ARQUITECTURAS
Existen muchas formas de combinar los distintos elementos que componen una VPN.
Esto origina que existan distintas arquitecturas que se clasifican de la siguiente manera:
2.11.1.
Basadas en software
Es un programa para establecer tneles o cifrado a otro anfitrin. En el caso de no
residir en el firewall, se debe configurar este para que permita la comunicacin hacia y
desde el exterior al equipo en que resida el software.
Este software puede ser abierto (Open Source) o propietario. La desventaja que
posee el propietario es que el proveedor puede desaparecer o ser adquirido por otra
empresa y se deja de producir actualizaciones de seguridad o de agregado de
funcionalidad.
El Open Source tiene la ventaja de su costo de adquisicin, pero puede ser necesario
tener personal capacitado o realizar un contrato anual para tener soporte con algn
proveedor.
Router a Router
Firewall a firewall
2.11.5.
Dirigidas
Los datos son encriptados en el capa 5 del Modelo OSI. Es decir en la capa de sesin.
El protocolo ms utilizado en socks 5. Los tneles son unidireccionales. El control de
acceso puede utilizar el identificador del usuario, hora, aplicacin y hasta el contenido del
paquete.
La capa de sesin soporta una mayor variedad de mecanismos de encriptacin. La Figura
2 muestra la distribucin de los componentes.
2.11.6.
Basado en la capa
Depende en que capa del modelo OSI se encuentra configurada la Red
Privada Virtual. Puede ser en la capa de red o la capa de enlace.
Figura 2: Dirigida
Capa de Enlace
MPLS
Capa de Red
Estos modelos ya fueron explicados cuando se desarrollo el tema de la Clasificacin de
VPNs en el captulo anterior. Por lo tanto solo las mencionaremos. Un tipo son las
Redes Privadas tipo Peer y el otro son las Redes Privadas tipo Overlay.
En este nivel se pueden usar los protocolos de capa 2 PPTP y L2TP. Tambin se puede
utilizar IPSec.
2.11.8.
2.11.9.
2.11.10.
CLASE
N
SOFTWARE
PROTOCOLOS
UTILIZADOS
SEGURIDAD
ACCESO
CARACTER
Como mnimo
sistema
operativo
Windows
Soft de
marcacin y
de acceso
remoto.
Soft de
marcacin y
de acceso
remoto
Soft
de
marcaci
n y de
acceso
remoto
PPTP
IPSec
DES IKE
Algn
mecanismo
de
Autenticacin de Usuarios, 1
Gateway
IPSec
3DES
IKE
Utiliza Token
5 VPN Gateway o 1
gateway que soporte
500
usuarios
concurrentes
AAA,RADIUS,TACACS, NAT y
firewall
Token y smartcards, 20 VPN
Gateway o 1 gateway que soporte
1000 sesiones simultneas.
AAA,RADIUS,TACACS,
NAT y firewall Servicio de
certificados propio
X.500
LDAP
IPSec
3DES
IKE
LDAP
IPSec
3DES
IKE
Token y smartcards 10 a 20
gateway o 1 que soporte 5000
conexiones
simultaneas
AAA,RADIUS,TACACS, NAT
y
firewall
Servicio
de
certificados propio.
DSL T1
T1
T3
No soporta
Soporta:
20 sucursal
Soporta siti
Para poder
esta debe so
Soporta:
10 a 100 sit
remotos siti
Es necesario calidad de
servicio en cuanto a
retardo
ISDN Xdsl T1
T3
ISDN Xdls T3
OC3
Soporta: Ci
de usuarios
remotos y s
Tiene la de
administrac
implementa
Soporta: M
10000 usua
sitio, usu
electrnico
real Posee
profesional
2.12.1.
Requerimientos de un Tnel
Existen requerimientos deseables en los mecanismos10 de tnel, pero no todos los
protocolos existentes cumplen con todos ellos. Estos son :
Multiplexacin
Protocolo de sealizacin
Transporte multiprotocolo
Secuenciacin de tramas
Mantenimiento
Sobrecarga mnima
Protocolo de sealizacin
Previo al establecimiento de un tnel, se deben configurar una serie de parmetros que
deben ser acordados por los extremos participantes, por ejemplo la direccin de los
extremos, el nivel de seguridad requerido, etc. Finalmente el tnel se puede establecer.
