1

CONFIGURACIN DE UNA
RED PRIVADA VIRTUAL
(VPN)
UTILIZANDO WINDOWS
SERVER 2008
Por Braulio Alvarez Gonzaga
2
INDICE
INTRODUCCIN-----------------------------------------------------------------------------------01
ABSTRACT------------------------------------------------------------------------------------------02
SERVIDOR VPN------------------------------------------------------------------------------------03
1.- DEFINICIN-------------------------------------------------------------------------------------03
2.- ESTRUCTURA----------------------------------------------------------------------------------04
3.- ARQUITECTURAS BSICAS--------------------------------------------------------------06
3.1.- VPN de acceso remoto----------------------------------------------------------06
3.2.- VPN punto a punto----------------------------------------------------------------06
4.- FUNCIONAMIENTO---------------------------------------------------------------------------07
4.1.- TIPOS DE ENCRIPTACIN-----------------------------------------------------08
4.1.1.-Encriptacin con clave secreta------------------------------------08
4.1.2.- Encriptacin de clave pblica-------------------------------------09
5.- TECNOLOGIAS DEL SERVICIO VPN---------------------------------------------------09
5.1.- VPN de enrutador a enrutador------------------------------------------------09
5.2.- VPN de cliente a enrutador-----------------------------------------------------10
5.3.- Servidor de acceso a la red de cliente a VPN----------------------------11
6.- VENTAJAS DE IMPLEMENTAR UN SERVIVIO VPN-------------------------------12
6.1.- Reduccin de Costos------------------------------------------------------------12
6.2.- Seguridad----------------------------------------------------------------------------12
3
6.3.- Escalabilidad------------------------------------------------------------------------12
6.4.- Compatibilidad con tecnologas de banda ancha----------------------12
6.5.- Mayor productividad--------------------------------------------------------------13
7.- CARACTERSTICAS Y REQUERIMIENTOS-------------------------------------------13
8.- PROTOCOLOS UTILIZADOS EN LAS VPNS-----------------------------------------14
8.1.- PPTP (Point-to-Point Tunneling Protocol)--------------------------------14
8.2.- PROTOCOLO IPSec---------------------------------------------------------------17
8.3.- L2TP (Layer-2 Tunneling Protocol)------------------------------------------21
9.- Configuracin de una red privada virtual en Windows server 2008---------24
9.1.- Configuracin del cliente VPN en Windows XP sp2----------------------------33
CONCLUSIONES-----------------------------------------------------------------------------------36
LINKOGRAFA--------------------------------------------------------------------------------------37
4
INTRODUCCIN
Hace unos aos no era tan necesario conectarse a Internet por motivos
de trabajo. Conforme ha ido pasando el tiempo las empresas han visto
la necesidad de que las redes de rea local superen la barrera de lo
local permitiendo la conectividad de su personal y oficinas en otros
edificios, ciudades, comunidades autnomas e incluso pases.
Desgraciadamente, en el otro lado de la balanza se encontraban las
grandes inversiones que era necesario realizar tanto en hardware como
en software y por supuesto, en servicios de telecomunicaciones que
permitiera crear estas redes de servicio.
Afortunadamente con la aparicin de Internet, las empresas, centros de
formacin, organizaciones de todo tipo e incluso usuarios particulares
tienen la posibilidad de crear una Red privada virtual (VPN) que
permita, mediante una moderada inversin econmica y utilizando
Internet, la conexin entre diferentes ubicaciones salvando la
distancia entre ellas.
Las redes virtuales privadas utilizan protocolos especiales de seguridad
que permiten obtener acceso a servicios de carcter privado,
nicamente a personal autorizado, de una empresas, centros de
formacin, organizaciones, etc.; cuando un usuario se conecta va
Internet, la configuracin de la red privada virtual le permite conectarse
a la red privada del organismo con el que colabora y acceder a los
recursos disponibles de la misma como si estuviera tranquilamente
sentado en su oficina.
5
SERVIDOR VPN
1.- DEFINICIN:
Una Virtual Private Network (VPN) es un sistema para simular una red
privada sobre una red pblica, por ejemplo, Internet., la idea es que la red
pblica sea "vista" desde dentro de la red privada como un cable lgico que
une las dos o ms redes que pertenecen a la red privada.
