REDES PRIVADAS VIRTUALES

En una red privada virtual todos los usuarios parecen estar en el mismo segmento de
LAN, pero en realidad estn a varias redes de distancia.
Para lograr esta funcionalidad, la tecnologa de redes seguras, privadas y virtuales
debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP a travs
de un tnel en la red pblica, de manera que dos segmentos de LAN remotos no
parezcan estar separados por una red pblica; la solucin debe agregar encriptacin,
de manera que el trfico que cruce por la red pblica no pueda ser espiado,
interceptado, ledo o modificado; y por ltimo, la solucin debe ser capaz de autenticar
positivamente cualquier extremo del enlace de comunicacin, de modo que un
adversario no pueda acceder a los recursos del sistema.
Una definicin simple es que se trata de una red de comunicaciones privada
implementada sobre una infraestructura pblica.
Las razones que impulsan al mercado en ese sentido son, fundamentalmente, de
costos: es mucho ms barato interconectar filiales utilizando una infraestructura
pblica que despliega una red fsicamente privada. Por otro lado, como es lgico, es
necesario exigir ciertos criterios de privacidad y seguridad, por lo que normalmente
debemos recurrir al uso de la criptografa.
Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN
logran esto al permitir que el usuario haga un tnel a travs de Internet u otra red
pblica, de manera que permita a los participantes del tnel disfrutar de la misma
seguridad y funciones que antes slo estaban disponibles en las redes privadas
Las VPN permiten a
los usuarios que
trabajan en el hogar o
en el camino
conectarse en una
forma segura a un
servidor corporativo
remoto, mediante la
infraestructura de
entubamiento que
proporciona una red
pblica (como
Internet).
Desde la perspectiva
del usuario la VPN es
una conexin de
punto a punto entre
la computadora del
usuario y un servidor
corporativo. Por su
parte, la naturaleza
de la red intermedia es irrelevante para el usuario, debido a que aparece enviando
como si los datos se estuvieran enviando sobre un enlace privado dedicado.

La tecnologa VPN tambin permite que una compaa se conecte a las sucursales o a
otras compaas (extranets) sobre una red pblica (como Internet), manteniendo al
mismo tiempo comunicaciones seguras.
La tecnologa de la VPN est diseada para tratar temas relacionados con la tendencia
actual de negocios hacia mayores telecomunicaciones, operaciones globales
ampliamente distribuidas y operaciones con una alta interdependencia de socios,
donde los trabajadores deben conectarse a recursos centrales y entre s.
Para proporcionar a los empleados la capacidad de conectarse a recursos de computo
corporativos sin importar su ubicacin, una compaa debe instalar una solucin de
acceso remoto que sea confiable y escalaba. Por lo comn, las compaas eligen una
solucin basada en un departamento de sistemas que est encargado de adquirir,
instalar y mantener los conjuntos de mdems corporativos y la infraestructura de red
privada; tambin eligen una solucin de Red de valor agregado (VAN), donde contratan
a una compaa externa para adquirir, instalar y mantener los conjuntos de mdems y
una infraestructura de telecomunicaciones.
Sin embargo, ninguna de estas soluciones proporciona la escalabilidad necesaria en
trminos de costo, la flexibilidad de la administracin y gestin, as como la demanda
de conexiones. Por tanto, tiene sentido encontrar un terreno intermedio donde la
organizacin complemente sus inversiones actuales en conjuntos de mdems y su
infraestructura de red privada, con una solucin menos costosa basada en tecnologa
de Internet. De esta manera, las empresas se pueden enfocar a su negocio principal
con la garanta de que nunca se comprometer su accesibilidad y que se instalen las
soluciones ms econmicas.
La disponibilidad de una solucin de Internet permite pocas conexiones a Internet (a
travs de Proveedores independientes de servicio, PSI) y la implementacin de varias
computadoras de servidor VPN en el borde de la red, a fin de dar servicio a las
necesidades remotas de red de cientos o miles de clientes y sucursales remotas.
1.1 Conexin de las redes sobre Internet
Existen dos mtodos para utilizar VPN a fin de conectar redes de rea local a sitios
remotos:
Uso de lneas
dedicadas para
conectar una
sucursal a una
LAN corporativa.
En lugar de
utilizar un
circuito
dedicado de
arrastre extenso
entre la sucursal
y
el hub
corporativo, tanto los ruteadores del hub de la sucursal corno el corporativo pueden
emplear un circuito dedicado local e ISP local para conectarse a Internet. El software
VPN utiliza las conexiones ISP locales y el Internet pblico, con el propsito de crear
una red privada virtual entre el ruteador de la sucursal y el del hub corporativo.