Todo esto es posible por va manual o en forma dinmica mediante el uso de un protocolo
de sealizacin.
La utilizacin de un protocolo de sealizacin, facilita la tarea de administracin del
tnel, tanto su creacin, distribucin y manejo de parmetros o atributos asociados al
mismo, ms an cuando la VPN a la cual pertenecen el o los tneles abarca ms de un
dominio administrativo. En este caso simplifica la coordinacin de la administracin.
Tambin permite que los tneles puedan ser creados bajo demanda, cuando los nodos
que los constituyen son mviles o requieren estar interconectados en forma transitoria. Es
importante que el protocolo permita el transporte de un identificador VPN para asociar
esta con el tnel resultante.
El rol de este protocolo debera ser negociar los atributos del tnel y no transportar
informacin acerca de cmo utilizar el mismo.
Seguridad de los datos
Un protocolo de tnel debe soportar mecanismos que permitan varios niveles de
seguridad. Esto significa incluir mtodos de encriptacin y autenticacin de diversas
fortalezas.
La seguridad de los datos de la VPN en general no depende nicamente de las
capacidades requeridas del tnel recin mencionadas. Es importante considerar otros
mecanismos, como por ejemplo el manejo de varias instancias virtuales de tablas de
enrutamiento y reenvo. Cada par (enrutamiento y reenvo) estarn asociadas a una VPN.
Un mismo dispositivo en el extremo de un tnel, podr manejar varias instancias por
lo tanto varias VPNs. Esto evita el enrutamiento por error del trfico de una VPN hacia
otra, asegurando de esta manera la separacin de los flujos de datos. Otra medida de
seguridad puede ser la autenticacin de los extremos del tnel mediante el uso del
protocolo de sealizacin previo a su creacin.
Transporte Multiprotocolo
Muchas aplicaciones de VPN requieren la transmisin de trfico multiprotocolo, por lo
tanto el protocolo de tnel debera soportar su transporte. Debe existir alguna forma de
identificar el tipo de protocolo que esta siendo enviado por el tnel.
No todos los protocolos de tnel soportan esta caracterstica, para estos existen
extensiones que lo posibilitan. Otros poseen campos especficos para esta sealizacin.
Secuenciacin de Tramas
La secuenciacin podra ser necesaria para una operacin extremo a extremo eficiente
de algn protocolo de tnel o aplicacin en particular. Para esto es necesario un
campo de secuencia en el diseo del protocolo, para garantizar la entrega en orden de los
paquetes.
Mantenimiento
Este requerimiento implica que los extremos monitoreen el estado del tnel para
determinar si se pierde o no la conectividad y tomar las medidas adecuadas en caso
de corte o falla de la misma.
Las formas de realizar este monitoreo pueden ser dos: a travs del protocolo en si,
ejecutando un chequeo en banda en forma peridica y en caso de prdida de conexin
indicar explcitamente el problema. La otra forma es mediante mecanismos fuera de
banda, por ejemplo el uso de protocolos de enrutamiento aplicados a una malla de tneles
(RIP, OSPF), lo cual permite detectar cualquier falla en forma automtica. Otra
herramienta es el uso del protocolo ICMP a travs de mensajes de solicitud de eco para
monitorear el estado del tnel.
Manejo de Grandes MTU
Teniendo en cuenta los dispositivos intermedios que reenvan el trfico del tnel, es
posible que alguno de ellos maneje un valor de Mxima Unidad de Transferencia o
MTU menor al valor manejado desde el extremo de ingreso al tnel. En este caso, es
necesaria alguna clase de fragmentacin. Esto traera inconvenientes de performance en
el nodo donde sucede la fragmentacin, disminuyendo la eficacia general.
Para evitar este inconveniente, el protocolo de tnel puede incorporar capacidad de
segmentacin y ensamblado haciendo uso del nmero de secuencia y alguna clase de
marcador de fin de mensaje.
Sobrecarga Mnima
Es importante este aspecto y ms cuando se transporta trfico de datos sensible a la
demora o al desfasaje temporal, como lo es el trfico de voz y video. Lo que se persigue
con este requerimiento es evitar el procesamiento innecesario en los dispositivos que
establecen el tnel.
Los mecanismos de cifrado y encriptacin imponen una sobrecarga. Por lo tanto se
debera minimizar la sobrecarga u overhead tomando en cuenta la necesidad de aplicar
seguridad a los datos. En general el objetivo debera ser minimizar el overhead
alrededor de la necesidad de seguridad del trfico de datos.