Una VPN no es ms que una estructura de red corporativa implantada
sobre una red de recursos de carcter pblico, pero que utiliza el mismo
sistema de gestin y las mismas polticas de acceso que se usan en las
redes privadas, al fin y al cabo no es ms que la creacin en una red
pblica de un entorno de carcter confidencial y privado que permitir
trabajar al usuario como si estuviera en su misma red local.
La configuracin de una red privada virtual (VPN) garantiza que los equipos
remotos se conecten a travs de una conexin confiable (Internet), como si
estuvieran en la misma red de rea local.
Este proceso es utilizado por una variedad de compaas para permitir que
los usuarios se conecten a la red cuando no se encuentran en el sitio de
trabajo. Brinda una gran cantidad de usos posibles:
Acceso remoto y seguro a la red local (de la compaa) para los
empleados mviles.
Archivos compartidos con seguridad.
Juegos en la red local con equipos remotos.
El ejemplo ms comn es la posibilidad de conectar dos o ms sucursales
de una empresa utilizando como vnculo Internet, permitir a los miembros
del equipo de soporte tcnico la conexin desde su casa al centro de
6
cmputo, o que un usuario pueda acceder a su equipo domstico desde un
sitio remoto, como por ejemplo un hotel. Todo esto utilizando la
infraestructura de Internet.
Este sistema de conectividad privada es la forma ms econmica y fiable
del mercado para mantener conectados diversos puntos (computadoras) de
cualquier parte del mundo.
2.- ESTRUCTURA
Las VPNs tambin permiten la conexin de usuarios mviles a la red
privada, tal como si estuvieran en una LAN dentro de una oficina de la
empresa donde se implementa la VPN. Esto resulta muy conveniente para
personal que no tiene lugar fijo de trabajo dentro de la empresa, como
podran ser vendedores, ejecutivos que viajan, personal que realiza trabajo
desde el hogar, etc.
La forma de comunicacin entre las partes de la red privada a travs de la
red pblica se hace estableciendo tneles virtuales entre dos puntos para
los cuales se negocian esquemas de encriptacin y autentificacin que
aseguran la confidencialidad e integridad de los datos transmitidos
utilizando la red pblica. Como se usan redes pblicas, en general Internet,
es necesario prestar debida atencin a las cuestiones de seguridad, que se
7
aborda a travs de estos esquemas de encriptacin y autentificacin y que
se describirn luego.
La tecnologa de tneles ("Tunneling") es un modo de transferir datos en la
que se encapsula un tipo de paquetes de datos dentro del paquete de datos
de algn protocolo, no necesariamente diferente al del paquete original. Al
llegar al destino, el paquete original es desempaquetado volviendo as a su
estado original. En el traslado a travs de Internet, los paquetes viajan
encriptados.
Las tcnicas de autenticacin son esenciales en las VPNs, ya que aseguran
a los participantes de la misma que estn intercambiando informacin con
el usuario o dispositivo correcto. La autenticacin en VPNs es
conceptualmente parecido al logeo en un sistema como nombre de usuario
y contrasea, pero con necesidades mayores de aseguramiento de
validacin de identidades. La mayora de los sistemas de autenticacin
usados en VPN estn basados en un sistema de claves compartidas.
La autenticacin es llevada a cabo generalmente al inicio de una sesin, y
luego aleatoriamente durante el curso de la misma, para asegurar que no
haya algn tercer participante que se haya entrometido en la conversacin.
La autenticacin tambin puede ser usada para asegurar la integridad de
los datos. Los datos son procesados con un algoritmo de hashing para
derivar un valor incluido en el mensaje como checksum. Cualquier
desviacin en el checksum indica que los datos fueron corruptos en la
transmisin o interceptados y modificados en el camino.
Ejemplos de sistemas de autenticacin son Challenge Handshake
Authentication Protocol (CHAP) y RSA.
Todas las VPNs tienen algn tipo de tecnologa de encriptacin, que
esencialmente empaqueta los datos en un paquete seguro. La encriptacin
es considerada tan esencial como la autenticacin, ya que protege los datos
transportados de la poder ser vistos y entendidos en el viaje de un extremo
a otro de la conexin.
8
En las VPNs, la encriptacin debe ser realizada en tiempo real. Por eso, los
flujos encriptados a travs de una red son encriptados utilizando
encriptacin de clave secreta con claves que son solamente buenas para
sesiones de flujo.
