UTILIZANDO WINDOWS SERVER 2008

Documentos relacionados
UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

Redes de Área Local: Configuración de una VPN en Windows XP

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

Semana 10: Fir Fir w e a w lls

Como crear una red privada virtual (VPN) en Windows XP

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software - info@solucionempresarial.com.

SEGURIDAD EN REDES IP

Examen Cisco Online CCNA4 V4.0 - Capitulo 6. By Alen.-

CONFIGURACIÓN BÁSICA DE UNA VPN EN WINDOWS XP PROFESIONAL

Ubuntu Server HOW TO : SERVIDOR VPN. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como usar vpn. Qué es una VPN?

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Redes Privadas Virtuales (VPN)

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Howto: Cómo configurar el mapeo estático de puertos en el router/firewall corporativo para las redes VPN de Panda GateDefender Integra

TELECOMUNICACIONES Y REDES

Diseño de redes VPN seguras bajo Windows server 2008

ESCUELA NORMAL PROF. CARLOS A CARRILLO

Capítulo 6: Servicios de Trabajadores a Distancia

Necesidad de procesar y almacenar Información.

Seminario Electrónico de Soluciones Tecnológicas sobre Acceso Remoto. 1 de 12

Virtual Private Network (VPN) en una red local

CAPITULO IV CONCLUSIONES Y RECOMENDACIONES

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway)

HOWTO: Cómo configurar el firewall para redes VPN

Capitulo 6 VPN y Firewalls

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Conexión VPN en Windows XP

Escritorio remoto y VPN. Cómo conectarse desde Windows 7

WINDOWS : TERMINAL SERVER

Redes Privadas Virtuales

Windows Server Windows Server 2003

INSTALACIÓN, OPERACIÓN Y PROGRAMACIÓN DE EQUIPOS Y SISTEMAS TELEFÓNICOS

Red Privada Virtual (VPN)

Q-expeditive Publicación vía Internet

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Manual de Usuario Consulte en Equipo ADSL Huawei MT 882

Guía de Instalación para clientes de WebAdmin

COMO CONFIGURAR UNA MAQUINA VIRTUAL EN VIRTUALBOX PARA ELASTIX

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos

Líneas de Comunicación Remota

Diseñado y Desarrollado por Sistemas Informáticos Aplicados, SA de CV. Socio Estratégico de Negocios

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

CONDICIONES DE CONEXIÓN REMOTA

MANUAL COPIAS DE SEGURIDAD

Aspectos Básicos de Networking

BREVE INTRODUCCIÓN A IPSEC

Mantiene la VPN protegida

INFORME INSTALACION Y CONFIGURACION DE UNA VPN EXAMEN FINAL PRESENTADO POR: EDINSON ACEVEDO CONTRERAS PRESENTADO A: ING.

1.- FUNCION DE UNA RED INFORMATICA

Tecnología IP para videovigilancia... Los últimos avances han hecho posible conectar cámaras directamente a una red de ordenadores basada en el

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

Activación de un Escritorio Remoto

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP, PAP, CHAP. NOTAS: Jorge García Delgado PPP:

Interoperabilidad de Fieldbus

Internet aula abierta

Mecanismos de protección. Xavier Perramon

INSTALACIÓN DE SQL SERVER 2008 Y SQL SERVER 2008 EXPRESS

Conexión a red LAN con servidor DHCP

TRANSFERENCIA DE FICHEROS FTP

Prueba de ping sobre DSL: Una verificación integral del servicio.

Información de Producto:

Servicio de red privada virtual (VPN) de la UCLM

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

Capítulo 1. Introducción

TELEPROCESOS Y SISTEMAS DISTRIBUIDOS

INSTITUTO TECNOLÓGICO DE SALINA CRUZ. Fundamentos De Redes. Semestre Agosto-Diciembre Reporte De Lectura

Router Inalámbrico de Banda Ancha Sweex + conmutador de 4 puertos + servidor de impresión

Acronis License Server. Guía del usuario

MANUAL PARA CONEXIÓN VÍA VPN EN CONTINGENCIA

10 razones para cambiarse a un conmutador IP

Manual de Usuario: Servidor Cloud y Servidor Cloud Gestionado

Configuración de Aspel-SAE 5.0 para trabajar Remotamente

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Redes de área local: Aplicaciones y servicios WINDOWS

Hay dos tipos de conexiones posibles cuando se trata de redes. Punto a punto conexiones proporciona un enlace dedicado entre dos dispositivos.

