de usuarios básicamente se distinguen en que la conectividad IP se establece inmediatamente después de que el usuario inicie el equipo, es decir que el usuario adquiere una dirección IP de Internet. El controlador PPTP establece un túnel a través de Internet y conecta con el servidor de acceso remoto habilitado para PPTP. Después de la autenticación, el usuario puede tener acceso a la Intranet con total funcionalidad. 135

150 Capítulo 4. Diseño De Solución VPN Para La PUCE Equipos Servidor VPN Para que los usuarios puedan acceder a la Intranet de la Universidad desde fuera, el servidor VPN debe estar conectado permanentemente a Internet y además debe tener una dirección IP fija, este no es un problema para la Universidad dado que tiene un acceso total entre PUCE e IMPSAT es de 4 MBPS en dos canales de 2048 KBPS. El servidor estará conectado a la red LAN con una tarjeta de red. En la máquina servidor se instalará el paquete Windows 2000 Advanced Server el cual incluirá el servicio de servidor de acceso remoto VPN y el protocolo necesario para la conexión (PPTP). Para establecer la comunicación VPN necesitamos que el servidor VPN sea accesible por los puertos 1723 TCP y el protocolo GRE (o en su defecto el puerto 47 UDP). Por tanto debemos configurar tanto el router como los servidores de seguridad o firewall que se pueda tener instalados en el servidor para permitirlo. Cada router o firewall tendrá sus procedimientos propios, y estos no serán objeto del presente trabajo. Máquina del cliente VPN El equipo del cliente consta de cualquier computador con el paquete de Windows (XP preferiblemente) instalado, con conexión a Internet. Un cliente de acceso remoto realiza una conexión VPN mediante la creación de una conexión de acceso telefónico a redes, la cual incluirá la dirección de Internet de la red local de la Universidad, el protocolo (PPTP) y software necesarios para realizarlo, estos están incluidos en el paquete de Windows XP. 136

151 Capítulo 4. Diseño De Solución VPN Para La PUCE. El cliente estará conectado a la red local de la Universidad y aparecerá como un usuario más de la misma, con los mismos privilegios y recursos disponibles, sin importar en qué lugar del mundo se encuentre Software Aprovechando que dentro de los sistemas operativos de Microsoft se encuentra los protocolos de hacer túnel y específicamente se encuentra el PPTP, no se necesitará para la conexión VPN, nada más que los sistemas operativos: Windows 2000 advance server, para el Servidor VPN de la Universidad (La Universidad cuenta con esta plataforma) Win9x, Me, NT, 2000, XP así como Mac OS-X, Linux, como sistema operativo para el cliente. Estos deben tener incorporado el protocolo PPTP o bajarse el parche para cada uno. Así mismo las configuraciones deben estar acorde con lo requerido por el servidor Arquitectura Un cliente necesita la conexión de Internet mediante un proveedor de servicio de Internet ISP, este le da la conexión a Internet. Ya en Internet y mediante la conexión VPN se crea el túnel que simula una conexión punto a punto entre la maquina del cliente y la Intranet. La computadora cliente se verá como una máquina más dentro de la red, podrá hacer uso de los servicios y recursos permitidos en la red, como la siguiente figura lo muestra. 137

152 Capítulo 4. Diseño De Solución VPN Para La PUCE. Figura 4.5 Esquema de conexión del cliente Autores: Viteri Sebastian, Orbe Fredy. Para tener acceso a la red completa se debe realizar una configuración completa del servidor. La mayoría de las organizaciones hoy día protegen sus instalaciones mediante firewalls, la Pontificia Universidad Católica no es la excepción. Para la puesta en marcha de la VPN es imperativo el uso de un firewall. Estos dispositivos deben configurarse para que permitan pasar el tráfico VPN (tráfico PPTP, L2TP e IPSec) y no permitan el tráfico de Internet. Como ya lo hemos mencionado, habilitando los puertos TCP: 1723 y el Protocolo IP: 47 (GRE). En la siguiente figura se muestra la configuración típica, donde el servidor VPN está colocado detrás del firewall, esto se puede dar en la zona desmilitarizada (DMZ) o en la propia red interna. Figura 4.6 Ubicación del Servidor y firewall Autores: Viteri Sebastian, Orbe Fredy. 138

153 Capítulo 4. Diseño De Solución VPN Para La PUCE. Cuando un cliente pide una conexión VPN al servidor central, el servidor VPN lo envía, pasando por el firewall, a un servidor de autenticación que dispone la Universidad con RADIUS, éste lo autentica. A partir de que el usuario fue correctamente autenticado se reciben paquetes del cliente, el servidor desencapsula y desencripta los paquetes y, a continuación, los coloca en la red. Cabe decir que el tráfico que no se pueda autenticar, será rechazado por el firewall. El esquema general de la red es el indicado por la siguiente figura: Figura 4.7 Arquitectura General de la red VPN Cliente VPN Internet Router INTRANET Universitaria DMZ Zona desmilitarizada Firewall Servidor VPN Servicios Servidor de Autenticacion RADIUS Autores: Viteri Sebastian, Orbe Fredy. 139