El protocolo ms usado para la encriptacin dentro de las VPNs es IPSec,
que consiste en un conjunto de proposals del IETF que delinean un
protocolo IP seguro para IPv4 e IPv6. IPSec provee encriptacin a nivel de
IP.
El mtodo de tneles, como fue descrita anteriormente, es una forma de
crear una red privada. Permite encapsular paquetes dentro de paquetes
para acomodar protocolos incompatibles.
3.- ARQUITECTURAS BSICAS
3.1.- VPN de acceso remoto:
ste es quizs el modelo ms usado actualmente y consiste en usuarios o
proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hotel, aviones, etctera) utilizando Internet como
vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy
similar al que tienen en la red local de la empresa. Muchas empresas han
reemplazado con esta tecnologa su infraestructura dial-up (mdems y
lneas telefnicas), aunque por razones de contingencia todava conservan
sus viejos modems.
3.2.- VPN punto a punto:
Este esquema se utiliza para conectar oficinas remotas con la sede central
de organizacin. El servidor VPN, que posee un vnculo permanente a
Internet, acepta las conexiones va Internet provenientes de los sitios y
establece el tnel VPN. Los servidores de las sucursales se conectan a
Internet utilizando los servicios de su proveedor local de Internet,
9
tpicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vnculos punto a punto tradicional, sobre todo en las
comunicaciones internacionales es ms comn el anterior punto. Tambin
llamada tecnologa de tnel o tunneling.
Esquema
4.- FUNCIONAMIENTO:
Desde el punto de vista del usuario que se conecta a ella, el funcionamiento
de una VPN es similar al de cualquier red normal, aunque realmente para
que el comportamiento se perciba como el mismo hay un gran nmero de
elementos y factores que hacen esto posible.
La comunicacin entre los dos extremos de la red privada a travs de la red
pblica se hace estableciendo tneles virtuales entre esos dos puntos y
usando sistemas de encriptacin y autentificacin que aseguren la
confidencialidad e integridad de los datos transmitidos a travs de esa red
pblica. Debido al uso de estas redes pblicas, generalmente Internet, es
necesario prestar especial atencin a las cuestiones de seguridad para
10
evitar accesos no deseados.
La tecnologa de tneles (Tunneling) es un modo de envo de datos en el
que se encapsula un tipo de paquetes de datos dentro del paquete de datos
propio de algn protocolo de comunicaciones, y al llegar a su destino, el
paquete original es desempaquetado volviendo as a su estado original.
En el traslado a travs de Internet, los paquetes viajan encriptados, por este
motivo, las tcnicas de autenticacin son esenciales para el correcto
funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que
estn intercambiando informacin con el usuario o dispositivo correcto.
La autenticacin en redes virtuales es similar al sistema de inicio de sesin
a travs de usuario y contrasea, pero tienes unas necesidades mayores de
aseguramiento de validacin de identidades. Todas las VPNs usan algn
tipo de tecnologa de encriptacin, que empaqueta los datos en un paquete
seguro para su envo por la red pblica.
La encriptacin hay que considerarla tan esencial como la autenticacin, ya
que permite proteger los datos transportados de poder ser vistos y
entendidos en el viaje de un extremo a otro de la conexin.
4.1.- TIPOS DE ENCRIPTACIN
4.1.1.-Encriptacin con clave secreta
Esta encriptacin se utiliza una contrasea secreta conocida por todos los
participantes que van a hacer uso de la informacin encriptada. La
contrasea se utiliza tanto para encriptar como para desencriptar la
informacin. Este tipo de sistema tiene el problema que, al ser compartida
por todos los participantes y debe mantenerse secreta, al ser revelada,
tiene que ser cambiada y distribuida a los participantes, lo que puede crear
11
problemas de seguridad.
4.1.2.- Encriptacin de clave pblica
Esta encriptacin implica la utilizacin de dos claves, una pblica y una
secreta. La primera es enviada a los dems participantes. Al encriptar, se
usa la clave privada propia y la clave pblica del otro participante de la
conversacin. Al recibir la informacin, sta es desencriptada usando su
propia clave privada y la pblica del generador de la informacin. La gran
desventaja de este tipo de encriptacin es que resulta ser ms lenta que la
de clave secreta.
En las redes virtuales, la encriptacin debe ser realizada en tiempo real, de
esta manera, los flujos de informacin encriptada a travs de una red lo es
utilizando encriptacin de clave secreta con claves que son vlidas
nicamente para la sesin usada en ese momento.