Encriptación en Redes

Roles y Características

Seguridad en Redes Protocolos Seguros

Especificaciones de Hardware, Software y Comunicaciones

CONFIGURACIÓN DE UNA VPN TIPO INTRANET:

Ayuda de Symantec pcanywhere Web Remote

Redes cableadas (Ethernet)

INSTITUTO TECNOLÓGICO DE COLIMA LIC. EN INFORMÁTICA

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Universidad Católica Nuestra Señora de la Asunción. Facultad de Ciencia y Tecnología. Teoría y Aplicación de la Informática 2.

Información sobre seguridad

Toda base de datos relacional se basa en dos objetos

UNIDESYS UNIVERSAL BUSINESS SYSTEMS INSTALACIÓN NUEVO PUESTO DE TRABAJO

Capas del Modelo ISO/OSI

Creación de una VPN con Windows Server 2008 R2

Introducción a la Firma Electrónica en MIDAS

ASIR. Virtual Private Network

Transcripción:

CONFIGURACIÓN DE UNA RED PRIVADA VIRTUAL (VPN) UTILIZANDO WINDOWS SERVER 2008 Por Braulio Alvarez Gonzaga 1

INDICE INTRODUCCIÓN-----------------------------------------------------------------------------------01 ABSTRACT------------------------------------------------------------------------------------------02 SERVIDOR VPN------------------------------------------------------------------------------------03 1.- DEFINICIÓN-------------------------------------------------------------------------------------03 2.- ESTRUCTURA----------------------------------------------------------------------------------04 3.- ARQUITECTURAS BÁSICAS--------------------------------------------------------------06 3.1.- VPN de acceso remoto----------------------------------------------------------06 3.2.- VPN punto a punto----------------------------------------------------------------06 4.- FUNCIONAMIENTO---------------------------------------------------------------------------07 4.1.- TIPOS DE ENCRIPTACIÓN-----------------------------------------------------08 4.1.1.-Encriptación con clave secreta------------------------------------08 4.1.2.- Encriptación de clave pública-------------------------------------09 5.- TECNOLOGIAS DEL SERVICIO VPN---------------------------------------------------09 5.1.- VPN de enrutador a enrutador------------------------------------------------09 5.2.- VPN de cliente a enrutador-----------------------------------------------------10 5.3.- Servidor de acceso a la red de cliente a VPN----------------------------11 6.- VENTAJAS DE IMPLEMENTAR UN SERVIVIO VPN-------------------------------12 6.1.- Reducción de Costos------------------------------------------------------------12 6.2.- Seguridad----------------------------------------------------------------------------12 2

6.3.- Escalabilidad------------------------------------------------------------------------12 6.4.- Compatibilidad con tecnologías de banda ancha----------------------12 6.5.- Mayor productividad--------------------------------------------------------------13 7.- CARACTERÍSTICAS Y REQUERIMIENTOS-------------------------------------------13 8.- PROTOCOLOS UTILIZADOS EN LAS VPNS-----------------------------------------14 8.1.- PPTP (Point-to-Point Tunneling Protocol)--------------------------------14 8.2.- PROTOCOLO IPSec---------------------------------------------------------------17 8.3.- L2TP (Layer-2 Tunneling Protocol)------------------------------------------21 9.- Configuración de una red privada virtual en Windows server 2008---------24 9.1.- Configuración del cliente VPN en Windows XP sp2----------------------------33 CONCLUSIONES-----------------------------------------------------------------------------------36 LINKOGRAFÍA--------------------------------------------------------------------------------------37 3

INTRODUCCIÓN Hace unos años no era tan necesario conectarse a Internet por motivos de trabajo. Conforme ha ido pasando el tiempo las empresas han visto la necesidad de que las redes de área local superen la barrera de lo local permitiendo la conectividad de su personal y oficinas en otros edificios, ciudades, comunidades autónomas e incluso países. Desgraciadamente, en el otro lado de la balanza se encontraban las grandes inversiones que era necesario realizar tanto en hardware como en software y por supuesto, en servicios de telecomunicaciones que permitiera crear estas redes de servicio. Afortunadamente con la aparición de Internet, las empresas, centros de formación, organizaciones de todo tipo e incluso usuarios particulares tienen la posibilidad de crear una Red privada virtual (VPN) que permita, mediante una moderada inversión económica y utilizando Internet, la conexión entre diferentes ubicaciones salvando la distancia entre ellas. Las redes virtuales privadas utilizan protocolos especiales de seguridad que permiten obtener acceso a servicios de carácter privado, únicamente a personal autorizado, de una empresas, centros de formación, organizaciones, etc.; cuando un usuario se conecta vía Internet, la configuración de la red privada virtual le permite conectarse a la red privada del organismo con el que colabora y acceder a los recursos disponibles de la misma como si estuviera tranquilamente sentado en su oficina. 4