154 Capítulo 4. Diseño De Solución VPN Para La PUCE Configuraciones 74 Se puede configurar un servidor que permita a los usuarios remotos tener acceso a los recursos de una red privada mediante conexiones de acceso telefónico o de red privada virtual (VPN). Este tipo de servidor se denomina servidor VPN de acceso remoto Configuración del servidor VPN Consideraciones antes de la configuración del servidor VPN El sistema operativo debe estar configurado correctamente. La VPN de acceso remoto depende de la configuración adecuada del sistema operativo y sus servicios para optimizar el rendimiento y la seguridad. Este equipo dispone de dos interfaces de red, una con conexión a Internet y otra con conexión a la red privada. La conexión a Internet debe ser una conexión dedicada con suficiente ancho de banda para que los usuarios de VPN puedan conectarse a la red privada. La conexión de equipos a la red privada se debe realizar mediante un dispositivo de hardware, por ejemplo, un adaptador de red. Se tienen que haber instalado todos los protocolos necesarios para las interfaces de red. El Firewall de Windows tiene que estar deshabilitado, dado que en el servidor se configurara la característica servidor de seguridad básico de enrutamiento y acceso remoto durante la instalación. No se tendría en cuenta el servidor DHCP en la red privada, el servidor VPN de acceso remoto puede generar y asignar direcciones IP a los clientes remotos de forma automática de un pool de direcciones. Se determinará que las solicitudes de conexión de los clientes VPN se autentiquen mediante un servidor de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). 74 Las direcciones IP que se presentarán son ficticias por seguridad de la red de la Universidad. 140

155 Capítulo 4. Diseño De Solución VPN Para La PUCE. Configuración: El equipo servidor VPN se configura de la siguiente manera: Configuración de la red, los elementos claves son: o La Intranet de la Universidad utiliza las direcciones con la máscara de subred El equipo servidor VPN está conectado a Internet las 24 horas a través IMPSAT. o La dirección IP fija de Internet se supondrá que será la En Internet se alude a la dirección IP mediante el nombre de dominio vpn.puce.edu.com. o El equipo servidor VPN está configurado con una dirección IP estática, con el fin de asignar clientes de acceso remoto. Figura 4.8 Configuración del servidor VPN Intranet Internet PC PC Servidor VPN PC Autores: Viteri Sebastian, Orbe Fredy. Procedimiento: El equipo servidor VPN se configura de la siguiente manera: 1. Se instala el hardware en el servidor VPN. Se instalará el adaptador de red utilizado para conectar al segmento de Intranet, y otro adaptador de red para la conexión a Internet siguiendo las instrucciones del fabricante de ambos adaptadores. 141

156 Capítulo 4. Diseño De Solución VPN Para La PUCE. 2. Configuración TCP/IP en los adaptadores LAN y WAN. Para el adaptador de red de área local LAN se configura la dirección IP con la máscara de subred Para el otro adaptador de Internet, se configura la dirección IP con la máscara de subred Para ninguno de los dos elementos se configurará una puerta de enlace, o gateway, predeterminada ya que no es necesario tener una puerta de ese estilo, porque la función de salida externa lo hará la misma tarjeta de red. También se configurarán las direcciones de servidor DNS y WINS para tener esos servicios disponibles al alcance del Servidor VPN. 3. Instalación del servicio de enrutamiento y acceso remoto. Se desea que el servidor VPN de acceso remoto asigne direcciones IP dentro de un intervalo. Para determinar dicho rango se ejecutará el asistente para la instalación del servidor de enrutamiento y acceso remoto. Cuando el asistente finalice, se habrá configurado un conjunto de direcciones IP estáticas con la dirección IP inicial y la dirección IP final Para más información consulte los anexos A y B. 4. Aumentar el número de puertos PPTP. De forma predeterminada, únicamente cinco puertos PPTP están habilitados para conexiones VPN. El número de puertos PPTP aumenta hasta 253. Esto quiere decir que puede haber un máximo de 253 usuarios conectados al mismo tiempo. Ver el anexo C para mayor información. 5. Limitación de las conexiones VPN provenientes de usuarios de Internet Para ayudar en la configuración de directivas de acceso remoto que limiten las conexiones VPN provenientes de usuarios de Internet, las propiedades de puerto para los dispositivos minipuerto WAN (PPTP) se modificarán con la dirección IP de la interfaz de Internet ( ) del servidor VPN en el campo Número de teléfono para este dispositivo. Ver anexo D. 142