Cuando se implementan las VPN dial-up, o de acceso remoto discado, mediante el uso de
tneles voluntarios, existe la posibilidad de sobrecarga significante si se utilizan enlaces
de poco ancho de banda.
Control de Congestin y Flujo
Existen protocolos de tnel, como L2TP, que incorporan procedimientos para
el control de flujo y congestin. Estos fueron pensados para mejorar la performance de la
transmisin cuando se utilizaban redes que podan generar prdidas de paquetes con la
compresin PPP. Otra razn era crear un buffer al momento de utilizar lneas con menor
capacidad de transferencia. Finalmente estos esquemas se aplicaron a los canales
de control en lugar de aplicarlos al trfico de datos.
Da por finalizado el enlace cuando se termina el intercambio de datos entre las partes.
La capa de enlace suma un encabezamiento y una cola, el cual viaja a travs del tnel
establecido.
Esto es encapsulado dentro del protocolo de transmisin que puede ser por ejemplo
ethernet o un protocolo de WAN.
El servidor extrae en orden inverso y termina desencriptando los datos.
Para realizar la encriptacin y compresin se utiliza los servicios brindados por PPP. En
cuanto a la autenticacin se utiliza MS-CHAP (Microsoft Challenge-Handshake
Authentication Protocol) o PAP (Password Authenticaction Protocol). PPTP permite
realizar un filtrado en el servidor aceptando solamente los clientes que fueron
aprobados para acceder a la red.
2.13.3.
2.13.4.
PPTP
Si
No
L2F
Si
Si
L2TP
Si
Si
No
Si
Si
Voluntario
Voluntario y
Voluntario y
Obligatorio
Obligatorio
IP/UDP IP/FR IP/ATM IP/UDP IP/FR IP/ATM
Protocolo de Entrega
IP/GRE
Protocolo de Control
TCP Puerto
1723
Autenticacin
MS-CHAP PAP
Encriptacin
MPPE
MPPE IPSec
2.14.1.
IPSec es una extensin del protocolo IP que brinda seguridad a IP y a los protocolos de
capa superior. Fue desarrollado para el nuevo estndar de IP versin 6 (IPv6) y luego
adaptado para implementarlo en la versin 4 (IPv4).
SPI (Security Parameter Index) de la SA. Es un nmero de 32 bits que identifica la SA.
Algunas implementaciones de bases de datos de SA permiten, adems,
almacenar estos parmetros:
20
Longitud
byte.
del
encabezamiento:
identifica
el
tamao
AH puede usarse solo o junto con ESP cuando se usa el modo tnel. Cuando se utiliza el
modo transporte, el encabezado AH se coloca justo detrs del encabezado IP y antes
del encabezado ESP, en caso de funcionar en conjunto, u otro encabezado de
protocolo de mayor nivel como UDP o TCP. Ver Figura 2-19.
Cuando se usa el modo tnel, se agrega un nuevo encabezado IP y el encabezado de AH
se inserta luego de este y antes del encabezado IP del datagrama original. Si bien el
proceso de autenticacin abarca este nuevo encabezado IP, la norma especifica que no
deber afectar aquellos campos que puedan variar durante el transporte, por ejemplo el
campo de Tiempo de vida o TTL (Time To Life), que es decrementado en uno cada vez
que el datagrama atraviesa un router. Ver Figura 2-19.
El protocolo AH no es conveniente de utilizar cuando se considera el uso de traduccin de
direcciones de red o NAT, debido a que su proteccin de integridad abarca campos del
encabezado IP como la direccin de origen. Es adecuado si lo nico que se persigue es
asegurar la integridad y autenticar el origen de los datos.
21
22
23
Encabezado TCP
Datos
Cola ESP
Siguiente Encabezado (Next Header): indica el tipo de datos de la carga til. En Ipv4
identifica el protocolo de capa superior. Utiliza 1 byte.
24
25
conectar dos host. En este caso se considerarn las topologas desde una perspectiva
lgica, debido a que las redes privadas virtuales son un objeto lgico, tal como se las
define en el primer captulo.