SERVIDOR VPN 1.- DEFINICIÓN: Una Virtual Private Network (VPN) es un sistema para simular una red privada sobre una red pública, por ejemplo, Internet., la idea es que la red pública sea "vista" desde dentro de la red privada como un cable lógico que une las dos o más redes que pertenecen a la red privada. Una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local. La configuración de una red privada virtual (VPN) garantiza que los equipos remotos se conecten a través de una conexión confiable (Internet), como si estuvieran en la misma red de área local. Este proceso es utilizado por una variedad de compañías para permitir que los usuarios se conecten a la red cuando no se encuentran en el sitio de trabajo. Brinda una gran cantidad de usos posibles: Acceso remoto y seguro a la red local (de la compañía) para los empleados móviles. Archivos compartidos con seguridad. Juegos en la red local con equipos remotos. El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de 5

cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de Internet. Este sistema de conectividad privada es la forma más económica y fiable del mercado para mantener conectados diversos puntos (computadoras) de cualquier parte del mundo. 2.- ESTRUCTURA Las VPNs también permiten la conexión de usuarios móviles a la red privada, tal como si estuvieran en una LAN dentro de una oficina de la empresa donde se implementa la VPN. Esto resulta muy conveniente para personal que no tiene lugar fijo de trabajo dentro de la empresa, como podrían ser vendedores, ejecutivos que viajan, personal que realiza trabajo desde el hogar, etc. La forma de comunicación entre las partes de la red privada a través de la red pública se hace estableciendo túneles virtuales entre dos puntos para los cuales se negocian esquemas de encriptación y autentificación que aseguran la confidencialidad e integridad de los datos transmitidos utilizando la red pública. Como se usan redes públicas, en general Internet, es necesario prestar debida atención a las cuestiones de seguridad, que se 6

aborda a través de estos esquemas de encriptación y autentificación y que se describirán luego. La tecnología de túneles ("Tunneling") es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algún protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo así a su estado original. En el traslado a través de Internet, los paquetes viajan encriptados. Las técnicas de autenticación son esenciales en las VPNs, ya que aseguran a los participantes de la misma que están intercambiando información con el usuario o dispositivo correcto. La autenticación en VPNs es conceptualmente parecido al logeo en un sistema como nombre de usuario y contraseña, pero con necesidades mayores de aseguramiento de validación de identidades. La mayoría de los sistemas de autenticación usados en VPN están basados en un sistema de claves compartidas. La autenticación es llevada a cabo generalmente al inicio de una sesión, y luego aleatoriamente durante el curso de la misma, para asegurar que no haya algún tercer participante que se haya entrometido en la conversación. La autenticación también puede ser usada para asegurar la integridad de los datos. Los datos son procesados con un algoritmo de hashing para derivar un valor incluido en el mensaje como checksum. Cualquier desviación en el checksum indica que los datos fueron corruptos en la transmisión o interceptados y modificados en el camino. Ejemplos de sistemas de autenticación son Challenge Handshake Authentication Protocol (CHAP) y RSA. Todas las VPNs tienen algún tipo de tecnología de encriptación, que esencialmente empaqueta los datos en un paquete seguro. La encriptación es considerada tan esencial como la autenticación, ya que protege los datos transportados de la poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión. 7