157 Capítulo 4. Diseño De Solución VPN Para La PUCE. 6. Configuración de filtros de paquetes PPTP Para evitar que el servidor VPN envíe o reciba tráfico en su interfaz de Internet, excepto el tráfico PPTP o proveniente de clientes de acceso remoto, se configurarán PPTP sobre filtros de entrada y salida en la interfaz de Internet. Debido a que el enrutamiento IP está habilitado en la interfaz de Internet, si no se configura esto en la interfaz de Internet del servidor VPN, todo el tráfico recibido en esta interfaz se enrutará y es posible que se reenvíe tráfico no deseado a la Intranet. Para obtener más información, consultar los procedimientos "Agregar filtros de paquetes PPTP" en el anexo E Configuración del cliente VPN Se va a configurar una conexión cliente desde VPN con el simple hecho de ejecutar el asistente para conexiones nuevas, aquí se debe ingresar el IP que hará referencia a la IP fija del servidor, y el uso de el protocolo de túnel ya establecido. También se puede usar opciones avanzadas para configurar firewall o para hacer cambios en la configuración del cliente VPN. Para ver una configuración típica ver anexo F Seguridades Al momento de diseñar una VPN se debe estar consciente de las ventajas que va a aportar a la organización, sin embargo, es importante considerar los riesgos que estas facilidades implican en caso de no adoptarse las medidas necesarias al implantar una VPN segura. A continuación se detallarán medidas que la Universidad puede tomar para garantizar la privacidad e integridad de los datos. Control de acceso y autenticación, el control de acceso se lo va a realizar utilizando un Firewall así también como un sistema de autorización que será el servidor de autenticación; de esta manera se aplican políticas de acceso a determinados sistemas y aplicaciones de acuerdo al tipo de usuarios o grupos de usuarios que los acceden. 143

158 Capítulo 4. Diseño De Solución VPN Para La PUCE. El uso de contraseñas es un nivel adicional de seguridad, pero no es el más adecuado, ya que carecen de los niveles de seguridad necesarios debido a que son fácilmente reproducibles, pueden ser capturadas y realmente no autentican a la persona. Cifrado, con la instalación de sistemas de cifrado propios del protocolo de túnel PPTP (point to point tunneling protocol) en el ordenador del usuario remoto y en el servidor de la universidad, Internet, que es una red pública, se convierte de manera virtual en una red privada, ya que aunque el acceso indebido a las trasmisiones sea posible, la interpretación de los datos transmitidos no lo será. Virus, sea cual fuere el sistema de conexión, no se puede olvidar que en las computadoras remotas puede haber muchos elementos que no están controlados por los administradores de red y pueden no cumplir las políticas de seguridad establecidas por la universidad. Y, lo que es peor, en muchos casos, los usuarios de estos ordenadores desactivan las medidas de seguridad (antivirus, firewall, etc.) para obtener un mejor rendimiento y en poco tiempo, los códigos maliciosos 75 se apoderan del sistema. Cuando el computador infectado se conecta de nuevo a la red universitaria, a través de una conexión remota, el peligro de propagación de esos códigos maliciosos instalados en el ordenador es muy alto. Así que es necesaria la utilización de un firewall, como también la de un antivirus para contrarrestar el peligro de que el virus ingrese a la red. Hackers, otro peligro que suele plantearse es el problema de la posible intercepción de la comunicación entre la oficina y el usuario remoto, La sola posibilidad de que un hacker pudiera hacerse con, por ejemplo, un plan estratégico, haría temblar a los directivos de cualquier empresa. No hay manera de evitar al 100% que una conexión sea interceptada, cualquier usuario de una comunicación (sea postal, telegráfica, , etc.) lo sabe. Por ello como ya se ha mencionado, se establecen sistemas de cifrado que hagan incomprensible la información a 75 Hardware, software o firmware que es intencionalmente introducido en un sistema con un fin malicioso o no autorizado. 144

159 Capítulo 4. Diseño De Solución VPN Para La PUCE. aquellos que no están implicados. Gracias a estos sistemas, puede asegurarse que aunque alguien pueda llegar a acceder a los datos transmitidos, éstos van a ser ininteligibles. Sistema de chequeo, la comprobación de los niveles de seguridad que debe cumplir el equipo remoto que desea conectarse a la red corporativa debe ser lo más amplia posible. Puede ocurrir que la política de seguridad en la Universidad exija que el usuario tenga instalado el antivirus "X", y con una actualización "Y". Pero si el usuario remoto está estableciendo la conexión con su sistema particular, es posible que el antivirus sea completamente distinto y con requisitos de actualización distintos. Aunque el sistema sea seguro desde un punto de vista objetivo, no estará cumpliendo con la política de seguridad de la universidad. La solución para estos casos necesita de un sistema de chequeo de la seguridad remota de una manera amplia, admitiendo que hay sistemas de seguridad distintos y que cualquiera de ellos puede ser utilizado por un usuario remoto. Si la comprobación de la seguridad se lleva a cabo con miras amplias eso sí, sin disminuir los niveles exigibles, se flexibilizará la libertad de los trabajadores sin mermar las exigencias de seguridad. Sin duda, es necesario establecer un sistema de chequeo del status de seguridad de los equipos remotos conectados mediante VPN a la red. Y el chequeo debe ser percibido por el usuario remoto como una ayuda a la seguridad general, no como una imposición y además, debe hacerse con suficiente amplitud como para abarcar productos y sistemas de seguridad no corporativos, sino elegidos por el usuario remoto en su ámbito doméstico. De esta manera, todos los implicados en la conexión a través de una VPN aumentarán su seguridad de una manera realmente efectiva. Más seguridad, se podría considerar el uso de certificados digitales, estos garantizan la autenticación de los elementos remotos que generan el túnel y elimina el problema de la distribución de claves. Implantar un sistema PKI (Infraestructura de Clave Pública) para emitir los certificados digitales, permite tener el control absoluto de la emisión, renovación y revocación de los certificados digitales usados en la VPN. El uso de PKI no se limita sólo a las VPNs sino que puede utilizarse para aplicaciones como firmas digitales, cifrado de correo electrónico, entre otras. 145