5.- TECNOLOGIAS DEL SERVICIO VPN
5.1.- VPN de enrutador a enrutador:
12
ste es por lo general un canal de seguridad del Protocolo de Internet
(IPSec) entre los enrutadores. La VPN de enrutador a enrutador se debe
utilizar si todas las oficinas pequeas forman parte de una organizacin
central. Por lo general esta opcin reemplaza las lneas privadas de punto a
punto o circuitos del esquema.
La siguiente figura ilustra el concepto de una VPN de enrutador a enrutador.
5.2.- VPN de cliente a enrutador:
Por lo general esta es una conexin de cliente a enrutador de la VPN del
IPSec. Normalmente las VPNs de cliente a enrutador se utilizan para el
soporte administrativo. Los administradores se pueden conectar al
enrutador a travs de la VPN y administrar los sistemas o resolver los
problemas. Algunos firewalls proporcionan soporte VPN para mltiples
usuarios. Por lo general los firewalls brindan soporte a los clientes
propietarios, pero es mejor si cuentan con el soporte de clientes VPN de
Microsoft Windows XP nativos. Se recomienda utilizar software que no es
de Microsoft en PCs slo como una VPN alternativa para administradores o
ingenieros de soporte debido a la complejidad que involucra su
administracin.
La siguiente figura ilustra el concepto de una VPN de cliente a enrutador.
13
5.3.- Servidor de acceso a la red de cliente a VPN:
Tanto Windows Server 2003 como Windows Small Business Server 2003
incluyen el servicio de Enrutamiento y acceso remoto, que es una puerta de
enlace del Servidor de acceso a la red que incluye todas las funciones y
cuenta con soporte para todo tipo de protocolos VPN, tales como el
Protocolo de tnel punto a punto (PPTP), IPSec, y L2TP/IPSec.
El Servidor de acceso a la red de cliente a VPN siempre se debe utilizar
para usuarios remotos y mviles. Tambin lo pueden utilizar los
administradores e ingenieros de soporte. Si Windows Small Business
Server 2003 se instala en la oficina pequea, se debe utilizar como el
Servidor de acceso a la red. El servicio de Enrutamiento y acceso remoto se
puede configurar para dar soporte al PPTP y L2TP/IPSec; ambos
protocolos son muy seguros. L2TP/IPSec requiere que los certificados del
PC se utilicen correctamente. Por esta razn, el PPTP es una opcin mejor
y ms sencilla.
La siguiente figura ilustra el uso del Servidor de acceso a la red de cliente a
VPN para usuarios remotos y mviles.
14
6.- VENTAJAS DE IMPLEMENTAR UN SERVIVIO VPN
6.1.- Reduccin de Costos
Una VPN permite a una organizacin aprovecharse de las economas de
escala y eficiencia propias de especialistas en transmisin de datos e
Internet. Se hace posible entonces eliminar las lneas dedicadas punto-a-
punto de muy alto precio que caracterizaron a muchas empresas con
presencia regional por aos, reemplazndolos por ejemplo, por accesos de
tipo ADSL banda ancha y a bajo costo, disponibles en muchas reas
urbanas sin problemas.
6.2.- Seguridad
Una VPN utiliza los ms altos estndares de seguridad para la transmisin
de datos, como por ejemplo el protocolo de encriptacin 3DES (Triple Data
Encryption Standard) y el protocolo Ipsec (IP Security Protocol) para el
manejo de los "tneles" de software. Asimismo, se usan varios tipos de
autenticacin de usuarios para asegurarse que quienes se comunican son
realmente quienes dicen ser.
6.3.- Escalabilidad
Agregar usuarios a una VPN es casi trivial. No hay que realizar inversiones
adicionales y la provisin de servicios se hace con dispositivos fciles de
usar y configurar y bsicamente lo que se hace es usar la infraestructura de
los proveedores de Internet en la red. La empresa descansa entonces en
esa infraestructura de alto nivel.
6.4.- Compatibilidad con tecnologas de banda ancha
15
Una VPN puede aprovechar infraestructura existente de TV Cable, banda
ancha inalmbrica, conexiones de alta velocidad de tipo ADSL o ISDN, lo
que implica un alto grado de flexibilidad y reduccin de costos al momento
de configurar la red.