En las VPNs, la encriptación debe ser realizada en tiempo real. Por eso, los flujos encriptados a través de una red son encriptados utilizando encriptación de clave secreta con claves que son solamente buenas para sesiones de flujo. El protocolo más usado para la encriptación dentro de las VPNs es IPSec, que consiste en un conjunto de proposals del IETF que delinean un protocolo IP seguro para IPv4 e IPv6. IPSec provee encriptación a nivel de IP. El método de túneles, como fue descrita anteriormente, es una forma de crear una red privada. Permite encapsular paquetes dentro de paquetes para acomodar protocolos incompatibles. 3.- ARQUITECTURAS BÁSICAS 3.1.- VPN de acceso remoto: Éste es quizás el modelo más usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura 'dial-up' (módems y líneas telefónicas), aunque por razones de contingencia todavía conservan sus viejos modems. 3.2.- VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, 8

típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicional, sobre todo en las comunicaciones internacionales es más común el anterior punto. También llamada tecnología de túnel o tunneling. Esquema 4.- FUNCIONAMIENTO: Desde el punto de vista del usuario que se conecta a ella, el funcionamiento de una VPN es similar al de cualquier red normal, aunque realmente para que el comportamiento se perciba como el mismo hay un gran número de elementos y factores que hacen esto posible. La comunicación entre los dos extremos de la red privada a través de la red pública se hace estableciendo túneles virtuales entre esos dos puntos y usando sistemas de encriptación y autentificación que aseguren la confidencialidad e integridad de los datos transmitidos a través de esa red pública. Debido al uso de estas redes públicas, generalmente Internet, es necesario prestar especial atención a las cuestiones de seguridad para 9

evitar accesos no deseados. La tecnología de túneles (Tunneling) es un modo de envío de datos en el que se encapsula un tipo de paquetes de datos dentro del paquete de datos propio de algún protocolo de comunicaciones, y al llegar a su destino, el paquete original es desempaquetado volviendo así a su estado original. En el traslado a través de Internet, los paquetes viajan encriptados, por este motivo, las técnicas de autenticación son esenciales para el correcto funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que están intercambiando información con el usuario o dispositivo correcto. La autenticación en redes virtuales es similar al sistema de inicio de sesión a través de usuario y contraseña, pero tienes unas necesidades mayores de aseguramiento de validación de identidades. Todas las VPNs usan algún tipo de tecnología de encriptación, que empaqueta los datos en un paquete seguro para su envío por la red pública. La encriptación hay que considerarla tan esencial como la autenticación, ya que permite proteger los datos transportados de poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión. 4.1.- TIPOS DE ENCRIPTACIÓN 4.1.1.-Encriptación con clave secreta Esta encriptación se utiliza una contraseña secreta conocida por todos los participantes que van a hacer uso de la información encriptada. La contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de sistema tiene el problema que, al ser compartida por todos los participantes y debe mantenerse secreta, al ser revelada, tiene que ser cambiada y distribuida a los participantes, lo que puede crear 10

problemas de seguridad. 4.1.2.- Encriptación de clave pública Esta encriptación implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta. En las redes virtuales, la encriptación debe ser realizada en tiempo real, de esta manera, los flujos de información encriptada a través de una red lo es utilizando encriptación de clave secreta con claves que son válidas únicamente para la sesión usada en ese momento. 5.- TECNOLOGIAS DEL SERVICIO VPN 5.1.- VPN de enrutador a enrutador: 11

Éste es por lo general un canal de seguridad del Protocolo de Internet (IPSec) entre los enrutadores. La VPN de enrutador a enrutador se debe utilizar si todas las oficinas pequeñas forman parte de una organización central. Por lo general esta opción reemplaza las líneas privadas de punto a punto o circuitos del esquema. La siguiente figura ilustra el concepto de una VPN de enrutador a enrutador. 5.2.- VPN de cliente a enrutador: Por lo general esta es una conexión de cliente a enrutador de la VPN del IPSec. Normalmente las VPNs de cliente a enrutador se utilizan para el soporte administrativo. Los administradores se pueden conectar al enrutador a través de la VPN y administrar los sistemas o resolver los problemas. Algunos firewalls proporcionan soporte VPN para múltiples usuarios. Por lo general los firewalls brindan soporte a los clientes propietarios, pero es mejor si cuentan con el soporte de clientes VPN de Microsoft Windows XP nativos. Se recomienda utilizar software que no es de Microsoft en PCs sólo como una VPN alternativa para administradores o ingenieros de soporte debido a la complejidad que involucra su administración. La siguiente figura ilustra el concepto de una VPN de cliente a enrutador. 12