160 Capítulo 4. Diseño De Solución VPN Para La PUCE Administración y personal de control Actualmente la PUCE cuenta con una infraestructura de red centralizada en donde todos sus equipos de comunicación dentro de esta red son de marca 3Com. El personal de la Dirección de Informática para la administración de la VPN (no solamente la VPN, también lo correspondiente a la Intranet) debe concentrarse en las siguientes tareas: Administración y monitoreo VPN, la VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así. Control de usuarios VPN y depuración de las listas de acceso VPN. Administración de los switches de Backbone: Distribución y organización de los equipos de red centrales para la optimización de los enlaces de la red interna. Administración de dispositivos de conectividad (switches y hubs), Configuración y actualización permanente. Monitorear, afinar y mantener equipamiento central de conectividad, obviamente aquí entran los equipos VPN. Administración del Firewall, Configuración, actualización de software y políticas de filtrado, afinamiento, estadísticas de ataques obtenidos de los logs 76 y acciones correctivas ante nuevas vulnerabilidades Diagrama para la implementación En el siguiente diagrama de flujo se muestra el proceso necesario para la puesta en marcha del proyecto PUCE VPN. 76 Registro oficial de eventos durante un periodo de tiempo en particular. En informática un log es usado para registrar datos o información sobre quien, que, cuando, donde y por que) un evento ocurre para un dispositivo en particular o aplicación. 146

161 Capítulo 4. Diseño De Solución VPN Para La PUCE. Diagrama 4.1 Flujograma para la implementación de la VPN en la PUCE PC en funcionamiento. Servidor Cliente Instalación de Software necesario para Servidores (ej: Windows X Server). Instalación de Sistema Operativo (Ej: Windows x). Instalación de 2 tarjetas de Red (Internet con IP Pública; la otra conectada a Red Local) Configurar Conexión VPN (con Asistente de Conexiones a Redes de Windows). Configuración del Servidor y Hardware (protocolos, servicio de encaminamiento y servicio Remoto, tráfico VPN en Firewall, etc). Establecer perfiles adecuados para manejo de Usuarios en el Servidor de Autenticación. Crear configuración necesaria para soportar VPN de modo Servidor. NO Revisar procedimientos anteriores. SI Red Privada Virtual establecida (VPN), lista para su uso. Autores: Viteri Sebastián, Orbe Fredy 147

162 Capítulo 4. Diseño De Solución VPN Para La PUCE. 4.9 Algunas Consideraciones para el uso En el cliente si se está utilizando un software de firewall personal o bien se esta conectado en una red que utiliza un dispositivo de éste tipo, es posible que se tenga que habilitar el paso para los puertos TCP: 1723 y el Protocolo IP: 47 (GRE), para realizar la conexión. Una vez establecida la conexión VPN, la ruta por defecto será la conexión con la Universidad, por lo que si tratamos de "navegar" por Internet, lo estaremos haciendo a través de esa conexión (todo el tráfico va a través de túnel) y no la de nuestro proveedor de acceso. Por tanto, es recomendable desconectar una vez se han finalizado de utilizar los servicios a los que hubiésemos conectado: revistas electrónicas, correo electrónico, carpeta compartida del PC del despacho, etc. Si se ha compartido algún recurso del PC de la oficina y se quiere acceder a él, se tiene que montarlo utilizando el nombre completo del PC, por ejemplo: Si el PC de la oficina se llama "decanato.puce.edu.ec" y hemos compartido una carpeta llamada "actas" tendremos que acceder a ella con \\decanato.puce.edu.ec\actas, es decir, hemos de poner el nombre del PC mas el dominio puce.edu.ec. Para poder realizar una conexión VPN con la PUCE es necesario disponer de nombre de usuario y contraseña obtenido mediante solicitud. Se debe activar el cliente de redes Microsoft para poder acceder al grupo de trabajo de Windows Alternativas de Implementación de VPN A continuación se detallará brevemente algunas posibilidades para implantar la VPN en la universidad: RAS es una de la posibilidad de acceso remoto como se ha mencionado, la Universidad tiene este servicio sin embargo actualmente solo permite el acceso a Internet. Obviamente con el servicio RAS también se puede tener acceso a los recursos de la Intranet de la Universidad, con el hecho de que se permita el acceso. Bajo este esquema, se necesitan varias líneas 148