6.5.- Mayor productividad
Si los empleados de la empresa cuentan con una VPN, la usarn. Est
probado que la disponibilidad de estas tecnologas aumenta la
productividad de los usuarios, que se mantienen "conectados" ms tiempo y
con mejor nivel de acceso, y se fomenta el tele trabajo con la consiguiente
reduccin en las necesidades de espacio fsico.
Una VPN provee ms acceso y ms seguridad para sus usuarios. Lo hace
con tecnologa moderna y a niveles de costo significativamente inferiores a
las redes privadas tradicionales, conformadas por infraestructura propia con
altos requerimientos de soporte que obligan a la empresa a ocuparse de
asuntos que no son estratgicos para el negocio.
7.- CARACTERSTICAS Y REQUERIMIENTOS
Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling) para la
transmisin de datos mediante un proceso de encapsulacin y en su
16
defecto de encriptacin, esto es importante a la hora de diferenciar Redes
Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas
telefnicas dedicadas para formar la red.
Seguridad, estableciendo un tnel de informacin encriptada entre su
servidor y el proveedor de acceso a Internet.
Requerimientos mnimos para un servidor VPN:
RAM 512MB.
Procesador Pentium IV.
HD 10GB
8.- PROTOCOLOS UTILIZADOS EN LAS VPNS
8.1.- PPTP (Point-to-Point Tunneling Protocol)
Fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics,
3Com Corporation, Microsoft, y ECI Telematics para proveer entre usuarios
de acceso remoto y servidores de red una red privada virtual.
Como protocolo de tnel, PPTP encapsula datagramas de cualquier
protocolo de red en datagramas IP, que luego son tratados como cualquier
otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que
cualquier protocolo puede ser ruteado a travs de una red IP, como
Internet.
PPTP fue diseado para permitir a los usuarios conectarse a un servidor
RAS desde cualquier punto en Internet para tener la misma autenticacin,
encriptacin y los mismos accesos de LAN como si discaran directamente
al servidor. En vez de discar a un modem conectado al servidor RAS, los
17
usuarios se conectan a su proveedor y luego "llaman" al servidor RAS a
travs de Internet utilizando PPTP.
Existen dos escenarios comunes para este tipo de VPN:
el usuario remoto se conecta a un ISP que provee el servicio de
PPTP hacia el servidor RAS.
el usuario remoto se conecta a un ISP que no provee el servicio de
PPTP hacia el servidor RAS y, por lo tanto, debe iniciar la conexin
PPTP desde su propia mquina cliente.
Para el primero de los escenarios, el usuario remoto estable una conexin
PPP con el ISP, que luego establece la conexin PPTP con el servidor
RAS. Para el segundo escenario, el usuario remoto se conecta al ISP
mediante PPP y luego "llama" al servidor RAS mediante PPTP. Luego de
establecida la conexin PPTP, para cualquiera de los dos casos, el usuario
remoto tendr acceso a la red corporativa como si estuviera conectado
directamente a la misma.
La tcnica de encapsulamiento de PPTP se basa en el protocolo Generic
Routing Encapsulation (GRE), que puede ser usado para realizar tneles
para protocolos a travs de Internet. La versin PPTP, denominada GREv2,
aade extensiones para temas especficos como Call Id y velocidad de
conexin.
El paquete PPTP est compuesto por un header de envo, un header Ip, un
header GREv2 y el paquete de carga. El header de envo es el protocolo
18
enmarcador para cualquiera de los medios a travs de los cuales el paquete
viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene informacin
relativa al paquete IP, como ser, direcciones de origen y destino, longitud
del datagrama enviado, etc. El header GREv2 contiene informacin sobre el
tipo de paquete encapsulado y datos especficos de PPTP concernientes a
la conexin entre el cliente y servidor. Por ltimo, el paquete de carga es el
paquete encapsulado, que, en el caso de PPP, el datagrama es el original
de la sesin PPP que viaja del cliente al servidor y que puede ser un
paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas
del encapsulamiento PPTP.
Para la autenticacin, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y
aceptar cualquier tipo, inclusive texto plano. Si se utiliza CHAP, standard en
el que se intercambia un "secreto" y se comprueba ambos extremos de la
conexin coincidan en el mismo, se utiliza la contrasea de Windows NT,
en el caso de usar este sistema operativo, como secreto. MS-CHAP es un
standard propietario de Microsoft y resulta ser una ampliacin de CHAP.
Para la tercer opcin, el servidor RAS aceptar CHAP, MS-CHAP o PAP
(Password Autenthication Protocol), que no encripta las contraseas.
