Anda di halaman 1dari 7

Introduccin a las VPN

Una VPN (Virtual Private Network) es una tecnologa que permite extender de forma segura una red privada sobre otra
pblica como Internet.
Comunmente las VPN se usan para trabajar en la red de una empresa sin estar fsicamente en ella. Una vez
conectados al servidor VPN de la empresa, nuestro ordenador pasar a formar parte de la red de la empresa,
accediendo a los servidores y recursos disponibles en la misma.

El mecanismo se describe el siguiente diagrama:


Caractersticas de una VPN

Una VPN debe garantizar dos cuestiones fundamentales:

Autenticacin de usuario. Cuando conectamos al servidor de VPN deberemos identificarnos con un
certificado o un usuario/contrasea. De este modo se restringe el acceso a personas no autorizadas.

Cifrado de datos. Dado que la conexin a una VPN implica la circulacin de datos por redes "pblicas", si
queremos garantizar la confidencialidad de los mismos deberemos cifrarlos. El cifrado se realiza con algoritmos
de clave simtrica (DES o 3DES) cuyas claves han sido intercambiadas previamente mediante el tpico
handshaking SSL.

Tipos de VPN segn el mecanismo de conexin

Hay varios tipos de VPN:
VPN punto a punto. Muy poco usada en la actualidad. Esta modalidad implica la conexin al servidor de VPN
mediante lneas de datos dedicadas: modem, RDSI, etc.

Tunneling. Es el tipo de VPN ms frecuente hoy en da. El servidor VPN de la empresa es visible en Internet y
conectamos al mismo a travs de nuestro ISP (proveedor de acceso a internet). La conexin est cifrada para
evitar "escuchas" no deseadas. El protocolo de red usado en la empresa (por ejemplo IPX) queda encapsulado
y cifrado dentro del protocolo que usamos para transmitir/recibir datos en Internet (por ejemplo TCP/IP).











Usos tpicos de las VPN

Hoy en da las VPN se usan tambin en escenarios distintos del escenario para el que fueron ideadas (conexin remota
a la red local de la empresa). Algunos de estos escenarios son:

Aislar dentro de la LAN (red de area local) de una empresa una subred con informacin sensible. Por
ejemplo podramos tener todos los servidores y ordenadores del departamento de investigacin y desarrollo en
una VPN montada sobre la propia LAN para evitar escuchas de los paquetes por parte de empleados
desleales, la informacin de la VPN se mueve por la LAN, pero cifrada.

Navegacin annima en Internet. Navegar por Internet con nuestra propia direccin IP y sin encriptar acarrea
deficiencias de seguridad: se dejan muchos rastros de nuestras actividades en todo tipo de servidores, hay
portales como Netflix que slo son visibles desde determinadas zonas geogrficas (EEUU), las empresas
colocan proxies que limitan el acceso a determinados servicios (youtube, facebook, irc, descargas, etc), etc.





Hay muchos proveedores de VPN en Internet que permiten una navegacin segura y annima. Muchos son de pago y
haya algunos gratutos. Ojo con estos ltimos, no adelantamos mucho navegando en modo cifrado si el servidor VPN
no es confiable, Yo nunca realizara una transaccin bancaria o un pago con tarjeta a travs de un servidor de este tipo.

La utilizacin de una conexin VPN gratuta o de pago nos permite:
Que nuestros paquetes de datos estn cifrados, por lo que nadie conoce qu estamos realizando.
Podemos conectar a un servidor VPN de la zona geogrfica que nos interese (por ejemplo EEUU), con lo que
accederamos a portales como Netflix.
Si el proxy de la empresa no nos deja acceder a YouTube, podemos conectar a un servidor VPN y acceder con
la IP de la red virtual a YouTube. El proxy de la empresa no puede ver los datos de nuestros paquetes, dado
que van cifrados, por lo que no puede restringirnos el acceso.







Protocolos VPN

El protocolo estndar de facto es el IPSEC, pero tambin estn PPTP, L2F, L2TP, SSL/TLS, SSH, etc.

Los distintos protocolos VPN tienen puntos fuertes y puntos dbiles. Vamos a comparar las tres ms comunes:
PPTP. PPTP (Protocolo de Tnel Punto a Punto) es un buen protocolo VPN ligero que ofrece una seguridad
bsica en lnea y velocidades rpidas. PPTP est integrado en una gran variedad de equipos de sobremesa y
dispositivos mviles y cuenta con encriptacin de 128 bits. PPTP es una buena eleccin si OpenVPN no est
disponible en su dispositivo y la velocidad es la mxima prioridad.