Uso de una lnea de marcacin para conectar una sucursal a una LAN corporativa. A
cambio de que el ruteador en la sucursal realice una llamada de larga distancia (0
1800) a un NAS corporativo o externo, el ruteador en la sucursal puede llamar al ISP
local. El software VPN utiliza la conexin al ISP local para crear una red privada virtual
entre el ruteador de la sucursal y el del hub corporativo, a travs de Internet.
Note que en ambos casos las facilidades que conectan la sucursal y la oficina
corporativa a Internet son locales; se recomienda que el ruteador del hub corporativo
que acta como un servidor VPN se conecte a un ISP local con una lnea dedicada.
Este servidor VPN puede estar listo 24 horas al da para trfico VPN entrante.
1.2. Conexin de computadoras sobre una intranet
En algunas redes corporativas los datos departamentales son tan sensibles, que la LAN
est fsicamente desconectada del resto de la intranet corporativa. Aunque esto
protege la informacin confidencial del departamento, crea problemas de acceso a la
informacin para otros usuarios que no estn conectados en forma fsica a la LAN
separada.
Las VPN permiten que la LAN del departamento est fsicamente conectada a la
intranet corporativa, pero separada por un servidor. Ntese que el servidor VPN no
est actuando como un ruteador entre la intranet corporativa y la LAN del
departamento.
Un ruteador interconectara los dos redes, lo que permitira que todos tuviera acceso a
la LAN sensible. Pero al utilizar una VPN el administrador de slo los la red puede
asegurar que solo los usuarios en la intranet corporativa, que tienen el nivel adecuado
(basado en una poltica de lo que necesiten saber dentro de la compaa), pueden
establecer una VPN con el servidor VPN y tener acceso a los recursos protegidos del
departamento. Adems, todas las comunicaciones a travs de la red efectos VPN
pueden encriptarse hay que de confidencialidad de datos. tornar en cuenta que los
usuarios que no tienen el nivel adecuado no podrn ver la LAN del departamento.
1.3. POR QU USAR UNA VPN?
Las redes privadas virtuales surgen como una alternativa a los servicios de
comunicaciones tradicionales de red amplia (WAN) de enlaces dedicados.
Este tipo de comunicaciones presentan mltiples ventajas y beneficios para los
usuarios:
Bajo costo. Reduce el costo del servicio de comunicacin o del ancho de banda de
transporte, y tambin el de la infraestructura y operacin de las comunicaciones.
Flexibilidad. Se puede optar por mltiples tecnologas o proveedores de servicio. Esa
independencia posibilita que la red se adapte a los requerimientos de los negocios, y se
puede elegir el medio de acceso ms adecuado. Por ejemplo, si se trata de una
pequea oficina remota, se puede utilizar acceso discado, ISDN, xDSL o cable mdem.
Implementacin rpida. El tiempo de implementacin de un "backbone" de WAN
para una empresa es muy alto frente a la implementacin de una red privada virtual
sobre un "backbone" ya existente de un proveedor de servicio. Ms an, la flexibilidad
de esta arquitectura permite implementar nuevos servicios de manera muy rpida, que
concuerdan con los tiempos del negocio de la empresa.

Escalabilidad. El desarrollo masivo de redes como Internet permite que la empresa

tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con
respecto a la tecnologa de acceso posibilita escalar el ancho de banda de la red de
acuerdo con el requerimiento del usuario. Adems, la escalabilidad de la red no incide
en la operatoria y gestin de sta, dado que la infraestructura de la WAN es
responsabilidad del proveedor del servicio.
1.3.1. REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solucin de red remota, una compaa desea
facilitar un acceso controlado a los recursos y a la informacin de la misma. La solucin
deber permitir la libertad para que los clientes roaming o remotos autorizados se
conecten con facilidad a los recursos corporativos de la red de rea local (LAN) as
como las oficinas remotas se conecten entre si para compartir recursos e informacin
(conexiones de N). Por ltimo, la solucin debe garantizar la privacidad y la integridad
de los datos al viajar a travs de Internet pblico. Lo mismo se aplica en el caso de
datos sensibles que viajan a travs de una red corporativa. Por lo tanto, como mnimo,
una solucin de VPN debe proporcionar lo siguiente:
Autenticacin de usuario. La solucin deber verificar la identidad de un usuario y
restringir el acceso de la VPN a usuarios autorizados. Adems, deber proporcionar
registros de auditora y contables para mostrar quin accedi a qu informacin y
cundo.
Administracin de direccin. La solucin deber asignar una direccin al cliente en
la red privada, y asegurarse de que las direcciones privadas se mantengan as.
Encriptacin de datos. Los datos que viajan en una red pblica no podrn ser ledos
por clientes no autorizados en la red.
Administracin de llaves. La solucin deber generar y renovar las llaves de
encriptacin para el cliente y para el servidor.
Soporte de protocolo mltiple. La solucin deber manejar protocolos comunes
utilizados en las redes pblicas; stos incluyen Protocolo de Internet. Una solucin de
VPN de Internet basada en un Protocolo de tnel de punto a punto (PPTP) o un
Protocolo de tnel de nivel 2 (L2TP) cumple con todos estos requerimientos bsicos, y
aprovecha la amplia disponibilidad de Internet a nivel mundial.
2. TIPOS DE REDES VIRTUALES PRIVADAS
Las redes privadas virtuales se dividen en 3 categoras de acuerdo con el servicio de
conectividad que brinden:
2.1. VPN de Acceso Remoto.
(Remote Acces VPNs). Provee acceso remoto a la intranet o extranet corporativa a
travs de una infraestructura pblica, conservando las mismas polticas, como
seguridad y calidad de servicio, que en la red privada. Permite el uso de mltiples
tecnologas como discado, ISDN, xDSL, cable, o IP para la conexin segura de usuarios
mviles, telecommuters o sucursales remotas a los recursos corporativos
Caractersticas:

 Outsourcing de acceso remoto

- llamadas locales o gratuitas (n 900)
- ubicuidad del acceso
Instalacin y soporte del PS (Proveedor de servicio)
Acceso nico al nodo central (elimina la competencia por puertos)
Tecnologas de acceso RTC, ISDN, xDSL
Movilidad IP
Seguridad reforzada por el cliente
- AAA en el ISP proporciona 1 y posiblemente 2 nivel de seguridad.