19
Para la encriptacin, PPTP utiliza el sistema RC4 de RSA, con una clave de
sesin de 40 bits.
8.2.- PROTOCOLO IPSec
IPSec trata de remediar algunas falencias de IP, tales como proteccin de
los datos transferidos y garanta de que el emisor del paquete sea el que
dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a
ambos de una manera uniforme.
IPSec provee confidencialidad, integridad, autenticidad y proteccin a
repeticiones mediante dos protocolos, que son Authentication Protocol (AH)
y Encapsulated Security Payload (ESP).
Por confidencialidad se entiende que los datos transferidos sean slo
entendidos por los participantes de la sesin.
Por integridad se entiende que los datos no sean modificados en el trayecto
de la comunicacin.
Por autenticidad se entiende por la validacin de remitente de los datos.
Por proteccin a repeticiones se entiende que una sesin no pueda ser
grabada y repetida salvo que se tenga autorizacin para hacerlo.
AH provee autenticacin, integridad y proteccin a repeticiones pero no as
confidencialidad. La diferencia ms importante con ESP es que AH protege
partes del header IP, como las direcciones de origen y destino.
20
ESP provee autenticacin, integridad, proteccin a repeticiones y
confidencialidad de los datos, protegiendo el paquete entero que sigue al
header.
AH sigue al header IP y contiene diseminaciones criptogrficas tanto en los
datos como en la informacin de identificacin. Las diseminaciones pueden
tambin cubrir las partes invariantes del header IP.
El header de ESP permite rescribir la carga en una forma encriptada. Como
no considera los campos del header IP, no garantiza nada sobre el mismo,
slo la carga.
Una divisin de la funcionalidad de IPSec es aplicada dependiendo de
dnde se realiza la encapsulacin de los datos, si es la fuente original o un
gateway:
El modo de transporte es utilizado por el host que genera los
paquetes. En este modo, los headers de seguridad son antepuestos a
los de la capa de transporte, antes de que el header IP sea incorporado
al paquete. En otras palabras, AH cubre el header TCP y algunos
campos IP, mientras que ESP cubre la encriptacin del header TCP y los
datos, pero no incluye ningn campo del header IP.
El modo de tnel es usado cuando el header IP entre extremos est
ya incluido en el paquete, y uno de los extremos de la conexin segura
es un gateway. En este modo, tanto AH como ESP cubren el paquete
entero, incluyendo el header IP entre los extremos, agregando al
paquete un header IP que cubre solamente el salto al otro extremo de la
21
conexin segura, que, por supuesto, puede estar a varios saltos del
gateway.
Los enlaces seguros de IPSec son definidos en funcin de Security
Associations (SA). Cada SA est definido para un flujo unidireccional de
datos y generalmente de un punto nico a otro, cubriendo trfico
distinguible por un selector nico. Todo el trfico que fluye a travs de un
SA es tratado de la misma manera. Partes del trfico puede estar sujeto a
varios SA, cada uno de los cuales aplica cierta transformacin. Grupos de
SA son denominados SA Bundles. Paquetes entrantes pueden ser
asignados a un SA especfico por los tres campos definitorios: la direccin
IP de destino, el ndice del parmetro de seguridad y el protocolo de
seguridad. El SPI puede ser considerado una cookie que es repartido por el
receptor del SA cuando los parmetros de la conexin son negociados. El
protocolo de seguridad debe ser AH o ESP. Como la direccin IP de destino
es parte de la tripleta antes mencionada, se garantiza que este valor sea
nico.
Un ejemplo de paquete AH en modo tnel es:
22
Un ejemplo de paquete AH en modo transporte es:
Como ESP no puede autentificar el header IP ms exterior, es muy til
combinar un header AH y ESP para obtener lo siguiente:
Este tipo de paquete se denomina Transport Adjacency.
La versin de entunelamiento sera:
Sin embargo, no es mencionado en las RFC que definen estos protocolos.
Como en Transport Adjacency, esto autenticara el paquete completo salvo
algunos pocos campos del header IP y tambin encriptara la carga.
Cuando un header AH y ESP son directamente aplicados como en esta
manera, el orden de los header debe ser el indicado. Es posible, en el modo
de tnel, hacer una encapsulacin arbitrariamente recursiva para que el
orden no sea el especificado.