IPSEC. L2TP (Protocolo de tunelizacin de Capa 2) con IPsec (Seguridad de IP) es un protocolo integrado muy
seguro para una amplia variedad de dispositivos de escritorio y mviles. L2TP/IPsec ofrece un encriptado de
256-bits, pero la seguridad extra de sobrecarga requiere ms uso del CPU que PPTP. L2TP/IPsec es una
eleccin excelente si OpenVPN no est disponible en su dispositivo, pero usted quiere ms seguridad que
PPTP.

OpenVPN(SSL). OpenVPN es el protocolo VPN premier diseado para redes de banda ancha modernas, pero
no es compatible con los dispositivos mviles y tablets. OpenVPN ofrece un encripado de 256-bits y es
extremadamente estable y rpido en las redes con largas distancias y alto tiempo de espera. Provee mayor
seguridad que PPTP y requere menor uso de CPU que L2TP/IPsec. OpenVPN es el protocolo recomendado
para escritorios incluyendo Windows, Mac OS X, y Linux.

Lo habitual es utilizar software tanto en el servidor como en los clientes VPN, pero tambin se puede montar la VPN
mediante hardware, lo que da una mayor velocidad a las comunicaciones, pero es mucho mas caro y ofrece menos
versatilidad.



































Protocolos de tnel VPN
Los tneles permiten la encapsulacin de un paquete de un tipo de protocolo dentro del datagrama a un protocolo
diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a travs de una red pblica, como Internet. Es
posible configurar una solucin VPN basada en el protocolo de tnel punto a punto (PPTP), el protocolo de tnel de
capa dos (L2TP) o el protocolo de tnel de sockets seguros (SSTP).

PPTP, L2TP y SSTP dependen en gran medida de las caractersticas especificadas originalmente para el protocolo
punto a punto (PPP). PPP se dise para enviar datos a travs de conexiones punto a punto de acceso telefnico o
dedicado. Para IP, PPP encapsula los paquetes IP dentro de tramas PPP y luego transmite los paquetes PPP
encapsulados a travs de un vnculo punto a punto. PPP se defini originalmente como el protocolo que deba usarse
entre un cliente de acceso telefnico y un servidor de acceso a la red.

PPTP

PPTP permite que el trfico multiprotocolo se cifre y se encapsule en un encabezado IP para que, de este modo, se
enve a travs de una red IP o una red IP pblica, como Internet. PPTP puede utilizarse para el acceso remoto y las
conexiones VPN entre sitios. Cuando se usa Internet como la red pblica de una VPN, el servidor PPTP es un servidor
VPN habilitado para PPTP con una interfaz en Internet y una segunda interfaz en la intranet.

Encapsulacin

PPTP encapsula las tramas PPP en datagramas IP para su transmisin a travs de la red. PPTP usa una conexin
TCP para la administracin del tnel y una versin modificada de GRE (encapsulacin de enrutamiento genrico) para
encapsular las tramas PPP de los datos enviados a travs del tnel. Las cargas de las tramas PPP encapsuladas
pueden cifrarse, comprimirse o ambas cosas. En la siguiente ilustracin se muestra la estructura de un paquete PPTP
que contiene un datagrama IP.

Estructura de un paquete PPTP que contiene un datagrama IP



Cifrado

La trama PPP se cifra con MPPE (cifrado punto a punto de Microsoft) mediante el uso de claves de cifrado generadas a
partir del proceso de autenticacin MS-CHAP v2 o EAP-TLS. Los clientes de la red privada virtual deben usar el
protocolo de autenticacin MS-CHAP v2 o EAP-TLS para poder cifrar las cargas de las tramas PPP. PPTP aprovecha
el cifrado PPP subyacente y encapsula una trama PPP previamente cifrada.










L2TP

L2TP permite cifrar el trfico multiprotocolo y enviarlo a travs de cualquier medio compatible con la entrega de
datagramas punto a punto, como IP o ATM (modo de transferencia asincrnico). L2TP es una combinacin de PPTP y
L2F (reenvo de nivel 2), una tecnologa desarrollada por Cisco Systems, Inc. L2TP presenta las mejores caractersticas
de PPTP y L2F.

A diferencia de PPTP, la implementacin de Microsoft de L2TP no usa MPPE para cifrar los datagramas PPP. L2TP se
basa en IPsec (protocolo de seguridad de Internet) en modo de transporte para los servicios de cifrado. La combinacin
de L2TP e IPsec se denomina L2TP/IPsec.

Tanto el cliente como el servidor VPN deben ser compatibles con L2TP e IPsec. La compatibilidad del cliente con L2TP
est integrada en los clientes de acceso remoto de Windows Vista y Windows XP y la compatibilidad del servidor VPN
con L2TP est integrada en los miembros de las familias de Windows Server 2008 y Windows Server 2003.
L2TP se instala con el protocolo TCP/IP.