Lo ms importante al estudiar la topologa de una red es el impacto de esta sobre otros
aspectos que influyen en el desempeo de la misma. Uno de estos aspectos es la
escalabilidad la cual es crtica cuando se trata de redes que tienden a crecer o que
el nmero de nodos a interconectar es numeroso y variable. La escalabilidad de una
red se puede definir en funcin de tres caractersticas de su diseo22:
Facilidad de mantenimiento
Costo
En el caso particular de las VPN, existen otros aspectos que estn influenciados por la
topologa: el mecanismo de distribucin de claves para la autenticacin de los nodos y
la distribucin de la informacin de enrutamiento necesaria para permitir la comunicacin
entre los componentes de una misma VPN.
2.16.1.
Escenarios
En el terreno de las redes privadas virtuales existen bsicamente tres escenarios que
describen las relaciones entre los nodos de una VPN. Las conexiones entre sitios o redes,
la conexin entre un host y una red y la conexin entre solo un par de hosts.
El escenario red a red (Figura 2-24) presenta la conexin de dos o ms subredes
mediante uno o ms tneles. Cada subred consiste de un gateway y al menos un host. EL
gateway posee dos interfaces de red, una para conectarse al tnel y la restante para
conectarse con la subred interna. El gateway realiza el proceso de creacin y
eliminacin del tnel, as como la aplicacin de mecanismos de seguridad al trfico
que reenva.
un gateway. Este esquema se aprecia en las VPN de acceso remoto, donde los usuarios de
una organizacin se encuentran fsicamente alejados de su lugar de trabajo, pero pueden
acceder remotamente a los recursos de la red de datos local.
forma de realizarlo es utilizando los circuitos virtuales (CV) Frame Relay o ATM entre
los dispositivos CE del cliente y PE del proveedor y mapearlos a tneles MPLS (LSP)
establecidos a travs del backbone.
Esta solucin presenta problemas de escalabilidad cuando el proveedor tiene que
servir varias VPNs, ya que cada LSP deber ser configurado individualmente y
mapeado a cada CV de los clientes. Esto conlleva un gran esfuerzo de
administracin, adems el aumento de los tneles LSP para satisfacer nuevas demandas
impactar en la capacidad del manejo de estos en los routers y switchs del proveedor,
tanto los equipos de borde (PE) como los pertenecientes al ncleo del backbone (P).
Una mejora al enfoque anterior es el denominado PWE3 (Pseudowire Emulation Edgeto-Edge) VPWS, como lo muestra la Figura 2-26. En esta situacin se mejora la
escalabilidad utilizando un nmero fijo de LSP entre los dispositivos PE del backbone
del proveedor. Luego se crean conexiones emuladas punto a punto (pseudowires) entre
los PE mediante tneles basados en los LSP ya establecidos. Estas conexiones simuladas
son encapsulaciones de protocolos de capa 2 (ATM, Frame Relay, Ethernet, etc.) en
tramas MPLS. Nuevamente es necesario que cada pseudowire sea configurado en forma
individual, afectando la escalabilidad cuando el proveedor sirve varias VPNs. Sin
embargo se reduce la carga de procesamiento a solo los routers de borde ya que
nicamente en estos se definen los pseudowires.
2.16.3.
2.16.5. Topologa
Mesh)
de
Malla
Completa
Parcial
(Full
or
Partial
requieren ms de una conexin. Solo aquellos que requieren alta disponibilidad y que la
interrupcin de una de sus conexiones no deje al sitio incomunicado con el resto.
Este modelo tiene varios beneficios y una gran desventaja. Los beneficios son:
La
desventaja radica en
el
incremento del
mantenimiento en cuanto a la distribucin de las claves
para asegurar las comunicaciones o en la distribucin de
informacin de enrutamiento. En particular si se usa
IPSec,
la
creacin
de
asociaciones
de
seguridad
necesarias para cada nodo que se sume a la VPN
representa un costo en el mantenimiento. La situacin
puede mejorar si se utilizan mtodos automticos para la
distribucin de claves, o la transmisin dinmica de
rutas.
Nuevamente
los
escenarios
red
a
red
implementan esta topologa cuando hay un requerimiento
de alta disponibilidad o bien sea necesario un servicio
multipunto como en el caso de las VPLS, donde se crea
una topologa de malla completa de pseudowires entre los
dispositivos PE del proveedor y as los dispositivos del
cliente pueden llegar mediante multicast o broadcast
hacia las otras redes integrantes de la misma VPLS.
78