5.3.- Servidor de acceso a la red de cliente a VPN: Tanto Windows Server 2003 como Windows Small Business Server 2003 incluyen el servicio de Enrutamiento y acceso remoto, que es una puerta de enlace del Servidor de acceso a la red que incluye todas las funciones y cuenta con soporte para todo tipo de protocolos VPN, tales como el Protocolo de túnel punto a punto (PPTP), IPSec, y L2TP/IPSec. El Servidor de acceso a la red de cliente a VPN siempre se debe utilizar para usuarios remotos y móviles. También lo pueden utilizar los administradores e ingenieros de soporte. Si Windows Small Business Server 2003 se instala en la oficina pequeña, se debe utilizar como el Servidor de acceso a la red. El servicio de Enrutamiento y acceso remoto se puede configurar para dar soporte al PPTP y L2TP/IPSec; ambos protocolos son muy seguros. L2TP/IPSec requiere que los certificados del PC se utilicen correctamente. Por esta razón, el PPTP es una opción mejor y más sencilla. La siguiente figura ilustra el uso del Servidor de acceso a la red de cliente a VPN para usuarios remotos y móviles. 13

6.- VENTAJAS DE IMPLEMENTAR UN SERVIVIO VPN 6.1.- Reducción de Costos Una VPN permite a una organización aprovecharse de las economías de escala y eficiencia propias de especialistas en transmisión de datos e Internet. Se hace posible entonces eliminar las líneas dedicadas punto-apunto de muy alto precio que caracterizaron a muchas empresas con presencia regional por años, reemplazándolos por ejemplo, por accesos de tipo ADSL banda ancha y a bajo costo, disponibles en muchas áreas urbanas sin problemas. 6.2.- Seguridad Una VPN utiliza los más altos estándares de seguridad para la transmisión de datos, como por ejemplo el protocolo de encriptación 3DES (Triple Data Encryption Standard) y el protocolo Ipsec (IP Security Protocol) para el manejo de los "túneles" de software. Asimismo, se usan varios tipos de autenticación de usuarios para asegurarse que quienes se comunican son realmente quienes dicen ser. 6.3.- Escalabilidad Agregar usuarios a una VPN es casi trivial. No hay que realizar inversiones adicionales y la provisión de servicios se hace con dispositivos fáciles de usar y configurar y básicamente lo que se hace es usar la infraestructura de los proveedores de Internet en la red. La empresa descansa entonces en esa infraestructura de alto nivel. 6.4.- Compatibilidad con tecnologías de banda ancha 14

Una VPN puede aprovechar infraestructura existente de TV Cable, banda ancha inalámbrica, conexiones de alta velocidad de tipo ADSL o ISDN, lo que implica un alto grado de flexibilidad y reducción de costos al momento de configurar la red. 6.5.- Mayor productividad Si los empleados de la empresa cuentan con una VPN, la usarán. Está probado que la disponibilidad de estas tecnologías aumenta la productividad de los usuarios, que se mantienen "conectados" más tiempo y con mejor nivel de acceso, y se fomenta el tele trabajo con la consiguiente reducción en las necesidades de espacio físico. Una VPN provee más acceso y más seguridad para sus usuarios. Lo hace con tecnología moderna y a niveles de costo significativamente inferiores a las redes privadas tradicionales, conformadas por infraestructura propia con altos requerimientos de soporte que obligan a la empresa a ocuparse de asuntos que no son estratégicos para el negocio. 7.- CARACTERÍSTICAS Y REQUERIMIENTOS Las Redes Privadas Virtuales utilizan tecnología de túnel (tunneling) para la transmisión de datos mediante un proceso de encapsulación y en su 15

defecto de encriptación, esto es importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta última utiliza líneas telefónicas dedicadas para formar la red. Seguridad, estableciendo un túnel de información encriptada entre su servidor y el proveedor de acceso a Internet. Requerimientos mínimos para un servidor VPN: RAM 512MB. Procesador Pentium IV. HD 10GB 8.- PROTOCOLOS UTILIZADOS EN LAS VPNS 8.1.- PPTP (Point-to-Point Tunneling Protocol) Fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer entre usuarios de acceso remoto y servidores de red una red privada virtual. Como protocolo de túnel, PPTP encapsula datagramas de cualquier protocolo de red en datagramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. PPTP fue diseñado para permitir a los usuarios conectarse a un servidor RAS desde cualquier punto en Internet para tener la misma autenticación, encriptación y los mismos accesos de LAN como si discaran directamente al servidor. En vez de discar a un modem conectado al servidor RAS, los 16