23
8.3.- L2TP (Layer-2 Tunneling Protocol)
Layer-2 Tunneling Protocol (L2TP) facilita el entunelamiento de paquetes
PPP a travs de una red de manera tal que sea lo ms transparente posible
a los usuarios de ambos extremos del tnel y para las aplicaciones que
stos corran.
El escenario tpico L2TP, cuyo objetivo es la creacin de entunelar marcos
PPP entre el sistema remoto o cliente LAC y un LNS ubicado en una LAN
local, es el que se muestra en la siguiente figura:
Un L2TP Access Concentrator (LAC) es un nodo que acta como un
extremo de un tnel L2TP y es el par de un LNS. Un LAC se sita entre un
LNS y un sistema remoto y manda paquetes entre ambos. Los paquetes
entre el LAC y el LNS son enviados a travs del tnel L2TP y los paquetes
entre el LAC y el sistema remoto es local o es una conexin PPP.
Un L2TP Network Server (LNS) acta como el otro extremo de la conexin
L2TP y es el otro par del LAC. El LNS es la terminacin lgica de una
24
sesin PPP que est siendo puesta en un tnel desde el sistema remoto
por el LAC.
Un cliente LAC, una mquina que corre nativamente L2TP, puede participar
tambin en el tnel, sin usar un LAC separado. En este caso, estar
conectado directamente a Internet.
El direccionamiento, la autenticacin, la autorizacin y el servicio de
cuentas son provedos por el Home LANs Management Domain.
L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de
control son usados para el establecimiento, el mantenimiento y el borrado
de los tneles y las llamadas. Utilizan un canal de control confiable dentro
de L2TP para garantizar el envo. Los mensajes de datos encapsulan los
marcos PPP y son enviados a travs del tnel.
La siguiente figura muestra la relacin entre los marcos PPP y los mensajes
de control a travs de los canales de control y datos de L2TP.
Los marcos PPP son enviados a travs de un canal de datos no confiable,
encapsulado primero por un encabezado L2TP y luego por un transporte de
paquetes como UDP, Frame Relay o ATM. Los mensajes de control son
25
enviados a travs de un canal de control L2TP confiable que transmite los
paquetes sobre el mismo transporte de paquete.
Se requiere que haya nmeros de secuencia en los paquetes de control,
que son usados para proveer el envo confiable en el canal de control. Los
mensajes de datos pueden usar los nmeros de secuencia para reordenar
paquetes y detectar paquetes perdidos.
Al correr sobre UDP/IP, L2TP utiliza el puerto 1701. El paquete entero de
L2TP, incluyendo la parte de datos y el encabezado, viaja en un datagrama
UDP. El que inicia un tnel L2TP toma un puerto UDP de origen que est
disponible, pudiendo ser o no el 1701 y enva a la direccin de destino
sobre el puerto 1701. Este extremo toma un puerto libre, que puede ser o
no el 1701, y enva la respuesta a la direccin de origen, sobre el mismo
puerto iniciador. Luego de establecida la conexin, los puertos quedan
estticos por el resto de la vida del tnel.
En la autenticacin de L2TP, tanto el LAC como el LNS comparten un
secreto nico. Cada extremo usa este mismo secreto al actuar tanto como
autenticado como autenticador.
Sobre la seguridad del paquete L2TP, se requiere que el protocolo de
transporte de L2TP tenga la posibilidad de brindar servicios de encriptacin,
autenticacin e integridad para el paquete L2TP en su totalidad. Como tal,
L2TP slo se preocupa por la confidencialidad, autenticidad e integridad de
los paquetes L2TP entre los puntos extremos del tnel, no entre los
extremos fsicos de la conexin.