Encapsulacin

La encapsulacin de los paquetes L2TP/IPsec consta de dos niveles:

Primer nivel: encapsulacin L2TP
Una trama PPP (un datagrama IP) se encapsula con un encabezado L2TP y un encabezado UDP.

Estructura de un paquete L2TP que contiene un datagrama IP



Segundo nivel: encapsulacin IPsec

El mensaje L2TP se encapsula con un encabezado y un finalizador ESP (carga de seguridad encapsuladora) IPsec, un
finalizador de autenticacin IPsec que proporciona integridad y autenticacin de mensaje y un encabezado IP final. En
el encabezado IP se encuentran las direcciones IP de origen y destino que corresponden al cliente y al servidor VPN.















Cifrado de trfico L2TP con ESP IPsec




Cifrado

El mensaje L2TP se cifra con DES (estndar de cifrado de datos) o 3DES (Triple DES) mediante el uso de las claves de
cifrado generadas en el proceso de negociacin de IKE (intercambio de claves por red).

SSTP

El protocolo de tnel de sockets seguros (SSTP) es un nuevo protocolo de tnel que usa el protocolo HTTPS a travs
del puerto TCP 443 para hacer pasar el trfico a travs de firewalls y proxies web que podran bloquear el trfico PPTP
y L2TP/IPsec. SSTP proporciona un mecanismo para encapsular el trfico PPP a travs de un canal SSL (capa de
sockets seguros) del protocolo HTTPS. El uso de PPP permite la compatibilidad con mtodos de autenticacin seguros,
como EAP-TLS. SSL proporciona seguridad de nivel de transporte con negociacin de claves mejorada, cifrado y
comprobacin de integridad.

Cuando un cliente trata de establecer una conexin VPN basada en SSTP, lo primero que hace SSTP es establecer un
nivel HTTPS bidireccional con el servidor SSTP. A travs de este nivel HTTPS, los paquetes del protocolo se
transmiten como la carga de datos.

Encapsulacin

SSTP encapsula las tramas PPP en datagramas IP para su transmisin a travs de la red. SSTP usa una conexin
TCP (a travs del puerto 443) para la administracin del tnel, as como tramas de datos PPP.

Cifrado

El mensaje SSTP se cifra con el canal SSL del protocolo HTTPS.














Seleccin de protocolos de tnel

A la hora de elegir entre las soluciones VPN de acceso remoto basadas en PPTP, L2TP/IPsec y SSTP, tenga en cuenta
los siguientes aspectos:
PPTP puede utilizarse con diversos clientes de Microsoft, como Microsoft Windows 2000, Windows XP,
Windows Vista, y Windows Server 2008. Al contrario que L2TP/IPsec, PPTP no requiere el uso de una
infraestructura de clave pblica (PKI). Gracias al cifrado, las conexiones VPN basadas en PPTP proporcionan
confidencialidad de datos (los paquetes capturados no pueden interpretarse sin la clave de cifrado). Sin
embargo, las conexiones VPN basadas en PPTP no ofrecen integridad de datos (pruebas de que los datos no
se modificaron durante su trnsito) ni autenticacin del origen de datos (pruebas de que los datos fueron
enviados por el usuario autorizado).
L2TP slo puede usarse en equipos cliente que ejecuten Windows 2000, Windows XP o Windows Vista. L2TP
admite certificados de usuario o una clave previamente compartida como mtodo de autenticacin para IPsec.
La autenticacin de certificados de equipo, que es el mtodo de autenticacin recomendado, requiere una PKI
para emitir certificados de equipo al servidor VPN y a todos los equipos cliente VPN. Gracias a IPsec, las
conexiones VPN basadas en L2TP/IPsec proporcionan confidencialidad, integridad y autenticacin de datos.

A diferencia de PPTP y SSTP, L2TP/IPsec permite la autenticacin de equipos en el nivel IPsec y la
autenticacin de usuario en el nivel PPP.
SSTP slo puede usarse con equipos cliente que ejecuten Windows Vista Service Pack 1 (SP1) o Windows
Server 2008. Gracias a SSL, las conexiones VPN basadas en SSTP proporcionan confidencialidad, integridad y
autenticacin de datos.
Los tres tipos de tneles transportan las tramas PPP sobre la pila de protocolos de red. Por lo tanto, las
caractersticas comunes de PPP, como los esquemas de autenticacin, la negociacin de los protocolos de
Internet versin 4 (IPv4) y versin 6 (IPv6), y la proteccin de acceso a redes (NAP), no sufren variaciones en
los tres tipos de tneles.