usuarios se conectan a su proveedor y luego "llaman" al servidor RAS a través de Internet utilizando PPTP. Existen dos escenarios comunes para este tipo de VPN: el usuario remoto se conecta a un ISP que provee el servicio de PPTP hacia el servidor RAS. el usuario remoto se conecta a un ISP que no provee el servicio de PPTP hacia el servidor RAS y, por lo tanto, debe iniciar la conexión PPTP desde su propia máquina cliente. Para el primero de los escenarios, el usuario remoto estable una conexión PPP con el ISP, que luego establece la conexión PPTP con el servidor RAS. Para el segundo escenario, el usuario remoto se conecta al ISP mediante PPP y luego "llama" al servidor RAS mediante PPTP. Luego de establecida la conexión PPTP, para cualquiera de los dos casos, el usuario remoto tendrá acceso a la red corporativa como si estuviera conectado directamente a la misma. La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet. La versión PPTP, denominada GREv2, añade extensiones para temas específicos como Call Id y velocidad de conexión. El paquete PPTP está compuesto por un header de envío, un header Ip, un header GREv2 y el paquete de carga. El header de envío es el protocolo 17

enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene información relativa al paquete IP, como ser, direcciones de origen y destino, longitud del datagrama enviado, etc. El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. Por último, el paquete de carga es el paquete encapsulado, que, en el caso de PPP, el datagrama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP. Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y aceptar cualquier tipo, inclusive texto plano. Si se utiliza CHAP, standard en el que se intercambia un "secreto" y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. 18

Para la encriptación, PPTP utiliza el sistema RC4 de RSA, con una clave de sesión de 40 bits. 8.2.- PROTOCOLO IPSec IPSec trata de remediar algunas falencias de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP). Por confidencialidad se entiende que los datos transferidos sean sólo entendidos por los participantes de la sesión. Por integridad se entiende que los datos no sean modificados en el trayecto de la comunicación. Por autenticidad se entiende por la validación de remitente de los datos. Por protección a repeticiones se entiende que una sesión no pueda ser grabada y repetida salvo que se tenga autorización para hacerlo. AH provee autenticación, integridad y protección a repeticiones pero no así confidencialidad. La diferencia más importante con ESP es que AH protege partes del header IP, como las direcciones de origen y destino. 19

ESP provee autenticación, integridad, protección a repeticiones y confidencialidad de los datos, protegiendo el paquete entero que sigue al header. AH sigue al header IP y contiene diseminaciones criptográficas tanto en los datos como en la información de identificación. Las diseminaciones pueden también cubrir las partes invariantes del header IP. El header de ESP permite rescribir la carga en una forma encriptada. Como no considera los campos del header IP, no garantiza nada sobre el mismo, sólo la carga. Una división de la funcionalidad de IPSec es aplicada dependiendo de dónde se realiza la encapsulación de los datos, si es la fuente original o un gateway: El modo de transporte es utilizado por el host que genera los paquetes. En este modo, los headers de seguridad son antepuestos a los de la capa de transporte, antes de que el header IP sea incorporado al paquete. En otras palabras, AH cubre el header TCP y algunos campos IP, mientras que ESP cubre la encriptación del header TCP y los datos, pero no incluye ningún campo del header IP. El modo de túnel es usado cuando el header IP entre extremos está ya incluido en el paquete, y uno de los extremos de la conexión segura es un gateway. En este modo, tanto AH como ESP cubren el paquete entero, incluyendo el header IP entre los extremos, agregando al paquete un header IP que cubre solamente el salto al otro extremo de la 20

conexión segura, que, por supuesto, puede estar a varios saltos del gateway. Los enlaces seguros de IPSec son definidos en función de Security Associations (SA). Cada SA está definido para un flujo unidireccional de datos y generalmente de un punto único a otro, cubriendo tráfico distinguible por un selector único. Todo el tráfico que fluye a través de un SA es tratado de la misma manera. Partes del tráfico puede estar sujeto a varios SA, cada uno de los cuales aplica cierta transformación. Grupos de SA son denominados SA Bundles. Paquetes entrantes pueden ser asignados a un SA específico por los tres campos definitorios: la dirección IP de destino, el índice del parámetro de seguridad y el protocolo de seguridad. El SPI puede ser considerado una cookie que es repartido por el receptor del SA cuando los parámetros de la conexión son negociados. El protocolo de seguridad debe ser AH o ESP. Como la dirección IP de destino es parte de la tripleta antes mencionada, se garantiza que este valor sea único. Un ejemplo de paquete AH en modo túnel es: 21