2.2. VPN de Intranet.

Vincula la oficina remota o sucursal a la red corporativa, a travs de una red pblica,
mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas
cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre
otras.
Caracterstica:
Extiende el modelo IP a travs de la WAN compartida.
2.3. VPN de Extranet.
Permite la conexin de clientes, proveedores, distribuidores o dems comunidades de
inters a la intranet corporativa a travs de una red pblica
Caractersticas:
Extiende la conectividad a proveedores y clientes
- sobre una infraestructura compartida
- usando conexiones virtuales dedicadas
Los pharters tienen diferentes niveles de autorizacin
- accses control lists, firewalls, filtros, segn decida la empresa

3. TECNOLOGA DE LAS REDES PRIVADAS VIRTUALES

La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnologa
para proteger la privacidad, mantener la calidad y confibilidad, y asegurar la operatoria
de la red en toda la empresa. Estos elementos son:

Seguridad: uso de tneles, encripcin de datos, autenticacin de usuarios y paquetes,

control de acceso.
Calidad de Servicio: uso de colas, manejo de congestin de red, priorizacin de
trfico, clasificacin de paquetes.
Gestin: implementacin y mantenimiento de las polticas de seguridad y calidad de
servicio a lo largo de la VPN.
3.1. Seguridad en las VPNs
Un punto fundamental es el particionamiento de las redes pblicas o de uso
compartido para implementar las VPN que son disjuntas. Esto se logra mediante el uso
de tneles que no son ni ms ni menos que tcnicas de encapsulado del
trfico. Las tcnicas que se utilizan son: GRE, que permite que cualquier protocolo sea
transportado entre dos puntos de la red encapsulado en otro protocolo, tpicamente IP;
L2TP que permite el armado de tneles para las sesiones PPP remotas, y por ltimo
IPSec para la generacin de tneles con autenticacin y encriptado de datos.
La calidad de servicio permite la asignacin eficiente de los recursos de la red pblica a
las distintas VPNs para que obtengan una performance predecible. A su vez, las VPNs
asignarn distintas polticas de calidad de servicio a sus usuarios, aplicaciones o
servicios. Las componentes tecnolgicas bsicas son:
Clasificacin de Paquetes: asignacin de prioridades a los paquetes basados en la
poltica corporativa. Se pueden definir hasta siete clases de prioridades utilizando el
campo de IP precedence dentro del encabezado del paquete IP.
Committed Access Rate (CAR): garantiza un ancho de banda mnimo para
aplicaciones o usuarios basndose en la poltica corporativa.
Weighted Fair Queuing (WFQ): determina la velocidad de salida de los paquetes en
base a la prioridad asignada a stos, mediante el encolado de los paquetes.
Weighted Random Early Detection (WRED): complementa las funciones de TCP en
la prevencin y manejo de la congestin de la red, mediante el descarte de paquetes
de baja prioridad.
Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el
fin de reducir posibles congestiones de la red que tengan como consecuencia el
descarte de paquetes.
4. ASPECTOS BASICOS DE TUNELES
Trabajar en un sistema de tnel es un mtodo de utilizar una infraestructura de la red
para transferir datos de una red sobre otra; los datos que sern transferidos (o carga
til) pueden ser las tramas (o paquetes) de otro protocolo.
En lugar de enviar una trama a medida que es producida por el nodo promotor, el
protocolo de tnel la encapsula en un encabezado adicional. ste proporciona
informacin de entubamiento de manera que la carga til encapsulada pueda viajar a
travs de la red intermedia.