26
9.- Configuracin de una red privada virtual en Windows server 2008
Vamos a administrador del servidor en inicio
Vamos a la opcin funciones
Damos siguiente y vamos a la opcin funciones del servidor y seleccionamos
servicio de acceso y directivas de redes
27
Damos siguiente y seleccionamos todos los servicios que se ofrecen
Damos siguiente y seleccionamos la opcin seleccionar un CA ms adelante con
la consola HRA y seleccionamos la opcin siguiente
Seleccionamos siguiente y vamos a la opcin no usar SSL o elegir ms adelante
28
Damos siguiente y seleccionamos instalar y esperamos la instalacin
Una vez que ha terminado de instalar cerramos el asistente de instalacin
29
Vamos a propiedades de conexin de redes y hacemos anti clic y vamos a
propiedades para configurar la direccin IP
Para el ejemplo configuraremos la IP siguiente
Vamos a inicio, seleccionamos ejecutar y en el smbolo del sistema escribimos el
comando Ipconfig , esto permitir comprobar si se ha configurado la direccin ip
asignada
30
Luego cambiamos el nombre del grupo de trabajo, para que sea fcil de recordar
usaremos VPN
Luego vamos a herramientas administrativas y seleccionamos la opcin
enrutamiento y acceso remoto
31
En la opcin de enrutamiento y acceso remoto hacemos anti clic en el nombre del
servidor y vamos a la opcin configurar y habilitar acceso remoto y esperamos
que aparezca el asistente de instalacin
Marcamos la opcin siguiente y seleccionamos la configuracin personalizada y
marcamos las opciones acceso a VPN y enrutamiento LAM
32
Seleccionamos siguientes e iniciamos el
servicio
En la opcin IPV4 ampliamos las opciones y seleccionamos rutas estticas y
seleccionamos crear una ruta esttica nueva
Damos la siguiente configuracin del router
33
Luego vamos a la opcin configuracin de directiva de redes
Luego habilitamos las conexiones del servidor y las conexiones de servicio de
acceso seleccionando las opciones que se muestran en la imagen
Las opciones deben de aparecer habilitadas de la siguiente manera
34
Luego vamos al administrador de equipo en inicio y seleccionamos la opcin
usuarios y equipos locales y creamos un usuario nuevo
Luego completamos la informacin que se pide: el nombre de usuario y la
contrasea, la contrasea sebe de contener smbolos, letras maysculas y
minsculas, ya que el sistema de seguridad de Windows server rechaza cualquier
simplicidad en la encriptacin
35
Ejemplo de contrasea: pa$$w0rd
Luego agregamos al usuario haciendo doble clic en el usuario y seleccionamos la
opcin miembro de, luego avanzadas y luego agregar ahora, luego seleccionamos
la opcin de usuario de escritorio remoto como se muestra en la imagen
9.1.- configuracin de cliente VPN en Windows XP sp2
36
En el cliente que se encuentra en Windows XP, vamos a la opcin conexiones de
red y luego vamos a crear una nueva conexin de red
Luego seleccionamos la opcin conectarse a la red de mi lugar de trabajo y damos
siguiente
Luego seleccionamos la opcin de red privada virtual
37
Escribimos el nombre del grupo de trabajo, damos siguiente y luego escribimos el
nombre del host o la direccin IP de la maquina
Luego finalizamos y aparecer la opcin de conexin a la red virtual, para esto
tenemos que ingresar el nombre de usuario y contrasea y marcamos la opcin
conectar
38
Luego parecer la opcin para cambiar la contrasea, si se desea se puede
renovar y aparecer el icono de conexin a la red privada virtual
39
CONCLUSIONES
Las VPN representan una gran solucin para las empresas en cuanto a
seguridad, confidencialidad e integridad de los datos y prcticamente se ha
vuelto un tema importante en las organizaciones, debido a que reduce
significativamente el costo de la transferencia de datos de un lugar a otro.
El nico inconveniente que pudieran tener las VPN es que primero se
deben establecer correctamente las polticas de seguridad y de acceso
porque si esto no est bien definido pueden existir consecuencias serias.
Se deben tener en cuenta los requerimientos mnimos para el servidor en el
caso del SO Windows server 2008 es RAM 512, 1GB recomendada
procesador P IV o superior y disco duro de 10GB mnimos.
Una VPN puede aprovechar infraestructura existente de TV Cable, banda
ancha inalmbrica, conexiones de alta velocidad de tipo ADSL o ISDN, lo
que implica un alto grado de flexibilidad y reduccin de costos al momento
de configurar la red.
40
LINKOGRAFA
http://www.microsoft.com/latam/technet/mediana/25-50/soluciones/rmtmngmt_9.mspx
http://www.ujaen.es/sci/redes/vpn/
http://es.kioskea.net/contents/configuration-reseau/vpn-xp.php3
http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s03.html
http://viaservercenter.com/index.php?option=com_content&task=view&id=25&Itemid=50
http://technet.microsoft.com/es-es/library/cc725734(WS.10).aspx
http://www.monografias.com/trabajos12/monvpn/monvpn.shtml
http://www.configurarequipos.com/doc499.html
http://wiki.ideauno.cl/index.php/Servidores_VPN