163 Capítulo 4. Diseño De Solución VPN Para La PUCE. telefónicas de entrada para cada módem, además de pagar los costos de todas las líneas si los usuarios remotos llaman desde sitios distantes. SSL VPN, Esta tecnología se basa en el uso del protocolo SSL que aprovecha la ubicuidad, capacidades de encripción y autenticación de los navegadores Web. Con este servicio se puede acceder a las aplicaciones corporativas pero se pierde la utilización de otros servicios de la Intranet (aplicaciones en tiempo real, compartir archivos, etc). Y también solo se permite el acceso a un número limitado de servidores. Otro problema es que aunque las ofertas basadas en SSL prometen menos administración y costos de mantenimiento, los productos no son baratos. Los dispositivos cuestan entre y dólares, dependiendo del número de usuarios. Contratar el servicio mediante proveedor, actualmente en Ecuador no existen muchas compañías que brinden este servicio, sin embargo suponiendo que se pueda contratar esto incurriría en una inversión de dinero considerable. Andinatel corporativo, por ejemplo, brinda este servicio a las compañías que están buscando usar las VPN tanto para sus Extranets como para sus Intranets, pero deja a un lado el servicio de acceso remoto. Diferentes programas de software, existe un sin número de programas computacionales que permiten la conectividad mediante VPNs. Por un lado tenemos a los sistemas operativos (Windows, Linux, etc.) que incluyen las herramientas necesarias para la realización y administración de las VPN. Que en nuestro caso hemos adoptado. También existen paquetes de software que son útiles para la implantación de redes privadas virtuales, que sustituyen a las herramientas de los Sistemas Operativos, sin embargo, no garantizan la seguridad requerida para el transporte de información a través de Internet. Otra desventaja de usar este tipo de solución es que sería necesario la compra del paquete con sus respectivas licencias lo que conllevaría un gasto extra para nuestra Universidad si se decide implantar la VPN de esta manera. 149

164 Capítulo 4. Diseño De Solución VPN Para La PUCE Conclusiones y Recomendaciones Conclusiones Se han cumplido sobradamente nuestros dos objetivos en cuanto a conocer la infraestructura que posee la PUCE y el análisis y diseño de la solución VPN para proporcionar la interconexión de la Intranet con los usuarios remotos con la protección adecuada de los datos que viajan por la red. La implementación de la tecnología VPN es factible en lo que se refiere a la parte económica, ya que los requerimientos de dispositivos son mínimos y la Universidad ya los posee, y no significaría un costo adicional ya que se usarían los mismos recursos de hardware ( servidores de VPN, servidores de autenticación RADIUS, servidores de archivos, servidores de correo, servidores de respaldo, firewall, etc.), y software (Sistemas Operativos con sus respectivas licencias y aplicaciones en general) lo cual significa un ahorro de costos muy significativo y hacen que este proyecto sea viable para su desarrollo. En conclusión el esquema de seguridad armado con políticas de usuarios exigentes y seguridades mediante software y hardware, da la tranquilidad de que el funcionamiento corre los mínimos riesgos posibles. Por último, el uso del protocolo PPTP nos proporciona garantía de privacidad y autenticación de los datos transmitidos, así también como el beneficio de que este protocolo lo tienen la mayoría de sistemas operativos que estarán en los equipos de los usuarios. Así como menor complejidad de manejo por parte de los usuarios finales Recomendaciones Si trabajamos con conexiones lentas (módem o similar) la VPN también irá lenta. Es recomendable disponer de conexiones de banda ancha para sacarle todo el rendimiento a este tipo de conexiones. 150

165 Capítulo 4. Diseño De Solución VPN Para La PUCE. Para realizar la comunicación usando la VPN debemos usar las IPs de la VPN. Es decir, además de la IP de Internet que tiene el servidor y los clientes se han generado otras IPs internas de la VPN, pues esas deberemos usar para comunicarnos con los equipos de la VPN, estas se obtendrán como las habituales, pero en el icono de la nueva conexión que aparece en la barra de notificación (junto al reloj de Windows). En el cliente VPN no se necesita especificar el protocolo, dado que por defecto automáticamente lo detecta, en todo caso se recomienda determinar el protocolo. En conexiones lentas, el Explorador de Windows no será capaz de mostrar los otros equipos de la red, o le llevará mucho tiempo, en ese caso, podremos acceder a ellos escribiendo en la barra de direcciones del Explorador de Windows "\\ip_en_la_vpn" o "\\nombre_maquina" de la máquina a la que queremos acceder, por ejemplo, si la IP (en la VPN) de la otra máquina es pondremos \\ en la barra de direcciones del Explorador de Windows y de esta forma ya tendremos acceso a los ficheros e impresoras de la máquina indicada. Además, si los equipos no tienen realizada la configuración de red adecuadamente, o tienen mal asignados los permisos puede ocurrir que no se pueda acceder a recursos. Esto no es un problema de la VPN sino de cómo se tienen establecidos los permisos en cada ordenador, al igual que pasa en una red local. Para usar otros recursos, como servidores de base de datos, etc. simplemente usamos la IP en la VPN de la máquina destino. Por último, y como recomendación final, es aconsejable mantener el equipo actualizado e instalar los parches y services packs que va publicando Microsoft. Al tratarse de un servicio de red es muy vulnerable a ser atacado y si no está convenientemente actualizado podemos ser víctimas de ataques, o nuestros datos quizás no viajen lo suficientemente seguros como esperábamos. 151

166 Capítulo 5. Conclusiones y Recomendaciones. CAPITULO 5 5. CONCLUSIONES Y RECOMENDACIONES En este capítulo se harán las conclusiones del trabajo descrito y también se realizarán recomendaciones para la puesta en práctica de la información del proyecto realizado. 5.1 Conclusiones Como pudimos observar durante el desarrollo del presente trabajo, una VPN (virtual private network) es una red privada que da conectividad a múltiples sitios a través de una red compartida, con los mismos atributos (encapsulación, autentificación, encriptación de datos, etc.) que una red privada. Permiten unificar en una sola red todos los accesos externos, reducen notablemente los costes empresariales, proporcionan mayor valor añadido, explotan recursos de Internet y generan ventajas competitivas. Dentro del concepto VPN se permite a corporaciones y/o a muchos tipos de usuarios de redes conectarse a sucursales de compañías, servidores remotos, socios, usuarios remotos, oficinas o hacia otras compañías sobre una red pública manteniendo las seguridades respectivas. En todos estos casos, la conexión segura aparece al usuario como una comunicación privada a la red, a pesar del hecho de que estas comunicaciones ocurren sobre una red pública. Al clasificar una red VPN se debe tener en cuenta que tienen dos características que son, por un lado no son excluyentes, esto quiere decir que al realizar la VPN, esta puede estar conformada por una combinación de ellas. Por otro lado pueden ser similares, es decir, al momento de darle una clasificación a una VPN, esta puede estar dentro de uno o varios tipos de VPN expuestos. 152

167 Capítulo 5. Conclusiones y Recomendaciones. El alcance de las VPN para cualquier organización es muy completo, cubre todas las posibilidades partiendo de que puede hacer intranets vinculando la oficina remota o sucursal a la red corporativa. También la conexión a la red de usuarios remotos desde una gran distancia. Y por ultimo una conexión especifica de clientes, proveedores, distribuidores o demás comunidades de interés a la Intranet corporativa a través de una red pública. El costo de la protección de la información, en ningún caso puede superar el valor de esta. Se ve claramente que las ventajas que proporcionará la implementación de la red son claramente mayores que los inconvenientes, pero tampoco se puede derrochar dinero sin un previo análisis costo - beneficio. En la VPN se puede agregar funciones para la mejora del servicio. Al hacer negocio con los socios es claramente fácil de alcanzar con el modelo de VPN, el túnel del cliente y el acceso público a la Web en un sistema simple es difícil de controlar sin la capacidad combinada de VPN y de un firewall. Los túneles VPN imponen un cargo extra para usuarios de dial-up. Algoritmos encriptados pueden impactar el desarrollo del sistema del usuario, habrá un incremento del uso del protocolo, procedimientos de autenticación, el retardo incrementará y el servidor puede consumir mucho tiempo al mantener las listas de control de acceso de los usuarios. Dado que algunas de las tecnologías no están totalmente estandarizadas, las diferentes tecnologías de VPN podrían no trabajar bien juntas. Cuando se vaya a implementar una VPN, hay cuatro aspectos fundamentales que deben ser considerados: costo, desempeño, confianza y seguridad. De estas cuatro características, la seguridad es el elemento fundamental ya que sin ésta los otros elementos pueden ser inútiles; no importa qué tan barata, rápida y confiable sea una red, sin la seguridad adecuada, los riesgos pesarán más que los beneficios. 153

168 Capítulo 5. Conclusiones y Recomendaciones. En el momento actual, todos los proveedores de servicio, tienen ante sí el enorme reto de gestionar redes cada vez más complejas y extensas, con una mayor gama de servicios y con creciente demanda de ancho de banda, calidad y garantías. La evolución natural hacia redes IP y aplicaciones TCP/IP han llevado a desarrollar la arquitectura MPLS como una de las opciones más prometedoras para proporcionar los nuevos servicios del siglo XXI como lo es las VPNs. Es cuestión de mucho tiempo y grandes inversiones para que proveedores en Ecuador entren a competir en este contexto. En la parte práctica de este trabajo de disertación se puso énfasis en un diseño de red privada virtual de acceso remoto para nuestra universidad. Utilizando equipos y licencias de software propio de la Universidad, se podrá implementar la VPN con toda la seguridad necesaria descrita en el proyecto y se reducirá los costos de implementación. También es una gran ventaja que el servidor VPN, al conectarse con el nodo central de la Intranet ya establecida, y que tiene sus propias políticas de control, forme varios niveles de seguridad. Como conclusión personal podemos decir que se han cumplido los objetivos planteados, sabemos que el esfuerzo realizado será de utilidad a toda persona interesada en investigar esta tecnología y específicamente a la Universidad como punto de partida para una futura implementación de este servicio. Mediante lo desarrollado concluimos que en nuestro país este tipo de servicio no esta siendo aprovechado y utilizado, lo cual sería una opción de negocio para nuevas o tradicionales empresas dedicadas a proveer comunicaciones. 5.2 Recomendaciones Las Redes Virtuales Privadas son una opción más para que las grandes, medianas y pequeñas empresas se mantengan a salvo de cualquier intento 154