De esta manera,
se pueden
enrutar los
paquetes
encapsulados
entre los puntos
finales del tnel
sobre la red (la
trayectoria lgica
a travs de la que viajan los paquetes encapsulados en la red se denomina tnel).
Cuando las tramas encapsuladas llegan a su destino sobre la red se desencapsulan y
se envan a su destino final; ntese que este sistema de tnel incluye todo este
proceso (encapsulamiento, transmisin y desencapsulamiento de paquetes).
Existen muchos otros ejemplos de tneles que pueden realizarse sobre intranets
corporativas. Y aunque la Red de redes proporciona una de las intranets ms
penetrantes y econmicas, las referencias a Internet en este artculo se pueden
reemplazar por cualquier otra intranet pblica o privada que acte como de trnsito.
Las tecnologas de tnel existen desde hace tiempo.
Algunos ejemplos de tecnologas maduras incluyen:
Tneles SNA sobre intranets IP. Cuando se enva trfico de la Arquitectura de la red del
sistema (SNA) a travs de una intranet IP corporativa, la trama SNA se encapsula en un
encabezado UPN e P. Tneles IPX para Novell NetWare, sobre intranets IP. Cuando un
paquete IPX se enva a un servidor NetWare o ruteador IPX, el servidor o ruteador
envuelve el paquete IPX en un encabezado UDP e IP y luego lo enva a traves de una
intranet IP.
EL ruteador IP a IPX de destino encabezado UPD e IP, el paquete al destino se han
introducido en los ltimos aos nuevas tecnologas de sistemas de tneles, mismas
que son el enfoque principal de este artculo. Incluyen:
Protocolo de tnel de punto a punto (PPTP). Permite que se encripte el trfico IP, IPX o
NetBEUI, y luego se encapsule en un encabezado IP para enviarse a travs de una red
corporativa IP o una red pblica IP, como Internet.
Protocolo de tnel de nivel 2 (L2TP). Permite que se encripte el trfico IP, IPX o
NetBEUI, y luego se enve sobre cualquier medio que d soporte a la entrega de
datagramas punto a punto, como IP, X.25, Frame Relay o ATM.
Modo de tnel de seguridad IP (IPSec). Deja que se encripten las cargas tiles IP y
luego se encapsulen en un encabezado IP, para enviarse a travs de una red
corporativa IP o una red pblica IP como Internes
4.1. PROTOCOLOS DE TUNELES
Para que se establezca un tnel, tanto el cliente de ste como el servidor debern
utilizar el mismo protocolo de tnel.
La tecnologa de tnel se puede basar en el protocolo del tnel de Nivel 2 o e Nivel 3;
estos niveles corresponden al Modelo de referencia de interconexin de sistemas
abiertos (OSI).

Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas

como su unidad de intercambio. PPTP y L2TP y el envo de nivel 2 (L2F) son protocolos
de tnel de Nivel 2, ambos encapsulan la carga til en una trama de Protocolo de punto
a punto (PPP) que se enviar a travs de la red.
Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre
IP y el modo de tnel de seguridad IP (IPSec) son ejemplos de los protocolos de tnel
de Nivel 3; stos encapsulan los paquetes IP en un encabezado adicional antes de
enviarlos a travs de una red IP.
4.2. COMO FUNCIONAN LOS TUNELES
Para las tecnologas de tnel de Nivel 2 como PPTP y L2TP, un tnel es similar a una
sesin; los dos puntos finales deben estar de acuerdo respecto al tnel, y negociar las
variables de la configuracin, como asignacin de direccin o los parmetros de
encriptacin o de compresin.
En la mayor parte de los casos, los datos que se transfieren a travs del tnel se
envan utilizando protocolos basados en datagramas; se utiliza un protocolo para
mantenimiento del tnel como el mecanismo para administrar al mismo.
Por lo general, las tecnologas del tnel de Nivel 3 suponen que se han manejado fuera
de banda todos los temas relacionados con la configuracin, normalmente a travs de
procesos manuales; sin embargo, quiz no exista una fase de mantenimiento de tnel.
Para los protocolos de Nivel 2 (PPTP y L2TP) se debe crear, mantener y luego concluir
un tnel.
Cuando se establece el tnel, es Posible enviar los datos a travs de mismo. El cliente
o el servidor utilizan un protocolo de transferencia de datos del tnel a fin de preparar
los datos para su transferencia.
Por ejemplo, cuando el cliente del tnel enva una carga til al servidor, primero
adjunta un encabezado de protocolo de transferencia de datos de tnel a la carga til.
Luego, el cliente enva la carga til encapsulada resultante a travs de la red, la que lo
enruta al servidor del tnel. Este ltimo acepta los paquetes, elimina el encabezado
del protocolo de transferencia de datos del tnel y enva la carga til a la red objetivo.
La informacin que se enva entre el servidor del tnel y el cliente del tnel se
comporta de manera similar.
Los protocolos y los requerimientos bsicos del tnel
Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como
PPTP v L2TP) heredan un conjunto de funciones tiles. Como se seala adelante, estas
funciones y sus contrapartes de Nivel 3 cubren los requerimientos bsicos de la VPN
Autenticacin de usuario. Los protocolos de tnel Nivel 2 hereda los esquemas de
autenticacin del usuario de PPP.
Muchos de los esquemas de tnel de Nivel 3 suponen que los puntos finales han sido
bien conocidos (y autenticados) antes de que se estableciera el tnel. Una excepcin
es la negociacin IPSec ISAKMP que proporciona una autenticacin mutua de los
puntos Finales del tnel. (Ntese que la mayor parte de las implementaciones IPSec
dan soporte slo a certificados basados en equipo, ms que en certificados de
usuarios; como resultado, cualquier usuario con acceso a uno de los equipos de punto
final puede utilizar el tnel. Se puede eliminar esta debilidad potencial de seguridad
cuando se conjunta el IPSec con un protocolo de Nivel 2, como el L2TP.)