Un ejemplo de paquete AH en modo transporte es: Como ESP no puede autentificar el header IP más exterior, es muy útil combinar un header AH y ESP para obtener lo siguiente: Este tipo de paquete se denomina Transport Adjacency. La versión de entunelamiento sería: Sin embargo, no es mencionado en las RFC que definen estos protocolos. Como en Transport Adjacency, esto autenticaría el paquete completo salvo algunos pocos campos del header IP y también encriptaría la carga. Cuando un header AH y ESP son directamente aplicados como en esta manera, el orden de los header debe ser el indicado. Es posible, en el modo de túnel, hacer una encapsulación arbitrariamente recursiva para que el orden no sea el especificado. 22

8.3.- L2TP (Layer-2 Tunneling Protocol) Layer-2 Tunneling Protocol (L2TP) facilita el entunelamiento de paquetes PPP a través de una red de manera tal que sea lo más transparente posible a los usuarios de ambos extremos del túnel y para las aplicaciones que éstos corran. El escenario típico L2TP, cuyo objetivo es la creación de entunelar marcos PPP entre el sistema remoto o cliente LAC y un LNS ubicado en una LAN local, es el que se muestra en la siguiente figura: Un L2TP Access Concentrator (LAC) es un nodo que actúa como un extremo de un túnel L2TP y es el par de un LNS. Un LAC se sitúa entre un LNS y un sistema remoto y manda paquetes entre ambos. Los paquetes entre el LAC y el LNS son enviados a través del túnel L2TP y los paquetes entre el LAC y el sistema remoto es local o es una conexión PPP. Un L2TP Network Server (LNS) actúa como el otro extremo de la conexión L2TP y es el otro par del LAC. El LNS es la terminación lógica de una 23

sesión PPP que está siendo puesta en un túnel desde el sistema remoto por el LAC. Un cliente LAC, una máquina que corre nativamente L2TP, puede participar también en el túnel, sin usar un LAC separado. En este caso, estará conectado directamente a Internet. El direccionamiento, la autenticación, la autorización y el servicio de cuentas son proveídos por el Home LAN s Management Domain. L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de control son usados para el establecimiento, el mantenimiento y el borrado de los túneles y las llamadas. Utilizan un canal de control confiable dentro de L2TP para garantizar el envío. Los mensajes de datos encapsulan los marcos PPP y son enviados a través del túnel. La siguiente figura muestra la relación entre los marcos PPP y los mensajes de control a través de los canales de control y datos de L2TP. Los marcos PPP son enviados a través de un canal de datos no confiable, encapsulado primero por un encabezado L2TP y luego por un transporte de paquetes como UDP, Frame Relay o ATM. Los mensajes de control son 24

enviados a través de un canal de control L2TP confiable que transmite los paquetes sobre el mismo transporte de paquete. Se requiere que haya números de secuencia en los paquetes de control, que son usados para proveer el envío confiable en el canal de control. Los mensajes de datos pueden usar los números de secuencia para reordenar paquetes y detectar paquetes perdidos. Al correr sobre UDP/IP, L2TP utiliza el puerto 1701. El paquete entero de L2TP, incluyendo la parte de datos y el encabezado, viaja en un datagrama UDP. El que inicia un túnel L2TP toma un puerto UDP de origen que esté disponible, pudiendo ser o no el 1701 y envía a la dirección de destino sobre el puerto 1701. Este extremo toma un puerto libre, que puede ser o no el 1701, y envía la respuesta a la dirección de origen, sobre el mismo puerto iniciador. Luego de establecida la conexión, los puertos quedan estáticos por el resto de la vida del túnel. En la autenticación de L2TP, tanto el LAC como el LNS comparten un secreto único. Cada extremo usa este mismo secreto al actuar tanto como autenticado como autenticador. Sobre la seguridad del paquete L2TP, se requiere que el protocolo de transporte de L2TP tenga la posibilidad de brindar servicios de encriptación, autenticación e integridad para el paquete L2TP en su totalidad. Como tal, L2TP sólo se preocupa por la confidencialidad, autenticidad e integridad de los paquetes L2TP entre los puntos extremos del túnel, no entre los extremos físicos de la conexión. 25

9.- Configuración de una red privada virtual en Windows server 2008 Vamos a administrador del servidor en inicio Vamos a la opción funciones Damos siguiente y vamos a la opción funciones del servidor y seleccionamos servicio de acceso y directivas de redes 26