169 Capítulo 5. Conclusiones y Recomendaciones. de ataque en contra de la información valiosa. Asimismo pueden auxiliarse de la amplia tecnología de vanguardia en cuanto a software y hardware se refiere. Se recomienda por lo tanto que se busque la mejor solución para la empresa realizando un análisis previo. Las redes VPN requieren un conocimiento en profundidad de la seguridad en las redes públicas y tomar precauciones en su desarrollo. Estas VPNs dependen de un área externa a la organización, Internet en particular, y por lo tanto depende de factores externos al control de la organización. La recomendación ante la creciente amenaza a la seguridad a que está siendo sometida constantemente el Internet, una empresa que implemente estos avances debe incluir soluciones de cortafuegos y antivirus como parte de su plan integral de implementación. Se recomienda también que si la VPN es de acceso remoto, se debe separar el tráfico VPN del tráfico que no es VPN. Esto es una precaución sensible, porque así, se disminuye la saturación del tráfico en la Red. Se recomienda a la Universidad que se haga efectiva la implementación de este servicio según lo indicado en el presente trabajo, ya que se convertiría en una de las instituciones educativas pioneras en poseer este servicio en el país. 155

170 ANEXOS ANEXO A. Habilitar el Servicio de enrutamiento y acceso remoto Se hará clic en Inicio, seleccionar Programas, Herramientas administrativas y, a continuación, se hará clic en Enrutamiento y acceso remoto. De manera predeterminada, el equipo local aparecerá en la lista como un servidor. Para agregar otro servidor, en el árbol de la consola se hará clic con el botón secundario del mouse en Estado de servidor y, a continuación, en Agregar Servidor. En el cuadro de diálogo Agregar Servidor, se hará clic en la opción que corresponda y, a continuación, se hará clic en Aceptar. En el árbol de la consola, se hará clic con el botón secundario del mouse (ratón) en el servidor que desea habilitar y, a continuación, se hará clic en Configurar y habilitar el enrutamiento y el acceso remoto. En el Asistente para la instalación del servidor de enrutamiento y acceso remoto se hará clic en Continuar. En Configuraciones comunes, se hará clic en Servidor configurado manualmente, en Siguiente y, a continuación, en Finalizar. Cuando se indique, se reiniciará el servicio de Enrutamiento y acceso remoto. 156

171 ANEXOS ANEXO B. Crear un grupo de direcciones IP estáticas Se hará clic en Inicio, se seleccionará Programas, Herramientas administrativas y, a continuación, se hará clic en Enrutamiento y acceso remoto. En el árbol de la consola, se hará clic con el botón secundario del mouse (ratón) en el servidor para el que desea crear un grupo de direcciones IP estáticas y, a continuación, se hará clic en Propiedades. En la ficha IP, se hará clic en Conjunto de direcciones estáticas y, a continuación, se hará clic en Agregar. En Dirección IP inicial, se escribirá una dirección IP inicial y, a continuación, se escribirá una dirección IP final para el intervalo en Dirección IP final o el número de direcciones IP en el intervalo de Número de direcciones. Se hará clic en Aceptar y, a continuación, se repetirán los pasos 3 y 4 para todos los intervalos que desee agregar. Nota.- Si el conjunto de direcciones IP estáticas se compone de intervalos de direcciones IP de una subred independiente, se tendrá que habilitar un protocolo de enrutamiento IP en el equipo servidor de acceso remoto o agregar rutas IP estáticas que están formadas por {Dirección IP, Máscara} de cada intervalo de las rutas de la Intranet. Si no se agregan las rutas, los clientes de acceso remoto no podrán recibir el tráfico de los recursos de la Intranet. 157

172 ANEXOS ANEXO C. Agregar puertos PPTP Se hará clic en Inicio, se seleccionará Programas, Herramientas administrativas y, a continuación, se hará clic en Enrutamiento y acceso remoto. En el árbol de consola, se hará clic en el servidor para el que se desea configurar los puertos PPTP. En el panel de detalles, se hará clic con el botón secundario del mouse en Puertos y, a continuación, se hará clic en Propiedades. En el cuadro de diálogo Propiedades de puertos se hará clic en Minipuerto WAN (PPTP) y, a continuación, se hará clic en Configurar. En Número máximo de puertos se escribirá el número de puertos y, a continuación, se hará clic en Aceptar. Se hará clic en Aceptar para guardar los cambios efectuados en las propiedades de puertos. 158

173 ANEXOS ANEXO D. Configurar un número de teléfono en un dispositivo Se hará clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, se hará clic en Enrutamiento y acceso remoto. En el árbol de consola, se hará clic en el servidor para el que desea configurar un número de teléfono. En el panel de detalles, se hará clic con el botón secundario del mouse en Puertos y, a continuación, se hará clic en Propiedades. En el cuadro de diálogo Propiedades de puertos se hará clic en el dispositivo que corresponde al equipo VPN o de acceso telefónico y, a continuación, se hará clic en Configurar. En Número de teléfono para este dispositivo se escribirá el número de teléfono para el puerto. Para los puertos VPN, se escribirá la dirección IP de la interfaz de Internet del servidor VPN. Se hará clic en Aceptar. 159

174 ANEXOS ANEXO E. Agregar filtros de paquetes PPTP Se hará clic en Inicio, se seleccionará Programas, Herramientas administrativas y, a continuación, se hará clic en Enrutamiento y acceso remoto. En el árbol de la consola, se hará doble clic en el servidor para el que se desea configurar el filtrado de paquetes PPTP. Se hará doble clic en Enrutamiento IP. Se hará clic en General. En el panel de detalles, se hará clic con el botón secundario del mouse en la interfaz que esté conectada a Internet y, a continuación, se hará clic en Propiedades. En la ficha General, se hará clic en Filtros de entrada. En el cuadro de diálogo Filtros de entrada, se hará clic en Agregar. En el cuadro de diálogo Agregar filtro IP, se activará la casilla de verificación Red de destino. En Dirección IP se escribirá la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred se escribirá En Protocolo, se hará clic en Otros. En Número de protocolo se escribirá 47 y, a continuación, se hará clic en Aceptar. En el cuadro de diálogo Filtros de entrada, se hará clic en Agregar. En el cuadro de diálogo Agregar filtro IP, se activará la casilla de verificación Red de destino. En Dirección IP se escribirá la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred se escribirá En Protocolo, se hará clic en TCP. En Puerto de destino se escribirá 1723 y, a continuación, sehará clic en Aceptar. En el cuadro de diálogo Filtros de entrada, se hará clic en Agregar. 160

175 ANEXOS En el cuadro de diálogo Agregar filtro IP, se activará la casilla de verificación Red de destino. En Dirección IP se escribirá la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred se escribirá En Protocolo, se hará clic en TCP [establecido]. En Puerto de origen se escribirá 1723 y, a continuación, se hará clic en Aceptar. En el cuadro de diálogo Filtros de entrada, se hará clic en Omitir todos los paquetes que no cumplen el criterio especificado abajo y, después, se hará clic en Aceptar. En la ficha General, se hará clic en Filtros de salida. En el cuadro de diálogo Filtros de salida, se hará clic en Agregar. En el cuadro de diálogo Agregar filtro IP se activará la casilla de verificación Red de origen. En Dirección IP se escribirá la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred se escribirá En Protocolo, se hará clic en Otros. En Número de protocolo se escribirá 47 y, a continuación, se hará clic en Aceptar. En el cuadro de diálogo Filtros de salida, se hará clic en Agregar. En el cuadro de diálogo Agregar filtro IP se activará la casilla de verificación Red de origen. En Dirección IP se escribirá la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred se escribirá En Protocolo, se hará clic en TCP. En Puerto de origen se escribirá 1723 y, a continuación, se hará clic en Aceptar. En el cuadro de diálogo Filtros de salida, se hará clic en Agregar. En el cuadro de diálogo Agregar filtro IP se activará la casilla de verificación Red de origen. En Dirección IP se escribirá la dirección IP del servidor VPN o de la interfaz de Internet del enrutador de marcado a petición, y en Máscara de subred escribirá En Protocolo, se hará clic en TCP [establecido]. En Puerto de destino se escribirá 1723 y, a continuación, se hará clic en Aceptar. 161

176 ANEXOS En el cuadro de diálogo Filtros de salida, se hará clic en Omitir todos los paquetes que no cumplen el criterio especificado abajo y, después, se hará clic en Aceptar. Se hará clic en Aceptar para guardar los cambios efectuados en la interfaz. 162

177 ANEXOS ANEXO F. Configuración del Cliente VPN El siguiente ejemplo es una típica conexión de un cliente VPN en este caso desde Windows XP. Se abre la carpeta de "Conexiones de red" y en el menú Archivo se selecciona "Nueva conexión". 163

178 ANEXOS En el asistente para conexión nueva seleccionamos "Conectarse a la red de mi lugar de trabajo", y se pulsa siguiente. Se selecciona "Conexión de red privada virtual", y se pulsa siguiente. 164

179 ANEXOS Se escribe el nombre de la organización que puede va a ser el nombre del servidor al que se conectará. En la siguiente ventana, se marca la opción "no usar conexión inicial" a menos que se quiera que con la VPN se utilice otra de las conexiones a Internet. Si se dispone de cable o ADSL no es necesario activar ninguna de estas conexiones. 165

180 ANEXOS Por último se indica la dirección IP del servidor VPN, esta es la dirección IP pública, es decir, la que tiene en Internet en el momento de establecer la conexión entre los clientes y el servidor. Finaliza el asistente 166

181 ANEXOS Ahora se debe indicar el usuario y las password que se han activado en el servidor por parte de la Dirección de Informática y ya podremos conectarnos con el servidor. Vale recalcar que en las propiedades se podrán hacer cambios de las opciones, seguridad, funciones de red, y opciones avanzadas. 167