Soporte de tarjeta de seales. Al utilizar el Protocolo de autenticacin ampliable

(EAP), los protocolos de tnel Nivel 2 pueden ofrecer soporte a una amplia variedad de
mtodos de autenticacin, incluidas contraseas de una sola vez, calculadores
criptogrficos y tarjetas inteligentes. Los protocolos de tnel Nivel 3 pueden utilizar
mtodos similares; por ejemplo, IPSec define la Autenticacin de los certificados de
llaves pblicas en su negociacin ISAKMP/Oakley.
Asignacin de direccin dinmica. El tnel de Nivel 2 da soporte a la asignacin
dinmica de direcciones de clientes basadas en un mecanismo de negociacin de
protocolos de control de la red en general los esquemas del tnel de nivel 3 suponen
que ya se ha asignado una direccin antes de la iniciacin del tnel. Cabe mencionar
que los esquemas para la asignacin de direcciones en el modo de tnel IPSec estn
actualmente en desarrollo, por lo que an no estn disponibles.
Compresin de datos. Los protocolos de tnel Nivel 2 proporcionan soporte a
esquemas de compresin basados en PPP Por ejemplo, las implementaciones de
Microsoft tanto de PPTP como L2TP utilizan Microsoft Point to Point Compression
(MPPC). La IETF est investigando mecanismos similares (como la compresin IP) para
los protocolos de tnel Nivel 3.
Encriptacin de datos. Los protocolos de tnel Nivel 2 dan soporte a mecanismos de
encriptacin de datos basados en PPP. Por su parte, la implementacin de Microsoft de
PPTP da soporte al uso opcional de Microsoft Point to Point Encription (MPPE), basado
en el algoritmo RSA/RC4. Los protocolos de tnel Nivel 3 pueden utilizar mtodos
similares; por ejemplo, IPSec define varios mtodos de Encriptacin opcional de datos
que se negocian durante el intercambio ISAKMP/Oaklev.
La implementacin de Microsoft del protocolo L2TP utiliza la encriptacin IPSec para
proteger el flujo de datos del cliente al servidor del tnel.
Administracin de llaves. MPPE, un protocolo de Nivel 2, se basa en las claves
iniciales generadas durante la Autenticacin del usuario y luego las renueva en forma
peridica. IPSec negocia explcitamente una llave comn durante el intercambio
ISAKMP y tambin las renueva de manera peridica.
Soporte de protocolo mltiple. El sistema de tnel de Nivel 2 da soporte a
protocolos mltiples de carga til, lo que facilita a los clientes de tnel tener acceso a
sus redes corporativas utilizando IP, IPX, NetBEUI, etc.
En contraste, los protocolos de tnel Nivel 3, como el modo de tnel IPSec, por lo
comn dan soporte slo a redes objetivo que utilizan el protocolo IP.
PROTOCOLOS DE PUNTO A PUNTO
Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones
especificadas para PPP, vale la pena examinar este protocolo ms de cerca.
PPP se dise para enviar datos a travs de conexiones de marcacin o de punto a
punto dedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del
PPP, y luego transmite los paquetes encapsulados del PPP a travs de un enlace punto
a punto. Es utilizado entre un cliente de marcacin y un NAS.
Existen cuatro fases distintivas de negociacin en una sesin de marcacin del PPP,
cada una de las cuales debe completarse de manera exitosa antes de que la conexin

del PPP est lista para transferir los datos del usuario. Estas fases se explican
posteriormente.
FASE 1:
ESTABLECER EL ENLACE DEL PPP
PPP utiliza el Protocolo de control de enlace (LCP) para establecer, mantener y concluir
la conexin fsica. Durante la fase LCP inicial, se seleccionan las opciones bsicas de
comunicacin.
Ntese que durante la fase de establecimiento de enlace (Fase i), se seleccionan los
protocolos de Autenticacin, peto no se implementan efectivamente hasta la fase de
Autenticacin de conexin (Fase 2). De manera similar, durante el LCP se toma una
decisin respecto a que si dos iguales negociarn el uso de compresin y/o
encriptacin. Durante la Fase 4 ocurre la eleccin real de algoritmos de
compresin/encriptacin y los otros detalles.
FASE 2:
AUTENTICAR AL USUARIO
En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de
acceso remoto. Por su parte, un esquema seguro de Autenticacin proporciona
proteccin contra ataques de reproduccin y personificacin de clientes remotos. (Un
ataque de reproduccin ocurre cuando un tercero monitoriza una conexin exitosa y
utiliza paquetes capturados para reproducir la respuesta del cliente remoto, de manera
que pueda lograr una conexin autenticada.
La personificacin del cliente remoto ocurre cuando un tercero se apropia de una
conexin autenticada.
La gran parte de la implementaciones del PPP proporcionan mtodos limitado, de
Autenticacin, tpicamente el Protocolo de autenticacin de contrasea (PAP), el
Protocolo de autenticacin de saludo Challenge (CHAP) Y Microsoft Challenge
Handshake Authentication Protocol (MSCHAP).
Protocolo de autenticacin de contrasea (PAP). El PAP es un esquema simple y
claro de autenticacin de texto: el NAS solicita al usuario el nombre y la contrasea y el
PAP le contesta el texto claro (no encriptado).
Obviamente, este esquema de autenticacin no es seguro ya que un tercero podra
capturar el nombre y la contrasea para tener sea del usuario Y til os un acceso
subsecuente al NAS y todos los recursos que proporciona el mismo cuando se ha
escrito la contrasea del usuario, PAP no proporciona proteccin contra ataques de
reproduccin o personificacin de cliente remoto.
Protocolo de autenticacin de saludo Challenge (CHAP). El CHAP es un
mecanismo encriptado que evita la transmisin de contraseas reales en la conexin.
El NAS enva un Challenge, que consiste de una identificacin de sesin y una
extensin arbitraria al cliente remoto. Por su parte, el cliente remoto deber utilizar el
algoritmo de control unidireccional MD5 para devolver el nombre i del usuario y una
encriptacin del challenge, la identificacin de la sesin y la contrasea del cliente.
El CHAP es una mejora sobre el PAP en cuanto a que no se enva la contrasea de texto
transparente sobre el enlace. En su lugar, se utiliza la contrasea a fin de crear una

verificacin encriptada del challenge original. El servidor conoce la contrasea del

texto transparente del cliente
y, por tanto, puede duplicar la operacin y comparar el resultado con la contrasea
enviada en la respuesta del cliente.
El CHAP protege contra ataques de reproduccin al utilizar una extensin challenge
arbitraria para cada intento de autenticacin. Asimismo, protege contra la
personificacin de un cliente remoto al enviar de manera impredecible challenges
repetidos al cliente remoto, a todo lo largo de la duracin de la conexin.
Microsoft ChallengeHandshake Aut 1 identicaton Protocol (MSCHAP).
Es un mecanismo de autenticacin encriptado muy similar al CHAP. Al igual que en
este ltimo, el NAS enva un challenge, que consiste en una identificacin de sesin y
una extensin challenge arbitraria, al cliente remoto. El cliente remoto debe devolver
el nombre del usuario y una verificacin MD4 de la extensin challenge, el identificador
de sesin y la contrasea MD4 verificada.
Este diseo, que manipula una verificacin del MD4 de la contrasea, proporciona un
nivel adicional de seguridad, debido a que permite que el servidor almacene las
contraseas verificadas en lugar de contraseas con texto transparente.
MSCHAP tambin proporciona cdigos adicionales de error, incluido un cdigo de
Contrasea ya expirado, as como mensajes adicionales cliente-servidor encriptado que
permite a los usuarios cambiar sus contraseas. En la implementacin de Microsoft del
MSCHAP, tanto el Cliente como el NAS, de manera independiente, una llave inicial para
encriptaciones posteriores de datos por el MPPE.
El ltimo punto es muy importante, ya que explica la forma en que se te quiere la
autenticacin del MSCHAP, a fin de permitir la encriptacin de datos con base en MPPE.
Durante la fase 2 de la configuracin del enlace del PPP, el NAS recopila los datos de
autenticacin y luego valida los datos contra su propia base de datos del usuario o
contra un servidor central para la autenticacin de base de datos, como el que
mantiene un Controlador del dominio primario Windows NT, un servidor de Servicio
remoto de usuario con marcacin de autenticacin (RA, DIUS).

FASE 3:
CONTROL DE ITERACIN DEL PPP
La implementacin de Microsoft del PPP incluye una Fase opcional de control de
interaccin. Esta fase utiliza el protocolo de control de iteracin (CBCP)
inmediatamente despus de la fase de autenticacin .
Si se configura para iteracin, despus de la autenticacin, le desconectan tanto el
cliente remoto como el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el

nmero telefnico especificado, lo que proporciona un nivel adicional de seguridad a

las redes de marcacin.
El NAS permitir conexiones partir de los clientes remotos que fsicamente residan slo
en nmeros telefnicos especficos.
FASE 4:
INVOCAR LOS PROTOCOLOS A NIVEL DE RED
Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de
control de red (NCP), que se seleccionaron durante la fase de establecimiento de
enlace (fase i) para configurar los protocolos que utiliza el cliente remoto. Por ejemplo,
durante esta fase el Protocolo de control de IP (IPCP) puede asignar una direccin
dinmica a un usuario de marcacin.
En la implementacin del PPP de Microsoft, el protocolo de control de compresin se
utiliza para negociar tanto la compresin de datos (utilizando MPPC) como la
encriptacin de stos (utilizando MPPE), por la simple razn de que ambos se
implementan en la misma rutina.
Fase de transferencia de datos
Una vez que hayan concluido las cuatro fases de negociacin, PPP empieza a transferir
datos hacia y desde los dos iguales. Cada paquete de datos transmitidos se envuelve
en un encabezado del PPP, que elimina el sistema receptor. Si se seleccion la
compresin de datos en la fase 1 y se negoci en la fase 4, los datos se comprimirn
antes de la transmisin.
Pero si se seleccion y se negoci de manera similar la encriptacin de datos, stos
(comprimidos opcionalmente) se encriptarn antes de la transmisin.
4.3. MODO DEL TUNEL DE SEGURIDAD DE PROTOCOLOS PARA INTERNET
El IPSec es un estndar de protocolo de Nivel 3 que da soporte a la transferencia
protegida de informacin a travs de una red IR En su conjunto se describe con mayor
detalle en la seccin de Seguridad avanzada.
Hay un aspecto del IPSec que debe analizarse en el contexto de los protocolos de tnel:
adems de su definicin de mecanismos de encriptacin para trfico IP, IPSec define el
1 formato de paquete para un modo de tnel IP sobre IP, generalmente referido como
un modo de tnel IPSec.
Un tnel IPSec consiste en un cliente de tnel v un servidor de tnel, ambos
configurados para utilizar los tneles IPSec y un mecanismo negociado de encriptacin.
El modo del tnel del IPSec utiliza el mtodo de seguridad negociada (de existir) para
encapsular y encriptar todos los paquetes IP, para una transferencia segura a travs de
una red privada o pblica IP. As, se vuelven a encapsular la carga til encriptada con
un encabeza do IP de texto Y se enva en la red para su entrega a un servidor de tnel.
Al recibir este datagrama, el servidor del tnel procesa y descarta el encabezado IP de
texto y luego desencripta su contenido, a fin de recuperar el paquete original IP de
carga til. En seguida, se procesa el paquete IP de carga til de manera normal y se en
ruta su destino en la red objetivo.
El modo de tnel IP tiene la siguientes funciones y limitaciones:

Solo da soporte a trfico IP

Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de
niveles ms altos hereda su comportamiento.
Est controlado por una Poltica de seguridad (un conjunto de reglas que se
cumplen a travs de filtros). Esta poltica de seguridad establece los mecanismos
de encriptacin y de tnel disponibles en orden de preferencia, as como los
mtodos de autenticacin disponibles, tambin en orden de preferencia. Tan
pronto como existe trfico, ambos equipos realizan una autenticacin mutua, y
luego negocian los mtodos de encriptacin que se utilizarn. Posteriormente, se
encripta todo el trfico de encriptacin, y luego se envuelve en un encabezado de
tnel.

PROTOCOLO DE TUNEL DE PUNTO A PUNTO

El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del
IP para transmisin sobre una red IP, como la de Internet. Tambin se puede utilizar en
una red privada de LAN a LAN.
El Protocolo de tnel de punto a punto (PPTP) utiliza una conexin TCP, para
mantenimiento del tnel y tramas encapsuladas del PPP de Encapsulamiento de
entubamiento genrico (GRE) para datos de tnel. Se pueden encriptar y/o comprimir
las cargas tiles de las i tramas del PPP encapsulado.
La forma en que se ensambla el paquete del PPTP antes de la transmisin (el dibujo
exhibe un cliente de marcacin que crea un tnel a travs de una red). El diseo de la
trama final muestra la encapsulamiento para un cliente de marcacin (controlador de
dispositivo PPP).

REENVIO DE NIVEL 2 (L2F)

Una tecnologa propuesta por cisco, es un protocolo de transmisin que permite que
los servidores de acceso de marcacin incluyan el trfico de marcacin en el PPP, y lo
transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor
L2F envuelve los paquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no
tiene un cliente definido. Ntese que L2F funciona slo en tneles obligatorios (para un
anlisis detallado de los tneles voluntarios y obligatorios, vase la seccin "Tipos de
tnel", ms adelante en este artculo).

PROTOCOLO DE TNEL DE NIVEL 2 (L2TP)

Es una combinacin del PPTP y L2F. Sus diseadores esperan que el L2TP represente
las mejores funciones del PPTP y L2E, L2TP es un protocolo de red cpsula las tramas
de] PPP que viajan sobre redes IP, x.25, Frame Relay, o modo de transferencia ATM.
Cuando est configurado para utilizar al IP como su transporte de datagrama, L2TP se
puede utilizar como un protocolo de tnel sobre Internet. Tambin se Puede utilizar
directamente sobre varios medios WAN (como Frame Relay), sin nivel de transporte IP.

El L2TP sobre las redes IP utiliza UDP y una serie de mensajes para el mantenimiento
de tnel. Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP
como los datos enviados por el tnel; se pueden encriptar Y/O comprimir las cargas
tiles de las tramas PPP encapsuladas.
PPTP COMPARADO CON EL L2TP
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los
datos, y luego incluir encabezados adicionales a fin de transportarlos a travs de la red.
Aunque ambos protocolos son muy similares, existen diferencias entre ellos:
El PPTP requiere que la red sea de tipo IP, y el L2TP requiere slo que los medios del
tnel proporcionen una conectividad de punto a punto orientada a paquetes. Se puede
utilizar L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVC), circuitos
virtuales X25 (VC) o VC ATM.
El PPTP slo puede soportar un tnel nico entre puntos terminales, y el L2TP permite
el uso de varios tneles entre puntos terminales. Con el L2TP es posible crear
diferentes tneles para diferentes calidades de servicio.
L2TP proporciona la compresin de encabezados. Cuando se activa la compresin de
encabezado, el L2TP opera slo con 4 bytes adicionales, comparado con los 6 bytes
para el
PPTP.
L2TP proporciona la autenticacin de tnel, no as el PPTP. Sin embargo, cuando se
utiliza cualquiera de los protocolos sobre IPSec, se proporciona la autenticacin de
tnel por el IPSec, de manera que no sea necesaria la autenticacin del tnel Nivel 2.

4.4. TIPOS DE TUNEL

Se pueden crear tneles en diferentes formas.
Tneles voluntarios: Una computadora de usuario o de cliente puede emitir una
solicitud VPN para configurar y crear un tnel voluntario. En este caso, la computadora
de usuario es un punto termina de tnel y acta como un cliente de ste.
Tneles obligatorios: Un servidor de acceso de marcacin capaz de soportar una VPN
configura y crea un tnel obligatorio. Con uno de stos, la computadora de usuario
deja de ser un punto termina de tnel. Otro dispositivo, el servidor de acceso remoto,
entre la computadora de usuario y el servidor del tnel, es el punto termina del tnel
y acta como el cliente del mismo.
A la fecha, los tneles voluntarios han robado ser el tipo ms popular de tnel. Las
siguientes secciones describen cada uno de estos tipos con mayor detalle.
4.4.1. TUNELES VOLUNTARIOS
Un tnel voluntario ocurre cuando, una estacin de trabajo o un servidor de
entubamiento utiliza el software del cliente del tnel, a fin de crear una conexin
virtual al servidor del tnel objetivo; para lograr esto se debe instalar el protocolo

apropiado de tnel en la computadora cliente. Para los protocolos que se analizan en

este artculo, los tneles voluntarios requieren una conexin IP (ya sea a travs de una
LAN o marcacin).
En determinadas situaciones, el cliente debe establecer una conexin de marcacin
con el objeto de conectarse a la red antes de que el cliente pueda establecer un tnel
(ste es el caso ms comn). Un buen ejemplo es el usuario de Internet por marcacin,
que debe marcar a un ISP y obtener una conexin a Internet antes de que se pueda
crear un tnel sobre Internet..
Para una PC conectada a una LAN, el cliente ya tiene una conexin a la red que le
puede proporcionar un entubamiento a las cargas tiles encapsuladas al servidor del
tnel LAN elegido. Este sera el caso para un cliente en una LAN corporativa, que inicia
, un tnel para alcanzar una subred privada u oculta en la misma LAN (como sera el
caso de la red de Recursos Humanos).
Es falso que las VPN requieran una conexin de marcacin, pues slo requieren de una
red IP. Algunos clientes (como las PC del hogar) utilizan conexiones de marcacin 1
Internet para establecer transporte IP; esto es un paso preliminar en la preparacin
para la creacin de un tnel, y no es parte del protocolo del tnel mismo.
4.4.2. TNELES OBLIGATORIOS
Diversos proveedores que venden servidores de acceso de marcacin han
implementado la capacidad para crear un tnel en nombre del cliente de marcacin. La
computadora o el dispositivo de red que proporciona el tnel para la computadora del
cliente es conocida de varias maneras: Procesador frontal (FEP) en PPTP, un
Concentrador de acceso a L2TP (LAC) en L2TP o un gateway de seguridad IP en el
IPSec. En este artculo, el trmino FEP se utilizar para describir esta funcionalidad, sin
importar el protocolo de tnel.
Para realizar esta funcin, el FEP deber tener instalado el protocolo apropiado de tnel
y ser capaz de establecer el tnel cuando se conecte la computadora cliente.
En el ejemplo de Internet, la computadora cliente coloca una llamada de marcacin al
NAS activado por los tneles en el ISP; puede darse el caso de que una empresa haya
contratado un ISP para instalar un conjunto nacional de FEP.
Esta configuracin se conoce como "tnel obligatorio" debido a que el cliente est
obligado a utilizar el tnel creado por FER Cuando se realiza la conexin inicial, todo el
trfico de la red de y hacia el cliente se enva automticamente a travs del tnel.
En los tneles obligatorios, la computadora cliente realiza una conexin nica PPP, y
cuando un cliente marca en el NAS se crea un tnel y todo el trfico se enruta de
manera automtica a travs de ste. Es posible configurar un FEP para hacer un tnel
a todos los clientes de marcacin hacia un servidor especfico del tnel. De manera
alterna, el FEP podra hacer tneles individuales de los clientes basados en el nombre o
destino del usuario.
A diferencia de los tneles por separado creados para cada cliente voluntario, un tnel
entre el FEP y servidor puede estar compartido entre varios clientes de marcacin.
Cuando un segundo cliente marca al servidor de acceso (FEP) a fin de alcanzar un
destino no hay necesidad de crear una nueva instancia del tnel entre el FEP y el
servidor del tnel.

Las VPNs proveen hoy ahorros de un 50 a un 75 por ciento en los costos de

comunicaciones, y permiten mantener la arquitectura de las redes flexible para
adaptarse a los nuevos mecanismos de negocio de las empresas.
Estudios de mercado asignan a las VPNs oportunidades de negocio por U$S 1.1 mil
millones a nivel mundial para el ao 2001, con un crecimiento anual del 72 por ciento.
Esto lo vemos reflejado en nuestro mercado local, dado que los principales vendedores
comenzaron a ofrecer este tipo de servicio.