Damos siguiente y seleccionamos todos los servicios que se ofrecen Damos siguiente y seleccionamos la opción seleccionar un CA más adelante con la consola HRA y seleccionamos la opción siguiente Seleccionamos siguiente y vamos a la opción no usar SSL o elegir más adelante 27

Damos siguiente y seleccionamos instalar y esperamos la instalación Una vez que ha terminado de instalar cerramos el asistente de instalación 28

Vamos a propiedades de conexión de redes y hacemos anti clic y vamos a propiedades para configurar la dirección IP Para el ejemplo configuraremos la IP siguiente Vamos a inicio, seleccionamos ejecutar y en el símbolo del sistema escribimos el comando Ipconfig, esto permitirá comprobar si se ha configurado la dirección ip asignada 29

Luego cambiamos el nombre del grupo de trabajo, para que sea fácil de recordar usaremos `VPN` Luego vamos a herramientas administrativas y seleccionamos la opción enrutamiento y acceso remoto 30

En la opción de enrutamiento y acceso remoto hacemos anti clic en el nombre del servidor y vamos a la opción configurar y habilitar acceso remoto y esperamos que aparezca el asistente de instalación Marcamos la opción siguiente y seleccionamos la configuración personalizada y marcamos las opciones acceso a VPN y enrutamiento LAM 31

Seleccionamos siguientes e iniciamos el servicio En la opción IPV4 ampliamos las opciones y seleccionamos rutas estáticas y seleccionamos crear una ruta estática nueva Damos la siguiente configuración del router 32

Luego vamos a la opción configuración de directiva de redes Luego habilitamos las conexiones del servidor y las conexiones de servicio de acceso seleccionando las opciones que se muestran en la imagen Las opciones deben de aparecer habilitadas de la siguiente manera 33

Luego vamos al administrador de equipo en inicio y seleccionamos la opción usuarios y equipos locales y creamos un usuario nuevo Luego completamos la información que se pide: el nombre de usuario y la contraseña, la contraseña sebe de contener símbolos, letras mayúsculas y minúsculas, ya que el sistema de seguridad de Windows server rechaza cualquier simplicidad en la encriptación 34

Ejemplo de contraseña: pa$$w0rd Luego agregamos al usuario haciendo doble clic en el usuario y seleccionamos la opción miembro de, luego avanzadas y luego agregar ahora, luego seleccionamos la opción de usuario de escritorio remoto como se muestra en la imagen 9.1.- configuración de cliente VPN en Windows XP sp2 35

En el cliente que se encuentra en Windows XP, vamos a la opción conexiones de red y luego vamos a crear una nueva conexión de red Luego seleccionamos la opción conectarse a la red de mi lugar de trabajo y damos siguiente Luego seleccionamos la opción de red privada virtual 36

Escribimos el nombre del grupo de trabajo, damos siguiente y luego escribimos el nombre del host o la dirección IP de la maquina Luego finalizamos y aparecerá la opción de conexión a la red virtual, para esto tenemos que ingresar el nombre de usuario y contraseña y marcamos la opción conectar 37

Luego parecerá la opción para cambiar la contraseña, si se desea se puede renovar y aparecerá el icono de conexión a la red privada virtual 38

CONCLUSIONES Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro. El único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no está bien definido pueden existir consecuencias serias. Se deben tener en cuenta los requerimientos mínimos para el servidor en el caso del SO Windows server 2008 es RAM 512, 1GB recomendada procesador P IV o superior y disco duro de 10GB mínimos. Una VPN puede aprovechar infraestructura existente de TV Cable, banda ancha inalámbrica, conexiones de alta velocidad de tipo ADSL o ISDN, lo que implica un alto grado de flexibilidad y reducción de costos al momento de configurar la red. 39

LINKOGRAFÍA http://www.microsoft.com/latam/technet/mediana/25-50/soluciones/rmtmngmt_9.mspx http://www.ujaen.es/sci/redes/vpn/ http://es.kioskea.net/contents/configuration-reseau/vpn-xp.php3 http://fferrer.dsic.upv.es/cursos/windows/avanzado/ch10s03.html http://viaservercenter.com/index.php?option=com_content&task=view&id=25&itemid=50 http://technet.microsoft.com/es-es/library/cc725734(ws.10).aspx http://www.monografias.com/trabajos12/monvpn/monvpn.shtml http://www.configurarequipos.com/doc499.html http://wiki.ideauno.cl/index.php/servidores_vpn 40

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback