2.3.4.

SISTEMAS DE AUTENTICACIN DE USUARIOS

Un sistema de autenticacin es aquel donde un usuario se identifica ante un servidor remoto. En
un VPN es muy importante identificar a los usuarios de la red para poder garantizar la seguridad.
De los sistemas de autenticacin aqu mencionados el ms recomendable y utilizado en una VPN
es PKI.

AUTENTIFICACIN BASADA EN CONTRASEA

La autenticacin basada en contrasea es la ms utilizada por los sistemas computacionales. En
este mecanismo de autenticacin, un usuario se identifica a s mismo ante un servidor remoto al
inicio de una sesin mediante una contrasea. Aunque se trata de un mtodo fcil de implementar
y de usar, tambin resulta ser el ms inseguro de todos. Si un intruso obtiene la contrasea, se
puede hacer pasar como un usuario legtimo y entonces obtener todos los privilegios de acceso a
la red que tena el usuario legtimo. Es por eso que muchas organizaciones insisten en que sus
usuarios cambien continuamente de clave. El principal protocolo de autenticacin por contrasea
es PAP el cual es utilizado por PPP.

AUTENTICACIN BASADA EN DESAFOS

En este tipo de autenticacin, el servidor genera un conjunto de datos aleatorio denominado
desafo y se lo enva al usuario que desea autenticarse. En lugar de responder con una contrasea,
el usuario cifra el desafo con una clave compartida slo por el servidor y el usuario. El usuario
enva su nombre y el texto cifrado al servidor. El servidor realiza la misma encriptacin y entonces
compara el texto cifrado enviado por el usuario con el texto cifrado generado localmente. Si
ambos son iguales, la autenticacin se lleva a cabo con xito, de lo contrario el usuario ser
rechazado.
Nombre y
Texto cifrado
Desafo

Nombre y
Texto cifrado

Desafo

KERBEROS
Protocolo diseado para proveer autenticacin sobre un canal inseguro, desarrollado por el MIT.
Utiliza criptografa simtrica y requiere de un tercero confiable (con quien todas las partes
involucradas comparten un secreto).
Provee autenticacin mutua, y los mensajes empleados por el protocolo se encuentran
protegidos contra ataques de replay y de eavesdropping
Sntesis del protocolo de comunicacin
a. Solicitud de un ticket de acceso
b. Ticket + clave de sesin
c. Solicitud de un ticket de acceso al servicio
d. Ticket + clave de sesin
e. Solicitud de servicio
f.

Autenticador del servidor

KERVEROS
2
a

Servidor de
autentificacin
b

Uno por sesin

Servidor de ticketgranting

Uno por tipo de servicio

e

3
5

f
Uno por sesin
de servicio

1. Un usuario desde una workstation requiere un servicio.

2. AS verifica el correcto acceso del usuario a la Base de Datos, crea un ticket y una
clave de sesin. Los resultados son encriptados usando la clave derivada de la
password del usuario.
3. La workstation solicita la password al usuario y la utiliza para desencriptar el
mensage, luego enva al TGS el ticket y el autenticador que contienen el nombre
de usuario, la direccin de red y el tiempo de vida del ticket.
4. El TGS desencripta el ticket y el autenticador, verifica la solicitud y crea un ticket
para ser enviado al servidor.
5. La workstation enva el ticket y el autenticador al servidor.
6. El servidor verifica que el ticket y el autenticador coincidan, luego permite el
acceso al servicio.
INFRAESTRUCTURA DE CLAVES PBLICAS (PKI)
Una Infraestructura de Claves Pblicas (PKI, Public Key Infraestructure) basa su funcionamiento en
el uso de certificados como sistema de autenticacin de usuarios. Este es uno de los mtodos de
autenticacin ms utilizados en una VPN. Dada una clave pblica, un usuario necesita saber quin
posee la clave privada que est relacionada con dicha clave pblica con el fin de poder
comunicarse con l. La respuesta a este problema est en los certificados. La figura muestra cmo
se lleva a cabo la autenticacin basada en certificados. Una PKI consta de varios componentes que
facilitan su administracin. Cada componente tiene asignada una tarea especfica y deben estar
presentes en cualquier PKI. Los componentes de una PKI son:
Certificados
Autoridad de Certificacin (CA, Certification Authority)
Autoridad de Registro (RA, Registration Authority)
Repositorio
Archivo
PKI Public Key Infrastructure o Infraestructura de llaves pblicas es un sistema robusto
(hardware, software y procedimientos de seguridad) que permite a las organizaciones gestionar
fcilmente las claves y certificados digitales que son utilizados en transacciones electrnicas como
Declaracin de Impuestos en Lnea, Firma Digital de Contratos, Pagars en Lnea, Pasaporte
Electrnico, Transacciones de Dinero, etc. De acuerdo a Ley 527 de 1999 es aquella persona que,
autorizada conforme a la presente ley, est facultada para emitir certificados en relacin con las
firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado

cronolgico de la transmisin y recepcin de mensajes de datos, as como cumplir otras funciones

relativas a las comunicaciones basadas en las firmas digitales.

PROTOCOLOS DE AUTENTICACIN
PROTOCOLO DE AUTENTICACIN DE CONTRASEA (PAP, PASSWORD AUTHENTICATION
PROTOCOL).
El PAP es un protocolo de autenticacin simple en el que el nombre de usuario y la contrasea
se envan al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar
PAP, ya que las contraseas pueden leerse fcilmente a partir de los paquetes de PPP
intercambiados durante el proceso de autenticacin. PAP suele utilizarse nicamente al
conectarse a servidores de acceso remoto antiguos basados en UNIX que no admiten otros
mtodos de autenticacin.

PROTOCOLO DE AUTENTICACIN DE CONTRASEA DE SHIVA (SPAP, SHIVA PASSWORD

AUTHENTICATION PROTOCOL).
El SPAP es un protocolo simple de autenticacin de contrasea cifrada compatible con servidores
de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto enva una contrasea cifrada al
servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso
remoto descifra la contrasea y utiliza el formato sin cifrar para autenticar al cliente de acceso
remoto.
PROTOCOLO DE AUTENTICACIN POR DESAFO (CHAP, CHALLENGE AUTHENTICATION
PROTOCOL).
CHAP es un mtodo de autenticacin muy utilizado en el que se enva el conocimiento de la
contrasea del usuario, no la propia contrasea. Con CHAP, el servidor de acceso remoto enva
una cadena de desafo al cliente de acceso remoto. El cliente de acceso remoto utiliza la cadena de
desafo y la contrasea del usuario, y calcula un resumen MD5. El resumen MD5 se enva entonces
al servidor de acceso remoto. El servidor de acceso remoto, que tiene acceso a la contrasea del
usuario, realiza el mismo clculo del resumen y compara el resultado con el resumen enviado por
el cliente. Si coinciden, las credenciales del cliente de acceso remoto se consideran autnticas
PROTOCOLO DE AUTENTICACIN POR DESAFO DE MICROSOFT (MS-CHAP, MICROSOFT
CHALLENGE AUTHENTICATION PROTOCOL).
Microsoft cre MS-CHAP para autenticar estaciones de trabajo Windows remotas, proporcionando
la funcionalidad a la que los usuarios de redes LAN estn habituados e integrando los algoritmos
de dispersin utilizados en las redes Windows. Al igual que CHAP, MS-CHAP utiliza un mecanismo
de desafo y respuesta para evitar el envo de la contrasea durante el proceso de autenticacin
MS-CHAP utiliza el algoritmo de dispersin Resumen del Mensaje 4 (MD4) y DES para generar el
desafo y la respuesta, y ofrece mecanismos para informar de errores de conexin y para cambiar
la contrasea del usuario. El paquete de respuesta est en un formato diseado especficamente
para funcionar con productos de redes en sistemas operativos Windows
PROTOCOLO DE AUTENTICACIN EXTENSIBLE (EAP, EXTENSIBLE AUTENTHICATION PROTOCOL).
EAP fue diseado originalmente para proveer una interface estndar para opciones de
autenticacin adicionales para PPP. EAP admite mtodos de autenticacin arbitrarios que utilizan
intercambios de credenciales e informacin de longitudes arbitrarias. EAP se desarroll como
respuesta a una creciente demanda de mtodos de autenticacin que utiliza otros dispositivos de
seguridad y ofrece una arquitectura estndar para permitir mtodos de autenticacin adicionales
dentro de PPP.
Al utilizar EAP, se pueden agregar varios esquemas de autenticacin conocidos como tipos de EAP,
entre los que se incluyen tarjetas de identificacin, contraseas de un solo uso, autenticacin por
clave pblica mediante tarjetas inteligentes, certificados y otros. EAP, junto con los tipos de EAP
seguros, es un componente tecnolgico crtico para las conexiones VPN seguras. Los tipos de

EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques fsicos o
de diccionario, y de investigacin de contraseas, que otros mtodos de autenticacin basados en
contrasea, como CHAP o MS-CHAP.
Existen dos tipos de EAP:
EAP-MD5
EAP-TLS
EAP-MD5 es un protocolo de autenticacin que es semejante en su funcionamiento a CHAP
EAP-TLS es utilizado para autenticacin basada en certificados de usuario. Se trata de un mtodo
de autenticacin mutua, lo que significa que tanto el cliente como el servidor deben demostrar sus
identidades uno a otro. Durante el intercambio EAP-TLS, el cliente de acceso remoto enva su
certificado de usuario y el servidor de acceso remoto enva su certificado de equipo. Si el
certificado no se enva o no es vlido, se termina la conexin

3. TECNOLOGAS DE LAS VPN

DEFINICIN DE PPTP
El Protocolo de Tnel Punto a Punto (PPTP, Point-to-Point Tunneling Protocol) es un protocolo de
red creado por Microsoft, Ascend Communications y US Robotics el cual permite la realizacin de
transferencias seguras desde clientes remotos a servidores emplazados en redes privadas,
empleando para ello tanto lneas telefnicas conmutadas como Internet.

Una de las conexiones WAN ms frecuente es una conexin punto a punto

Las conexiones PP brindan conectividad a los proveedores de servicio de internet (ISP) y a
otras redes empresariales
Las conexiones PP se conocen tambin como Lneas arrendadas o conexiones seriales

PROTOCOLOS UTILIZADOS POR PPTP

LCP
Protocolo de control de enlace. Tiene la funcin de darnos la posibilidad de actuar sobre variedad
de ambientes, se utiliza el protocolo LCP para la configurar, mantener y finalizar la conexin.
LCP, negocia los formatos de encapsulacin, tamao de los paquetes a transmitir, calidad del
medio de transmisin y negociacin del los protocolos a utilizar.
NCP
Protocolo de configuracin de red. Se utiliza para la configuracin de protocolos de red que sern
utilizados. Una vez realizada esta accin los datagramas podrn ser enviados por el medio fsico.
El protocolo de configuracin ms utilizado es el Protocolo de Control (IPCP). Se encarga de la
configuracin, activacin y desactivacin de los mdulos de IP en ambos extremos.
GRE
Encapsulacin genrica de ruteo. Este protocolo encapsula un paquete determinado dentro de un
protocolo de transporte. En el caso ms normal el sistema tiene un paquete que debe ser
encapsulado y ruteado. Este paquete que llamaremos Payload se encapsula dentro del paquete
GRE que tambin puede incluir la ruta del mismo. El resultado de esta accin es un que el
protocolo de transporte toma el paquete GRE y lo encapsula para su transmisin.
PPP
Protocolo punto a punto: como el protocolo PPTP se basa esencialmente en este protocolo se har
una breve mencin del mismo explicando someramente la forma de trabajo.
Este protocolo tiene como funcin la de proporcionar un mtodo que sea estndar para el
transporte de paquetes Multiprotocolo. Este transporte se realiza entre dos pares que estn a
ambos extremos de la conexin. Los mismos nos proveen de operacin bidireccional y full-duplex.
Tiene tres componentes:
1. Un mecanismo para encapsular paquetes multiprotocolo y manejar la deteccin de errores.
2. Un protocolo de control de enlace (LCP) para establecer, configurar y probar la conexin de
datos.
3. Una familia de protocolos de control de red (NCP) para establecer y configurar los distintos
protocolos de nivel de red.
La funcin de este protocolo es crear un tnel dentro de una red IP, para lograr esta tarea utiliza el
protocolo GRE para la encapsulacin de los paquetes PPP (Protocolo punto a punto).

PPTP
PPP

PPTP nos permite separar las funciones de un NAS utilizando una arquitectura cliente-servidor,
estas funciones se dividen entre el PAC y el PNS

NAS

PAC

SERVIDOR DE ACCESO A LA RED (NAS)

Es un punto de entrada que permite a los usuarios o clientes acceder a una red. Un NAS est
destinado a actuar como una puerta de entrada para proteger el acceso a un recurso protegido,
como puede ser una red telefnica, una impresora, o la salida directa a Internet.

Estructura de PPTP
PAC
Dispositivo conectado a una o ms lneas PSTN o ISDN con la capacidad de operar con PPP y
manejo del protocolo PPTP. El PAC solo necesita implementar TCP/IP para el paso del trfico hacia
una o ms PNS. Tambin puede trabajar con tneles en protocolos no IP.
PNS
Un PNS est preparado para operar en un servidor de propsito general. El PNS maneja del lado
del servidor el protocolo PPTP. Como el PPTP cuenta con TCP/IP y es independiente de la interfaz
de hardware utilizada, el PNS puede utilizar cualquier combinacin de interfaces IP incluyendo
perifricos de LAN y WAN. La conexin con el servidor de VPN se puede realizar por medio de un
Protocolo de servicio de internet (ISP) o bien una red con soporte TCP/IP las funciones bsicas son
las siguientes:
Un Protocolo de control de conexin (LCP) que se encarga de establecer, configurar y
testear la conexin.

 Participacin en la autenticacin en protocolo PPP.

Agregacin de canales y encapsulado de paquetes de mltiples protocolos.
Una familia de protocolos de control de red (NCP) para el establecimiento y la
configuracin de distintos protocolos de red.
Ruteo y puentes multiprotocolos a travs de interfaces NAS.
El protocolo PPTP divide estas tareas entre el PAC y el PNS.
El PAC es el responsables de las tareas 1, 2 y posiblemente la 3.
El PNS en cambio es responsable de las tareas 4, 5 y 6 y quizs de la 3.
Luego de que se crea el tnel, un control de conexin debe ser establecido entre ellos. El control
de conexin se enva en forma de paquetes TCP en una sesin TCP es quien se encarga del
establecimiento, control y finalizacin de los tneles, este control se crea en el puerto 1723.
Tambin entre el par PAC-PNS encontramos para el encapsulado de los paquetes el protocolo
GRE.

FORMA DE CREACIN Y TRABAJO DEL TNEL

La conexin puede ser creada por el PNS o por el PAC, si bien no puede el protocolo PPTP
distinguir entre el PAC y el PNS si puede hacerlo entre el emisor y el receptor. El emisor es quien
abre la primera conexin TCP. Los paquetes no son transportados directamente por el tnel, se
encapsulan en paquetes GRE que a su vez son encapsulados en IP. Este ltimo ser el que
contenga la IP del servidor PPTP.
CONEXIN DE CONTROL
Antes de que PPP pueda ser entunelado entre un PAC y un PNS, se debe establecer una conexin
de control entre ambos dispositivos. La conexin de control es una sesin TCP estndar sobre la
cual pasa el control de la llamada PPTP y la administracin de la informacin. El control de la
sesin est asociado lgicamente pero separado de las sesiones que son entuneladas a travs de
un tnel PPTP. Para cada pareja PAC-PNS existe tanto un tnel como una conexin de control. La
conexin de control es responsable de establecer, administrar y liberar las sesiones transportadas
a travs del tnel Mensajes de control. PPTP define un conjunto de mensajes enviados como
datos TCP en la conexin de control entre un PAC y un PNS. La sesin TCP para establecer la
conexin de control es establecida al iniciar una conexin TCP en el puerto 1723. El conexin de
control puede ser establecido tanto por el PNS como por el PAC. Cada mensaje inicia con una

cabecera de ocho octetos fija. Dicha cabecera contiene la longitud total del mensaje, el indicador
del tipo de mensaje PPTP y una constante conocida como Magic Cookie. La Magic Cookie es
siempre enviada como la constante 0x1A2B3C4D. Su propsito es permitirle al receptor
asegurarse de que est sincronizado adecuadamente con el flujo de datos TCP
Los mensajes utilizados para mantener el control de las conexiones PPTP se muestran en la tabla

1.

Cdigo Nombre
Start-Control-Connection-Request

2.

Start-Control-Connection-Reply

3.

Stop-Control-Connection-Request

4.

Stop-Control-Connection-Reply

5.

Echo-Request

6.

Echo-Reply

7.

Outgoing-Call-Request

8.

Outgoing-Call-Reply

9.

Incoming-Call-Request

10.

Incoming-Call-Reply

11.

Incoming-Call-Connected

12.

Call-Clear-Request

13.

Call-Disconnect-Notify

Descripcin
Inicia el establecimiento de la sesin PPTP
Es la respuesta al mensaje 1. Contiene un
cdigo resultante que indica el xito o el
fracaso del establecimiento de la sesin as
como el nmero de la versin del protocolo
Es una peticin para cerrar el conexin de
control
Es la respuesta al mensaje 3. Contiene el
cdigo resultante que indica el xito o
fracaso del cierre de la conexin
Enviado peridicamente tanto por el
cliente como por el servidor para mantener
activa la conexin
Es la respuesta al mensaje 5 para indicar
que la conexin sigue activa
Es una peticin enviada por el cliente para
crear un tnel
Es la respuesta al mensaje 7, la cual
contiene un identificador nico para ese
tnel
Es una peticin del cliente para recibir una
llamada entrante por parte del servidor
Es la respuesta al mensaje 9. Esta indica si
la llamada entrante debera ser contestada
Es la respuesta al mensaje 10. Provee
parmetros de llamada adicionales al
servidor
Es una peticin para desconectar o una
llamada entrante
o saliente, enviada del servidor al cliente
Es una respuesta al mensaje 12 para indicar
que se realizar la desconexin y las
razones para hacerlo

14.

WAN-Error-Notify

15.

Set-Link-Info

Notifica que un error ha ocurrido en la

conexin WAN, esto es, en la interfase que
soporta PPP
Notifica cambios en las opciones PPP

CDIGOS DE ERROR. Los cdigos de error determinan si ocurri un error en la conexin PPTP. En
la tabla se muestra cules pueden ser estos errores
Cdigo
0
1

Nombre
None
Not-connected

Descripcin
No hay error
Todava no existe un conexin de control para
este par PAC-PNS

Bad-Format

La longitud es errnea o el valor de la Magic

Cookie es incorrecto

Bad-Value

Uno de los valores de algn campo est fuera de

rango o un campo reservado no est en ceros

No-Resource

Bad-Call-ID

Recursos insuficientes para manejar este

comando
El identificador de llamada es incorrecto

PAC-Error

Un error especfico ocurri en el PAC

TNELES EN PPTP
PPTP requiere del establecimiento de un tnel para la comunicacin entre una pareja PAC-PNS.
Los datos de usuario que transporta PPTP son tramas PPP, las cuales son encapsuladas utilizando
GRE. El tnel es utilizado para transportar todas las tramas PPP que pertenecen a una sesin entre
una pareja PAC-PNS. Una clave presente en la cabecera GRE indica a cual sesin pertenece una
determinada trama PPP. De esta manera, Las tramas PPP son transportadas por rutas distintas
pero dentro de un nico tnel. El proceso de ensamblado de un paquete PPTP al momento de ser
transmitido se muestra en la figura.

Como se puede observar en la figura, el cliente crea los datos a enviar a los cuales se les asigna
una direccin IP privada. Posteriormente, el software PPTP utiliza la cabecera GRE mejorada para
permitir el transporte de la cabecera PPP privada y adems encapsular el paquete dentro de otra
cabecera IP la cual es pblica. Finalmente, el controlador PPP aade la cabecera PPP pblica la cual
permitir al paquete viajar al otro extremo del tnel. Tratndose de una VPN, la informacin debe
ser cifrada para evitar que sea utilizada por usuarios no autorizados