REDES PRIVADAS VIRTUALES - VPN (Virtual Private Networks)

Introduccin.
Tunelizacin.
Aplicaciones.

Introduccin
El nuevo concepto de la RED de la empresa, conocida como INTRANET, se extiende sobre
un rea geogrfica amplia, a veces un pas o un continente.

No importa cunto se exagere, una Intranet simplemente es tecnologa de Internet

puesta al servicio de una red privada.

En los ltimos aos las redes se han convertido en un factor crtico para cualquier
organizacin. Cada vez en mayor medida, transmiten informacin vital para la empresa, por lo
tanto deben cumplir con atributos tales como:

Seguridad
Fiabilidad
Alcance geogrfico
Efectividad
Costos.

Las redes reducen en tiempo y dinero, eso significa una gran ventaja para las organizaciones
sobre todo las que tienen oficinas remotas. Esta situacin incit el crecimiento de Internet y sus
servicios de informacin popular, normalmente conocida como World Wide Web.

Al final de logr el xito que la comunidad haba estado esperando durante aos:

Protocolos simples
Plataforma independiente
Comunicacin ms eficaz.

Pero tambin es cierto que han provocado curiosidad, espionaje, ataques a los servidores por
diversin o por intereses, de manera de obtener informacin confidencial. Por tal motivo la
seguridad en las redes es de suma importancia, de all que escuchemos hablar tanto sobre
firewall y VPN

Diferencia entre red pblica y privada

Hasta ahora ha habido siempre una clara divisin entre red pblica y privadas.
Una red pblica, como el sistema de telefona pblica y la Internet, es una gran coleccin de
dispositivos no relacionados que intercambian informacin entre si en forma ms o menos libre.

Las personas que acceden a la red pblica pueden o no tener nada en comn, y cualquier
persona dada en esa red slo puede comunicarse con un pequeo fragmento de sus potenciales
usuarios.

1
 Una red privada est compuesta de computadoras de una sola organizacin que comparten la
informacin especficamente entre s.

En este caso existe la seguridad de que son los nicos que usan la red, y que la informacin
solo ser entre ellos. En el peor de los casos, slo podr ser vista por otros usuarios del mismo
grupo.

La tpica Red del rea Local corporativa (LAN) o la Red de rea Extensa (WAN) es un
ejemplo de una red privada.

La lnea de separacin entre la red privada y la pblica siempre ha sido trazada por el router.
Al puede colocarse un firewall para mantener alejado a los intrusos, o para impedir a los
usuarios interiores acceder a la red pblica

RED PRIVADA RED PUBLICA

SERVIDOR
ROUTER

INTERNET

FIREWALL

Figura 18

Por qu una Red Privada Virtual?

Hasta no hace mucho, LAN operaban en forma aisladas. Cada oficina poda tener su propia
LAN. Luego apareci la necesidad de interconectar estas oficinas.
Tradicionalmente se comenz con las lneas telefnicas arrendadas con velocidades variadas,
lo que provea una conexin segura y siempre disponible. Pero estas son prohibitivas cuando
aumenta la distancia.

La conexin entre oficinas centrales y sucursales tienen las siguientes opciones:

Acceso Dial-up va Mdem: Costosa y poco eficiente y poco seguras

Lneas Privadas: Redes creadas con recursos propios (limitada a reas
geogrficas pequeas). Algunas wireless estaran incluidas en esta categora. Son
muy seguras. solo mueven trfico de la empresa.
Lneas Dedicadas: Alternativa a la anterior, sobre todo para grandes extensiones
geogrficas. Consiste en arrendar lneas a terceros, generalmente empresas que se
dedican al servicio de comunicaciones. Son similares a las anteriores, solo circula
trfico de la empresa.
2
 Red Pblica (Internet): Ofrecen una alternativa econmica y de buena calidad de
acceso, como as tambin buena velocidad. Son muy inseguras. La informacin
viaja sin ninguna proteccin.

Las redes privadas virtuales (VPN), desdibujan la lnea entre la red pblica y la red
privada.

Una VPN le permiten crear una red segura, sobre de una red pblica, usando software,
hardware, o una combinacin de los dos para crear un enlace seguro sobre la red pblica.

Esto se hace a travs de la encriptacin, autenticacin, tunneling de paquetes, y firewalls.

OFICINA
HOGAREA

CASA
CENTRAL

OFICINA
REMOTA

COMPAA
ASOCIADA USUARIO
(PARTNER) MVIL

Figura 19
Qu es una VPN?
Segn la definicin estndar proporcionada por el Internet Engineering Task Force (IETF),
una VPN es:

"An emulation of [a] private Wide Area Network (WAN) using shared or public facilities,
such as the Internet or private backbones".

"Una emulacin de una Red WAN usando medios compartidos o pblicos, como Internet o
backbones privados."

En trminos ms simples, una VPN es una extensin de una Intranet privada a travs una red
pblica (Internet) que asegura conectividad segura y confiable entre dos extremos. La Intranet
privada es extendida con la ayuda de "tneles lgicos" privados. Estos tneles permiten a los dos
extremos intercambiar datos de una manera parecida a una comunicacin punto a punto.

Resumiendo:

3
 Una VPN es un una red privada que se extiende, mediante un proceso de encapsulacin
y encriptacin de paquetes creando un seguro tnel privado de comunicacin entre dos o
ms dispositivos a travs de una red pblica (por ejemplo Internet).

Una red privada virtual es una manera de simular una red privada sobre una red pblica, como
Internet. Se llama "virtual" porque depende del uso de conexiones virtuales, que son conexiones
temporales sin presencia realmente fsica. Solo consisten en el encaminamiento de paquetes a
travs de los distintos dispositivos dentro de la Internet. Las conexiones virtuales seguras son
creadas entre dos mquinas, una mquina y una red, o dos redes. Estos dispositivos pueden ser
cualquier computadora ejecutando software VPN o un dispositivo especial como por ejemplo un
router con facilidades VPN. Esto permite conectar la computadora hogarea a la red de la
oficina, tambin permite que dos computadoras en diferentes ubicaciones se conecten en forma
segura sobre Internet.

Usando Internet para el acceso

remoto se ahorra mucho dinero. Se
puede acceder de cualquier lugar
donde el proveedor de servicio
(ISP = Internet Service Provider)
tenga un punto de presencia (POP
= Point Of Presense).

Si se escoge un ISP nacional,

habr muchas posibilidades que el
acceso a la LAN sea solo una
llamada local.

Figura 19: Modelo de conexin VPN

Pueden usarse redes privadas virtuales para extender el alcance de una Intranet. Dado que las
Intranets son tpicamente usadas para comunicar informacin propietaria, no es deseable que sea
accesible desde Internet.

Puede haber casos, sin embargo, dnde se querr compartir datos con usuarios remotos
conectados a su Intranet, y estos usuarios pueden usar Internet como medios de conexin. Una
VPN les permitir conectar seguramente a Intranet, sin temores de que la informacin sensible
quede desprotegida.

Este tipo de conexin tambin se conoce como una "Extranet."

Podemos ver ahora como una VPN puede extender las funcionalidades de la Intranet. Bajo
este contexto no hay ninguna razn por qu los clientes o vendedores no puedan usar la Internet
para acceder al servidor web que aloja la base de datos de clientes por cuanto puede proporcionar
un enlace entre los usuarios mviles y el web server de la Intranet. Esto provee flexibilidad, y
permite que cualquier servicio de la red pueda ser usado a travs de la Internet.

Cmo opera una VPN?

A travs de tecnologa de tunelizacin, las VPN proveen medidas de seguridad y mecanismos
para resguardar el pasaje de datos sensibles por un medio no seguro.
4
 Encriptacin: Es el proceso de cambio de datos de manera que slo puede leer el
receptor apropiado.
Autenticacin: Es que el proceso que asegura que los datos se entregan al
destinatario acertado. Adems, asegura la integridad del mensaje y su fuente. En
su forma ms simple, exige un username y una contrasea.
Autorizacin: Es el proceso de conceder o negar acceso a los recursos despus de
que el usuario se ha identificado con xito y se ha autenticado.

Evolucin de las VPN

Ahora que tienen una idea bsica de lo que implica una VPN, veremos cmo evolucion su
tecnologa.

Contrariamente a lo que la mayora cree, el concepto de VPN tiene alrededor de 15 aos y ha

sufrido varias generaciones hasta llegar a su ltima forma.

Las primeras VPN, conocidas como SDN (Software Defined Networks), fueron ofrecidas por
AT&T en los 80. SDN permita construir WAN con enlaces dedicados o conmutados y basadas
en bases de datos para clasificar intentos de acceso local o remoto. Basado en esta informacin,
el paquete era ruteado a su destino a travs de la infraestructura de la red pblica conmutada.

La segunda generacin surgi con la aparicin de X.25 y la Red Digital de Servicios

Integrados (ISDN) a comienzos de los 90. Estas dos tecnologas permitieron transmisin de
paquete por la red pblica. La idea de transmisiones econmicas por una red pblica gan
popularidad rpidamente. Pero como las tasas de transmisin no crecan a los niveles esperados,
la segunda generacin fue efmera.

Despus de la segunda generacin, el avance fue lento hasta la aparicin de las tecnologas
Frame Relay (FR) ATM. La 3ra generacin est basada en el concepto de conmutacin virtual de
circuitos en las cual los paquetes de datos no contienen las direcciones origen/destino, sino
indicadores de los circuitos virtuales involucrados en la transaccin origen/destino.

Ante las necesidades de e-commerce a mediados de los 90, los requisitos del usuario estaban
mejor definidos. Las organizaciones necesitaban una solucin fcil de implementar, escalar y
administrar; globalmente accesible y capaz de proporcionar alto nivel de seguridad de extremo a
extremo. La generacin actual de VPN (las IP VPN) renen todos estos requisitos mediante el
empleo de tecnologa de tunelizacin.

Qu puede ofrecer una VPN?

Extensin geogrfica de la conectividad

Mejora de la seguridad
Reduccin de costos operacionales respecto de la WAN tradicional
Reduccin de tiempos y costos de transporte para usuarios remotos
Mejora de la productividad
Simplificacin de la topologa de la red
Oportunidades globales de networking
Soporte de telecomunicaciones a distancia
Compatibilidad de conexiones de banda ancha
Retorno de la inversin ms rpido que la tradicional WAN
5
TUNELIZADO o TUNNELING
Las redes privadas virtuales crean un tnel o conducto de un sitio a otro para transferir datos a
esto se le conoce como encapsulacin adems los paquetes van encriptados de forma que los
datos son ilegibles para los extraos. Las VPN confan en el tunneling para crear la red privada a
travs de Internet. Ambos extremos, por donde ingresa y sale el paquete se llaman interfaces de
tnel.

Tunneling es la tcnica de encapsular un paquete de datos en un protocolo de tunelizacin,

como IPSec, PPTP, o L2TP. El paquete es finalmente encapsulando (tunelizado) generalmente
en un paquete IP y enrutado al destino.

Dado que el paquete original puede ser de cualquier tipo, el tunneling soporta trfico multi-
protocolo, incluido IP, PPP, ISDN, FR y ATM.

El tunneling requiere de tres protocolos diferentes:

De transporte (Carrier protocol): Usado por la red que transporta la informacin.

De encapsulamiento (Encapsulating protocol): Es el que empaqueta o envuelve a
los datos originales (GRE, IPSec, L2F, PPTP, L2TP).
Protocolo viajero (Passenger protocol): Protocolo original de los datos transportados
(IPX, NetBeui, IP)

Requerimientos bsicos de una VPN

Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione:

Identificacin de usuario: debe ser capaz de verificar la identidad de los usuarios y

restringir el acceso a aquellos que no estn autorizados. As mismo, proporciona
registros estadsticos que muestren quien accedi, cuando y que informacin utiliz.

Administracin de direcciones: debe establecer una direccin para el cliente en la red

privada y debe cerciorarse que las direcciones privadas se conserven as.

Codificacin de datos: Los datos que a transmitir por la red pblica deben ser
previamente encriptados para que no puedan ser ledos por usuarios no autorizados.

Administracin de claves: debe generar y renovar las claves de codificacin para el

cliente y el servidor.

Soporte a protocolos mltiples: debe ser capaz de manejar los protocolos comunes
que se utilizan en la red pblica. Estos incluyen el protocolo de Internet (IP), el
intercambio de paquete de Internet (IPX) entre otros.

Distintos tipos de TUNNELING

Los distintos tipos de tneles que se pueden implementar son; (ver figura 20)

VPN extremo a extremo (Site-to-Site VPN)

VPN de acceso remoto
6
 INTRANET VPN
* Bajo Costo
* Tunneled con OFICINA
cuantiosos servicios
VPN tales como HOGAREA
encriptacin IPSec, y
QoS que asegura
rendimiento muy
confiable
* Ms econmica frente
a Frame Relay y lneas
dedicadas

CASA
CENTRAL

OFICINA
REMOTA
VPN DE ACCESO
REMOTO
* Muy segura
* Escalable
EXTRANET VPN * Tnel encriptados a
* Extiende la WAN a travs de redes
partners COMPAA pblicas mediante
* Provee seguridad de software del cliente
ASOCIADA USUARIO * Ahorro mediante
Capa 3 (L3)
(PARTNER) MVIL discado gratuito

Figura 20

VPN extremo a extremo (Site-to-Site VPN)

Permite conectar mltiples sitios fijos, sobre una red pblica como la Internet a travs de
equipos dedicados y gran escala de encriptacin. (figura 21)

El protocolo de encapsulamiento que generalmente proporciona la estructura para encapsular

el protocolo viajero para el transporte basado en IP, es el GRE (Generic Routing
Encapsulation). De incluir informacin sobre qu tipo de paquete est encapsulando e
informacin sobre la conexin entre el cliente y servidor.

En el modo tnel tambin se usa como protocolo de encapsulamiento IPSec, que opera tanto
en protocolos VPN site-to-site como de acceso remoto. IPSec debe ser soportado por ambas
interfaces del tnel.

Figura 21: Tunneling extremo a extremo

7
Las Site-to-site VPN pueden ser de dos tipos:

Basadas en Intranet: Se pueden conectar mltiples LAN remotas mediante una

Intranet VPN de manera de crear una nica red privada (P.ej. Conexin de distintas
sucursales con casa central).
Basadas en Extranet: Permite construir una conexin LAN a LAN mediante una
Extranet, lo que permite que varias compaas trabajen en un ambiente compartido
(P.ej. compaa con partners, proveedores o clientes)

VPN de acceso remoto

Tambin conocida como Red dial-up Privada Virtual (VPDN: Virtual Private Dial-up
Network), consiste conexiones remotas de usuarios que necesitan conectarse a la LAN de la
compaa desde varios sitios remotos

Tpicamente, la corporacin pasa los requerimientos a un ESP (Enterprise Service

Provider). Este prepara un servidor de acceso de red (NAS: Network Access Server) y les
proporciona el software a los usuarios remotos mediante el empleo de tecnologa de tunelizacin.

En una VPN de acceso remoto, normalmente se utilizan protocolo basados en PPP (Point-to-
Point Protocol). PPP es el portador para otros protocolos de IP que se comunican a travs de la
red. El tunneling por acceso remoto confa en PPP.

Los protocolos indicados en la figura 22, que son empleados por las VPN de acceso remoto,
usan la estructura bsica de PPP:

Servidor con acceso

restringido a usuarios 199.1.1.6
de la red 199.1.1.0/24
Origen:
199.1.1.245
Destino: 199.1.1.69

199.1.1.10
ISP Servidor de Tneles
Rango 199.1.1.245-254
199.1.1.24
ISP Tnel
Origen: 200.1.1.20
Destino: 199.1.1.10
Origen: Red 199.1.1.0/24
POP (Point of Presence) 199.1.1.245
200.1.1.20
Red 200.1.1.0/24 Destino: 199.1.1.69
Ping 199.1.1.69

Figura 22: Funcionamiento de un tnel VPN para usuario remoto

Bloques Constructivos de una VPN

Como muestra la figura 23, una solucin basada en VPN esta formada por seis elementos
fundamentales (o bloques constructivos) que se detallan debajo.
8
 Figura 23

Hardware VPN: Incluye servidores de VPN, clientes y otros dispositivos de hardware

como las router, gateways y concentradores.
Software VPN: Incluye software de servidores clientes VPN y herramientas de
administracin.
Infraestructura de seguridad de la organizacin: Incluye RADIO, TACACS, NAT
y soluciones basadas en AAA. Protegen la Intranet de muchos desastres. Es una
combinacin de los siguientes mecanismos:
9 Firewalss
9 NAT
9 Servidores de autenticacin y bases de datos: RADIUS (Remote Access Dial-In
User Services) y TACACS (Terminal Access Controller Access Control System),
los ms conocidos.
9 Arquitectura AAA: (Authentication, Authorization, Accounting)
9 IPSec

El proveedor de servicio que soporta la infraestructura: Incluye el switch de acceso

a la red y backbone Internet.
Las redes pblicas: Incluyen Internet, PSTN (Public Switched Telephone Networks)
y las viejas POTS (Plain Old Telephone Services)
Tneles: pueden ser basados de PPTP, L2TP, L2F, etc.

Arquitecturas de VPN
Pueden realizarse de muchas maneras. Por ejemplo, si dependen de que extremo se
implementa, de los requisitos bsicos de seguridad, disponibilidad, QoS y as sucesivamente, se
pueden clasificar en tres categoras.

Si dependen de los requisitos de seguridad, pueden dividirse en cuatro categoras.

Si dependen de la capa del modelo OSI en la cual funciona la infraestructura global de VPN,
puede ser dividido en dos grupos.

Finalmente, dependiendo de la escala y la complejidad, pueden ser clasificadas en cinco

clases.
9
Arquitecturas de VPN basadas en seguridad
Las siguientes categoras de VPN ofrecen una mejora de la seguridad de las Intranet:

9 Router a router. Figura 24

9 Firewall a firewall. Figura 25
9 Iniciada por el cliente
9 Dirigida: no hace uso de tneles bidireccionales. Se establece un tnel
unidireccional entre los extremos. Los datos son encriptados a nivel de Capa de
Sesin (L5) OSI. El protocolo usado es el SOCKS v5.

Figura 24

Figura 25

Arquitecturas VPN basadas en Capas

Dependen de la capa del modelo OSI en la cual funciona la VPN.

VPN de Capa de Enlace (Link-layer VPN)

VPN de Capa de Red (Network-layer VPN)
10
Link-layer VPN
Como lo sugiere el nombre, las VPN de Capa de Enlace usan conectividad de Capa 2. Las
transacciones estn limitadas a la red local porque usan direcciones MAC; por consiguiente, las
L2-VPN son funcionalmente similares a las redes privadas.

Basadas en tecnologas de Capa 2, tenemos cuatro tipos:

9 Conexiones virtuales Frame Relay: Usa conexiones virtuales en la que ambos extremos
usan clocking adaptativo durante la transmisin. La tasa se ajusta a la aplicacin y
sealizacin. Tecnologa VPN barata y CIR garantizado.
9 Conexiones virtuales ATM: Similares a FR, pero usan infraestructura ATM. Son ms
rpidas y buena performance. Son ms caras que FR.
9 Multi-protocolo sobre ATM (MPOA): Basadas en ATM, pero soportan mltiples
protocolos dependientes de los routers localizados al borde de la red privada. No es popular
porque ATM no es aceptable en una intranet hbrida con varias tecnologas de gestin de
redes.
9 Multi-Protocol Label Switching (MPLS): Provee un medio eficaz para establecer VPN
basadas en IP a travs de backbones WAN ATM. El router construye la VPN en la tabla de
enrutamiento. A cada ruta se le asigna una etiqueta que enva informacin de ruteo a cada
router conectado. Durante la transmisin, el dispositivo MPLS que recibe estos paquetes IP
los encapsula usando etiquetas MPLS. Es la etiqueta MPLS y no el IP Header el que se usa
para rutear los paquetes a travs de la WAN. En el borde de la Intranet, cuando el paquete
est a punto de acceder a la infraestructura basada en IP, la etiqueta de MPLS es removida.

Network-layer VPN
Las VPN de Capa de Red, tambin conocidas como L3-VPN, usan la funcionalidad de la
Capa de Red y pueden organizarse dos categoras:

9 Modelo Peer-VPN: En este modelo, la Capa de Red enva los paquetes en un camino
basado en saltos (hop-to-hop). El camino a cada router es considerado como el camino a la
red destino. Todos los router en el camino de trnsito son consideradas como pares.
9 Modelo Overlay VPN: Al contrario del modelo Peer-VPN, este modelo no calcula el
camino a la red del destino en una base hop-to-hop. La infraestructura de internetworking
usa como un "cut-through" al prximo router en el camino de trnsito. Las tecnologas
VPN basadas en ATM, FR y VPN usando tunneling son algunos ejemplos del modelo
Overlay VPN.

Las redes VPN Layer 3 tambin son conocidas como VPDN (Virtual Private Dial Networks)
y usan dos tecnologas de tunneling de Capa 2: PPTP y L2TP.

Tecnologa de Tunneling Bsica

Como hemos visto, las tecnologas VPN descansan en el tunelizado (tunneling). Mientras se
atribuye la efectividad del costo de las VPN al uso de Internet, la seguridad que ofrecen las VPN
es el resultado directo de la tunelizacin.

El tnel es el componente ms significativo de la tecnologa VPN. Permite crear redes

virtuales por Internet y otras redes pblicas. Esta red virtual no puede se accedida por usuarios
extraos o computadoras que no son una parte de la Intranet de la organizacin.
11
 Tunneling es la tcnica de encapsular un paquete de datos dentro de un paquete de otro
formato. En otras palabras, el encabezado (header) del protocolo de tunneling se aade al
paquete original. El paquete resultante se transfiere al destino a travs de la infraestructura de red
intermedia.

El aspecto ms importante del tunneling es que el paquete original, tambin llamado carga
til (payload), puede pertenecer a un protocolo no soportado por la red. En lugar de transferir el
paquete original que no sera ruteable por la red el protocolo de tunneling subyacente anexa el
encabezado para el paquete tunelizado (tunneled packet). Este header proporciona la
informacin de asignacin de ruta necesaria para la entrega exitosa del paquete.

El tunnelig es anlogo al correo al enviar una carta. Luego de escribir la carta, la coloca en un
sobre. Este sobre lleva la direccin del destinatario y del remitente (direcciones origen y
destino). Cuando enva esta carta, se entrega al destinatario segn la direccin del sobre. El
destinatario necesita abrir el sobre para leer la carta. En tecnologa de tunnelizado, la carta es
equivalente a la carga til original y el sobre representa el paquete del protocolo ruteable que
encapsula la carga til. La direccin en el sobre representa la informacin de la asignacin de
ruta que se aade al paquete.

Cuando un paquete tunelizado es ruteado al destino, viaja por la red a travs de un camino
lgico. Este camino lgico es llamado el tnel. Al recibir un paquete tunelizado, el destinatario
devuelve el paquete a su formato original. La figura 26 muestra el proceso.

Figura 26

Componentes del Tunneling

Para establecer un tnel entre dos extremos, son necesarios cuatro componentes:

9 La red designada (Target network): Es la red que contiene los recursos que necesitan los
clientes para el acceso remoto que inician la sesin VPN. (La red designada tambin es
llamada la red residente (home network) en algunas VPN).
9 El nodo iniciador: Es el cliente remoto o servidor que inicia la sesin VPN. El nodo
iniciador puede ser una parte de una red local o puede ser un usuario mvil usando una
laptop.
9 Agente Local HA (Home Agent): La interface de software que reside en el nodo de acceso
(router) de la red designada. Sin embargo, un nodo destino, como un servidor de acceso
12
 dial-up, tambin puede soportar el HA. El HA recibe y autentica el requerimiento entrante
para verificar que son confiables. Luego de la autenticacin exitosa, el HA permite el
establecimiento del tnel.
9 El Agente Externo FA (Foreign Agent). La interface de software que reside en el nodo
del iniciador o el nodo de acceso a la red (router) a la cual pertenece el nodo iniciador. El
nodo iniciador usa el FA para pedir una sesin VPN al HA de la red designada.

Funcionamiento de la Tecnologa Tnel

Puede ser dividido en dos fases:

9 Fase I: El nodo iniciador (o cliente remoto) solicita una sesin VPN y es autenticado por el
correspondiente HA.
9 Fase II: La transferencia de datos ocurre a travs del tnel.

En la Fase I, se inicia una demanda de conexin y se negocian los parmetros de la sesin.

Esta fase tambin se conoce como establecimiento del tnel Si la demanda se acepta y se
negocian los parmetros de la sesin con xito, se establece un tnel ambos extremos. Esto
ocurre de la siguiente manera:

1. El iniciador enva el pedido de conexin al FA de la red.

2. El FA autentica el pedido mediante validacin de un login y password emitida por el
usuario. (El FA generalmente usa servicio RADIUS-Remote Access Dial-Up Services)
para autenticar la identidad del nodo iniciador.
3. Si el login y password no son validos, el pedido de sesin VPN es rechazado. Si el FA
autentica la identidad del iniciador positivamente, este enva el pedido al HA de la red
designada (target network).
4. Si el pedido es aceptado por el, el FA enva en forma encriptada el login y password
correspondientes.
5. El HA verifica la informacin suministrada. Si la verificacin es exitosa, el HA enva al
FA una Respuesta Registrada (Register Reply), junto al nmero de tnel, al FA.
6. Un tnel es establecido cuando el FA recibe el Register Reply y el nmero de tnel.

Si los dos extremos no usan el mismo protocolo de tunneling, son negociados los parmetros
variables de configuracin tnel, tales como encriptacin, parmetros de compresin, y
mecanismos de mantenimiento del tnel.

Con el establecimiento del tnel, la Fase I es considerada terminada y comienza la Fase II o

fase de transferencia de datos. Las transacciones en esta fase ocurren como sigue:

1. El iniciado comienza a enviar los paquetes de datos al FA.

2. El FA crea el encabezamiento de tnel (tunnel header) y lo agrega a cada paquete de
datos. Luego se agrega al paquete la informacin del encabezado del protocolo ruteable
(negociado en la Fase I).
3. El FA remite el paquete de datos encriptado resultante al HA usando el nmero de tnel
suministrado.
4. Al recibir la informacin encriptada, el HA despoja el encabezado del tnel y del
protocolo ruteable, obteniendo el paquete en su formato original
5. Los datos originales se envan al nodo destino en la red.

Las figuras 27 y 28 muestran las dos fases del tunneling.

13
 Figura 27

Figura 28

Formato del Paquete Tunelizado (Tunneled Packet)

Como se ha descrito, antes de que se entregue a la red designada por el tnel, el paquete de
datos original es el encriptado por el FA. Este paquete encriptado, se conoce como paquete
tunelizado (Tunneled Packet). El formato de un paquete tunelizado se muestra en Figura 29.

Como puede verse, un paquete tunelizado o Tunneled Packet, consiste de tres partes:

Figura 29

14
 Encabezamiento del protocolo ruteable (Header routable protocol): Contienen las
direcciones del origen (FA) y del destino (HA). Como habitualmente las transacciones
son sobre Internet, este header generalmente es el estndar IP y contiene las IP
addresses del FA y HA involucrados en la transaccin.
Encabezamiento del paquete de tnel (Tunnel packet header): Este header
contiene los cinco campos siguientes:

9 Tipo de Protocolo. Indica el tipo del protocolo original del paquete de datos
(payload).
9 Checksum. Contiene la suma de verificacin usada para chequear si el contenido
del paquete se corrompi durante la transmisin. Esta informacin es opcional.
9 La clave (Key). Es usada para identificar o autenticar el origen de los datos
(iniciador).
9 Nmero de Secuencia. Contienen el nmero que indica la secuencia en la serie
de paquetes transmitidos.
9 Asignacin de ruta origen (Source routing). Contiene informacin adicional de
routing. Este campo es opcional.

Carga til (Payload). Es el paquete original enviado por el iniciador al FA. Tambin
contiene el encabezado original.

Protocolos de Tunneling
La tecnologa de Tunneling hace uso de tres tipos de protocolos:
Protocolo de Transporte (Carrier protocol): Este protocolo es usado para encaminar
los paquetes tunelizados al destino pretendido a travs de la red. El paquete tunelizado
es encapsulado dentro del paquete de este protocolo. Dado que debe enrutar el paquete
a travs de redes heterogneas, tales como Internet, este protocolo debe ser
ampliamente soportado. Como resultado, si el tnel es creado a travs de Internet, el
protocolo de transporte predominantemente usado es IP. No obstante, en caso de
intranet privada, los protocolos de enrutamiento nativos pueden tambin servir de
protocolo de transporte.
Protocolo de Encapsulamiento (Encapsulating protocol): Estos protocolos son
usados para encapsular la carga til original. Adems, tambin es responsable de la
creacin, mantenimiento y terminacin del tnel. Actualmente los ms usados son
PPTP, L2TP y IPSec
Protocolo Pasajero (Passenger Protocol): Los datos originales que necesitan ser
encapsulados para su transmisin a travs del tnel pertenecen a este protocolo. PPP y
SLIP son ejemplos de protocolos pasajeros.

La figura 30 muestra el formato de paquetes tunelizados.

Figura 30

15
Tipos de Tneles
Hay dos tipos de tneles usados durante una sesin VPN. Basados en la forma en la cual es
creado un tnel, este puede ser voluntario u obligatorio

Tneles Voluntarios
Tambin conocidos como tneles extremo a extremo (end-to-end tunnels), son creados a
pedido del usuario (cliente). Como resultado, el nodo iniciador acta como punto final del tnel.
Por consiguiente, se crea un tnel por separado para cada sesin de usuarios. Despus de que la
comunicacin entre ambos extremos acaba, el tnel se termina.

La figura 31 muestra un tnel voluntario

Figura 31

En el caso de un cliente remoto que usa una conexin dial-up, el cliente necesita primero
establecer la conexin. ste es un paso preliminar para establecer los tneles y no es parte del
protocolo de establecimiento del tnel. Slo despus que la conexin dial-up se completa puede
el iniciador establecer el tnel al nodo destino. La situacin es menos compleja en el caso de un
cliente que est conectado a la red en forma permanente a la red local. Por consiguiente, no
necesita establecer una conexin dial-up.

Tneles Obligatorios
A diferencia de los tneles voluntarios, solicitados por los clientes, los tneles obligatorios (o
compulsivos) se configuran en un dispositivo intermedio. El NAS (Network Attached Storages)
o servidor dialup son tales dispositivos intermedios. Este tipo de tunneling es llamado
(compulsory tunneling) porque el iniciador debe usar el tnel creado por el dispositivo del
intermedio.

El dispositivo intermedio usado para preparar los tneles VPN es conocido por los diferentes
protocolos de tunelizacin. Por ejemplo, en la terminologa L2TP un dispositivo intermedio se
llama LAC (L2TP Access Concentrator). En la terminologa PPTP el dispositivo es conocido
como FEP (Front End Processor). Para IPSec, el dispositivo intermedio que prepara el tnel
durante una sesin VPN normalmente se llama IP Security Gateway.

En el caso de tunneling compulsivo, como el mostrado en la figura 32, tanto el cliente remoto
como el cliente conectado a la LAN deben conectarse al dispositivo intermedio generalmente
16
localizado en POP del ISP. Despus de que la conexin se establece con xito, el dispositivo
intermedio crea el tnel.

Figura 32

Dado que el nodo iniciador no participa en la creacin o configuracin del tnel, no acta
como punto final del mismo. En este caso, el dispositivo intermedio responsable del tnel, acta
como punto final. Los tneles compulsivos pueden ser compartidos por mltiples
comunicaciones. El tnel no termina hasta que la ltima comunicacin se haya completado.

Algunos expertos definen dos tipos de tneles basados en el periodo de actividad, as tenemos
tneles estticos y tneles dinmicos. Los estticos permanecen activos hasta que son
finalizados, sin tener en cuenta la transmisin de datos. Estos tipos de tneles son caros y se usan
en VPN site-to-site. Los tneles dinmicos solo se activan, cuando se necesita transferir dato.
Son ms seguros que los estticos.

Protocolos de Tunneling de Capa 2

Estos protocolos de tunelizacin son fundamentales para construir VPNs y afianzar las
transmisiones. Algunos de los ms conocidos funcionan en la Capa de Enlace de Datos del
modelo OSI mostrado en la figura 32

Figura 32

17
 Estos incluyen los protocolos PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2
Forwarding) y L2TP (Layer 2 Tunneling Protocol).

Antes de discutir sobre estos protocolos, es conveniente conocer al protocolo PPP (Point-to-
Point Protocol) esencial para todos los protocolos de tunelizacin de Capa 2 que usan PPP.

Protocolo Punto a Punto (Point-to-Point Protocol - PPP)

PPP es un protocolo de encapsulamiento que facilita el transporte de trfico de la red a travs
de enlaces seriales punto a punto. La principal ventaja de PPP es que puede operar DTE o DCE
incluso EIA/TIA-232-C (conocido como RS-232C) e ITU-T V.35. Otro punto a favor de PPP es
que no restringe las proporciones de la transmisin. Durante la transmisin, las nicas
restricciones basadas en la transmisin son impuestas por la interfase DCE/DTE usadas.

Finalmente, el nico requisito de PPP es la disponibilidad de una conexin dplex

(bidireccional) que puede ser sncrona o asncrona y puede operar en modo switched o dedicado.

Adems de la encapsulacin de IP y de los datos no IP y su transporte por los enlaces serie,

PPP tambin es responsable de las siguientes funciones:

Asignacin y administracin de direcciones IP en datagramas no IP.

Configuracin y prueba de los enlaces establecidos.
Encapsulamiento asncrono y sncrono de datagramas.
Deteccin de errores durante la transmisin.
Multiplexing de mltiples protocolos de Capa 2.
Negociacin de parmetros de configuracin opcionales, como la compresin de datos y
direccionamiento.

PPP realiza esta funcionalidad con el uso de tres normas.

Un estndar para encapsular paquetes de datos sobre enlaces punto a punto. Este estndar
de encapsulamiento de paquetes es similar al protocolo HDLC. Sin embargo hay algunas
diferencias entre ambos.
Un estndar para establecimiento, configuracin y prueba de la conexin punto a punto
con ayuda del protocolo LCP (Link Control Protocol)
Un estndar para el establecimiento y configuracin de varios protocolos de Capa de Red
y deteccin de errores durante la transmisin en la forma del protocolo NCP (Network
Control Protocol)

Point-to-Point Tunneling Protocol (PPTP)

PPTP es una solucin propietaria que habilita la transferencia de datos segura entre un cliente
remoto y un servidor creando una VPN a travs de una internetwork basada en IP. Desarrollado
por el Consorcio PPTP (Microsoft Corporation, Ascend Communications, 3COM, US Robotics
y ECI Telematics), PPTP ofrece VPN bajo demanda (on-demand VPN) a travs de redes
inseguras. PPTP no slo facilita las transmisiones seguras por las redes pblicas basadas en
TCP/IP, sino tambin por las Intranet privadas.

Histricamente, dos fenmenos han jugado un papel mayor en el xito de PPTP en

conexiones de largas distancias. stos incluyen:
18
 Uso de PSTN (Public Switched Telephone Networks). PPTP permite el uso de PSTN
para la implementacin de VPN. Como resultado, el proceso de desarrollar VPN es
notablemente simple y el costo total es significativamente pequeo. La razn de esto es
simple, la necesidad de soluciones de conectividad basadas en lneas arrendadas y
dedicadas son totalmente eliminadas.
Soporte para protocolos no IP. A pesar que da a entender que se trata de redes basadas
en IP, tambin soporta otros protocolos de red, como TCP/IP, IPX, NetBEUI, y
NetBIOS. Por consiguiente, PPTP ha demostrado ser exitoso en el desarrollo de VPN
para LAN privada y para crear VPN a travs de redes pblicas.

Rol de PPP en Transacciones PPTP

PPTP es una extensin lgica de PPP ya que no cambia la tecnologa PPP subyacente. Slo
define una nueva manera de transportar trfico PPP por las redes pblicas no seguras. Realmente
como PPP, PPTP tampoco soporta conexiones mltiples. PPTP soporta conexiones punto a
punto. Adems, PPP cumple las siguientes funciones en las transacciones basadas en PPTP:

Establece y termina las conexiones fsicas entre ambos extremos.

Autentica clientes de PPTP.
Encripta IPX, NetBEUI, NetBIOS, y datagramas TCP/IP dentro de datagramas PPP y
asegura el intercambio de datos entre las partes involucradas.

PPP es muy similar en transacciones L2F y L2TP

La figura 33 muestra el papel de PPP en las transacciones basadas en PPTP

Figura 33

Componentes de Transacciones PPTP

Cualquier transaccin basada en PPTP implementa por lo menos, tres componentes, como se
muestra en la figura 34. Estos componentes de PPTP son:

19
 Un cliente PPTP
Un Servidor de Acceso de Red (NAS - Network Access Server)
Un servidor PPTP

Figura 34

Clientes PPTP
Un cliente PPTP es un nodo de la red que soporta PPTP y puede requerir otro nodo para una
sesin VPN. Si la conexin es solicitada desde un servidor remoto, el cliente PPTP debe usar los
servicios NAS de un ISP. Para esto, el cliente debe conectarse a un mdem que se usa para
establecer una conexin PPP dial-up al ISP. El cliente PPTP tambin debe conectarse a un
dispositivo VPN para que pueda tunelizar la demanda (y los datos subsecuentes, si la demanda se
acepta) al dispositivo VPN en la red remota. El enlace al dispositivo VPN remoto usa la primera
conexin dial-up al NAS del ISP para establecer un tnel por Internet u otra red.

A diferencia de los requerimientos remotos de sesiones VPN, las demandas para una sesin de
VPN a un servidor local no requieren una conexin al NAS del ISP. Tanto el cliente y el servidor
estn fsicamente conectados a la misma red (LAN), haciendo una conexin al NAS del ISP
innecesaria. El cliente, en este caso, slo requiere una sesin dial-up con el dispositivo de VPN
en el servidor.

Como los requisitos de asignacin de ruta a los paquetes PPTP para una demanda remota y
una local son diferentes, se procesan los paquetes asociados con dos demandas diferentemente.
Los paquetes PPTP se ubican en un servidor local en el medio fsico conectado al adaptador de
red del cliente PPTP. Recprocamente, el paquete PPTP a un servidor remoto se rutea a travs de
los medios de comunicacin fsicos conectados a un dispositivo de la telecomunicaciones, como
un router. La colocacin de paquetes PPTP en los medios de red se ilustra en la figura 35.

20
PPTP Servers
Los Servidores PPTP son nodos de la red que soportan PPTP y son capaces de satisfacer
demandas de servicio para sesiones VPN de otros nodos remotos o locales. Para responder a las
demandas remotas, estos servidores deben soportar tambin capacidades de enrutamiento. Un
Servidor de Acceso Remoto (RAS - Remote Access Server) y cualquier otro Sistema Operativo
de Red (NOS) que soporte PPTP, como Windows NT Server 4.0, puede actuar como un servidor
de PPTP.

Figura 35

PPTP Network Access Servers (NAS)

Los PPTP NAS se ubican en el sitio del ISP y proporcionan conectividad a Internet a clientes
que usan PPP. Como la probabilidad de que muchos clientes pidan una sesin VPN
simultneamente es alta, estos servidores deben ser capaces de soportar mltiples concurrencia
de clientes. Los PPTP NAS debe ser capaz de manejar una amplia gama de clientes.

Procesos PPTP

PPTP emplea tres procesos para afianzar la comunicacin basada en PPTP sobre medios de
comunicacin no seguros. Estos procesos son

Establecimiento de conexin basada en PPP

Control de conexin
Tunneling PPTP y transferencia de datos

Data Tunneling y Procesamiento PPTP

Un paquete de datos PPTP experimenta mltiples etapas de encapsulamiento que incluyen lo

siguiente:
21
 1. Encapsulamiento de datos. La informacin original (carga til) es encriptada y
encapsulada dentro de una trama PPP. Se agrega un encabezado PPP a la trama.
2. Encapsulamiento de tramas PPP. La trama PPP resultante se encapsula dentro de un
paquete GRE (GRE - Generic Routing Encapsulation). El encabezado GRE tiene 4 byte.
Un campo de Reconocimiento (Acknowledgement) y su correspondiente bit de
reconocimiento que notifica sobre la presencia del campo Acknowledgement. Adems, el
campo Clave (KEY) en la trama GRE es reemplazado por un campo de 2 bytes de
longitud llamado Longitud de Carga Util (payload length) y un campo de 2 byte de
longitud llamado Call ID. El cliente PPTP pone este campo cuando crea el tnel PPTP.
3. Encapsulamiento de paquetes GRE. Luego, se agrega un encabezado IP a la trama PPP
la cual es encapsulada dentro del paquete GRE. Este encabezado IP contiene las
direcciones IP origen del cliente PPTP y la del servidor destino.

4. Encapsulamiento de Capa de Enlace de Datos. PPTP es un protocolo de tunneling de

Capa 2. Por consiguiente, el encabezado de Enlace de Datos y el trailer juegan un
importante rol en el tunelizado de datos. Antes de ser puestos en el medio de transmisin,
la Capa de Enlace de Datos agrega su propio encabezamiento y trailer al datagrama. Si el
datagrama tiene que viajar a travs de un tnel PPTP local, el datagrama se encapsula con
tecnologa de LAN (como Ethernet). Por otro lado, si el tnel se ha establecido a trabes
de una WAN, el encabezado y trailer que se agregan al datagrama son invariablemente
PPP.

GRE es un mecanismo de encapsulamiento simple y verstil, de propsitos generales para

datos IP. Generalmente es usado por los ISP para enviar informacin de routing dentro de la
intranets.

Cuando los datos PPTP son transferidos con xito al destino, este debe procesar el paquete
tunelizado para extraer los datos originales. El proceso de extraccin de los datos PPTP es
exactamente a la inversa del tunelizado de los datos PPTP.

Pros y Contras de PPTP

Las principales ventajas ofrecidas por PPTP son:

Es una solucin para productos Microsoft los cuales se usan ampliamente.

Puede soportar protocolos no IP.
Es soportado por varias plataformas, como Unix, Linux y Macintosh. Otras plataformas
que no soportan PPTP tambin pueden beneficiarse de los servicios PPTP usando routers
con capacidad PPTP.

Las aplicaciones PPTP tambin tienen desventajas, que incluyen:

Es una opcin ms dbil. L2TP e IPSec son tecnologas ms seguras.

Es dependiente de la plataforma
Requiere configuracin extensiva en el servidor PPTP y en el cliente.
Aunque se usa como una solucin VPN, se necesita configurar un Servidor de
Enrutamiento y de Acceso Remoto (RRAS - Routing and Remote Access Server), en el
caso de soluciones Dial-on-Demand routing.

22
 La mayor desventaja asociada con PPTP es su dbil mecanismo de seguridad debido a la
encriptacin simtrica en el cual la clave se deriva de la contrasea del usuario. Esto es
ms arriesgado porque las contraseas se envan en formato en claro para la
autenticacin.

Layer 2 Forwarding (L2F)

Como se ha mencionado, los servicios dial-up tradicionales son realizados a travs de Internet
y por consiguiente est basado en tecnologa IP. Esto es por qu las soluciones populares de
tunneling, tales como PPP y PPTP, han demostrado tener ms xito con la infraestructura IP que
con otras tecnologas de gestin de redes, como ATM y Frame Relay. La seguridad era otro
problema. A pesar de las demandas de Microsoft de transacciones seguras, PPTP est basado en
el MS-CHAP que, no es muy seguro. Estos problemas hicieron a las organizaciones buscar
soluciones alternativas que ofrecieran servicios dial-up multiprotocolo ms seguros.

Cisco, junto con Nortel, fueron los principales proveedores que comenzaron a trabajar en una
solucin que deba:

Habilitar transacciones seguras.

Proporcionar acceso a travs de la infraestructura subyacente de Internet y otras redes
pblicas.
Soportar una amplia gama de tecnologas de red, como ATM, FDDI, IPX, Net-BEUI y
Frame Relay.
La alternativa presentada por Cisco fue L2F. Adems de cumplir los objetivos principales
expresados ms arriba, L2F ofreci un mayor avance en la tecnologa de acceso remoto:
el tunelizado L2F puede soportar simultneamente ms de una sesin dentro del mismo
tnel. En trminos simples, ms de un usuario remoto puede acceder a una intranet
privada usando una sola conexin dial-up. L2F logra esto definiendo conexiones
mltiples dentro de un tnel dnde cada conexin representa un solo stream PPP. Estos
stream pueden originar un solo usuario remoto o mltiples usuarios. Dado que un tnel
puede soportar mltiples conexiones simultneamente, se requieren menos conexiones
desde el sitio remoto al ISP. Esto reduce los costos.

La figura 36 muestra el tunneling L2F

Figura 36

23
Procesos L2F
Cuando un cliente remoto inicia una conexin dial-up a un host ubicado en una intranet
privada, los siguientes procesos se ejecutan secuencialmente:

1. El usuario remoto comienza una conexin PPP a su ISP. Si el usuario remoto es parte de
una LAN, puede emplear ISDN u otro medio de conectividad para conectar al ISP. Como
alternativa, si el usuario no es parte de alguna intranet, necesitar usar servicios PSTN.
2. Si los NAS presentes en el POP del ISP acepta la demanda, la conexin PPP se establece
entre el NAS y el usuario.
3. El usuario es autenticado por el ISP. Para este propsito es usado CHAP o PAP.
4. Si no existe ningn tnel a la entrada de la red destino, se comienza uno.
5. Despus de establecido un tnel, se asigna una MID (Multiplex ID) nica a la conexin.
Un mensaje de notificacin se enva a la entrada del gateway de la red del host. Este
mensaje notifica al gatgeway acerca de la demanda para la conexin del usuario remoto.
6. El gateway puede aceptar la demanda de conexin o puede rechazarla. Si la demanda se
rechaza, se notifica al usuario sobre el fracaso de la demanda y la conexin dial-up
finaliza. Por otro lado, si la demanda se acepta, el gateway enva al cliente remoto la
notificacin del establecimiento inicial. Esta respuesta puede incluir informacin de
autenticacin usada por el gateway para autenticar al usuario remoto.
7. Despus de que el usuario es autenticado por el gateway de la red del host, se establece
una interface virtual entre ambos extremos.

Si se usa CHAP para la autenticacin del usuario, la respuesta incluye el desafo,

username, y raw response (respuesta en crudo). Para las autenticaciones basadas en PAP,
la respuesta incluye username, y password en texto claro (sin encriptar).

La figura 37 muestra el proceso completo de establecimiento de un tnel L2F entre dos

usuarios finales.

Figura 37
24
Tunelizado L2F
Cuando un usuario remoto se autentica, se establece un tnel entre el NAS del ISP y el
gateway de la red del host remoto, como se muestra en la figura 38.

Figura 38

Despus de haber establecido un tnel entre ambos extremos, pueden intercambiarse las
tramas de Capa de Enlace sobre el tnel como sigue:

1. El usuario remoto enva las tramas normales al NAS localizado en el ISP.

2. El POP toma la informacin de la Capa de Enlace de Datos y agrega el encabezado L2F y
trailer de la trama. La trama as encapsulada se enva a la red destino a travs del tnel.
3. El gateway acepta estos paquetes tunelizados, extrae el encabezado y trailer L2F y enva
las tramas al nodo destino dentro de la intranet.
4. El nodo destino procesa las tramas recibidas como tramas no tunelizadas.

Los tneles L2F son tambin conocidos como "interfaces virtuales".

Cualquier respuesta del host destino sufre el proceso inverso. Es decir, el host enva una trama
normal de Capa de Enlace de Datos (Data Link) al gatgeway, el cual encapsula la trama en un
paquete L2F, y lo remite al NAS localizado en el ISP. El NAS despoja la informacin de la
trama L2F y agrega la informacin propia de la Capa de Enlace de el. La trama se remite
entonces al usuario remoto.

Encriptacin de Datos en L2F

L2F usa MPPE (Microsoft Point-to-Point Encryption) para propsitos bsicos de
encriptacin. Sin embargo, MPPE no es una apuesta segura contra las tcnicas de hacking
actuales. Como resultado, L2F tambin usa encriptacin basada en el protocolo IPSec (IPSec -
Internet Protocol Security) para asegurar la transmisin segura de los datos. IPSec usa dos
protocolos para encriptacin ESP (ESP - Encapsulating Security Payload) y AH (AH -
Authentication Header). Adems, para acentuar la clave de seguridad durante la fase de

25
intercambio de claves, IPSec usa un tercer protocolo llamado el Internet Llave Intercambio IKE
(IKE - Internet Key Exchange).

La mayor ventaja de la tecnologa de encriptacin IPSec es que fuerza la autenticacin de

cada paquete individualmente en lugar de la prctica comn de autenticacin del usuario. En los
mecanismos de autenticacin de usuario, en cada extremo se autentica al usuario slo una vez al
principio de la comunicacin. Sin embargo, como podra esperarse, la estrategia de autenticacin
de paquetes es ms lenta que la de autenticacin de usuario e incurre en el sobrecargas
(overheads) comparativamente grandes. No obstante, IPSec se recomienda como el protocolo de
seguridad para todos los protocolos de tunelizacin VPN, sea PPTP, L2F o L2TP.

Autenticacin de Datos L2F

La autenticacin L2F se cumple en dos niveles. El primer nivel de autenticacin L2F ocurre
cuando un usuario remoto marca al POP del ISP. Aqu, el proceso de establecimiento del tnel
slo comienza despus de que el usuario se ha autenticado. El segundo nivel de autenticacin se
hace en el gateway de la red del host que no establece un tnel entre ambos extremos (NAS y el
mismo) hasta que autentique al usuario remoto.

Parecido a PPTP, L2F tambin usa servicios de seguridad soportados por PPP para la
autenticacin. Como resultado, L2F usa PAP para autenticar un cliente remoto cuando una
gateway L2F recibe una peticin de conexin. L2F tambin usa los siguientes esquemas de
autenticacin para mejorar la seguridad de los datos:
CHAP (Challenge Handshake Authentication Protocol). CHAP fue desarrollado para
evitar enviar contraseas en texto claro como es el caso de PAP. En CHAP, cuando un
cliente es desafiado para su identificacin, responde con un valor hashed secreto derivado
del algoritmo de hashing MD5. Si es calculado el mismo valor de hash en el servidor que
usa el mismo procedimiento del cliente, este es autenticado con xito. Por consiguiente,
no se intercambia ninguna contrasea en texto claro durante el proceso. Otro problema
normalmente asociado con PAP es que los usuarios slo se autentican una vez durante el
proceso de comunicacin. CHAP, sin embargo, puede forzar mltiples desafos de
autenticacin durante una sesin lo que hace ms a un hacker irrumpir en la
comunicacin.

EAP (Extensible Authentication Protocol). A diferencia de los mtodos PAP y CHAP

que se realizan en el momento de configuracin del LCP, durante el establecimiento de la
conexin PPP, EAP es realizado despus de la fase LCP, cuando se ha efectuado la
autenticacin PPP. Por consiguiente, EAP permite un incremento en la autenticacin
porque aumenta el nmero de parmetros de conexin que pueden usarse opcionalmente
como autenticacin de la informacin.

L2F tambin usa SPAP (SPAP - Shiva Password Authentication Protocol) para la
autenticacin. SPAP es un protocolo propietario que usa contraseas encriptadas y puede
soportar mejoras de funcionalidad, como intercambio de contraseas y soporte de mecanismos
de callback.

Adems de los mecanismos de la autenticacin mencionados, L2F emplea tambin RADIUS

(RADIUS - Remote Access Dial-In User Service) y TACACS (TACACS - Terminal Access
Controller Access Control Service) como servicios de autenticacin adicionales. Ambos
autentican a usuarios que acceden el servidor de acceso remoto local, si el servidor de acceso

26
remoto no autentica a estos usuarios. La autenticacin RADIUS y TACACS generalmente se
lleva a cabo en el ISP y grande organizaciones.

Pros y Contras de L2F

Aunque L2F exige tratar con diferentes LCP y opciones de autenticacin, es ms extenso que
PPTP porque es una solucin de envo de tramas de bajo nivel. Tambin provee una mejor
solucin para las plataformas VPN que PPTP.

Las ventajas principales de llevar a cabo una solucin basada en L2F incluyen lo siguiente:

Mejora en la seguridad de las transacciones

Independencia de la plataforma
Ninguna necesidad de arreglos especiales con el ISP
Soporta un amplio rango de tecnologas de networking como ATM, FDDI, IPX,
NetBEUI y Frame Relay.

A pesar de las ventajas arriba mencionadas, existen algunas desventajas asociadas con L2F:

Las soluciones basadas en L2F requieren extensa configuracin y soporte.

La solucin de una aplicacin basada en L2F es muy dependiente del ISP. Si el ISP no
soporta L2F, la aplicacin no es posible.
L2F no provee control de flujo. Como resultado, si el tnel se congestiona, los paquetes
de datos pueden sern descartados arbitrariamente. Esto causa la retransmisin de los
datos haciendo ms lenta la velocidad de las transacciones.
Debido al gran overheads asociado con la autenticacin y encriptacin L2F, las
transacciones transportadas por los tneles L2F son lentas comparadas con PPTP.

Con el desarrollo de L2F, haba dos tecnologas de tunneling, PPTP y L2F, compitiendo por
el control del mercado de VPN. Estos dos protocolos eran incompatibles. IETF decidi acabar
con la confusin combinando los rasgos de ambas tecnologas para producir un protocolo que se
usara como un estndar en las soluciones VPN. El protocolo de Tunneling de Capa 2 (L2TP -
Layer 2 Tunneling Protocol) era el resultado de este mandato.

Layer 2 Tunneling Protocol (L2TP)

Desarrollado por IETF y apoyado los gigantes de la industria, como Cisco, Microsoft, 3COM,
y Ascend, L2TP es una combinacin de protocolos VPN anteriores, PPTP y L2F. De hecho,
acopla las mejores caractersticas de ambos. L2TP proporciona solucin de acceso remoto
flexible, escalable y rentable L2F y la conectividad point-to-point rpida de PPTP.

La clave se los beneficios ofrecidos por L2TP, son:

Soporta mltiples protocolos y tecnologas de networking como IP, ATM, FR, y PPP.
Provee acceso a Internet y otras redes pblicas, como PSTN.
No requiere software extra, como drivers adicionales o soportes del sistema operativo.
Permite a los usuarios con IP privadas acceder a la red remota a travs de la red pblica.
La autenticacin y autorizacin de L2TP es ejecutada por los gateway de la red. Por
consiguiente, los ISP no necesitan mantener una Base de Datos de autenticacin o de
derechos de acceso para los usuarios remotos.
27
 La principal caracterstica de L2TP es establecer tneles PPP que, a diferencia de PPTP, no
son terminados por el ISP cercano. Estos tneles se extienden en el gateway destino), como se
muestra en la Figura 39.

Figura 39: El Tnel L2TP

Cuando las tramas PPP se envan a travs del tnel L2TP, se encapsulan como mensajes UDP
(UDP User Datagram Protocol).

Componentes L2TP
Las transacciones basadas en L2TP bsicamente emplean tres componentes, un Servidor de
Acceso de Red (NAS - Network Access Server), un Concentrador de Acceso L2TP (LAC -
L2TP Access Concentrator), y un servidor de Red L2TP (LNS - L2TP Network Server).

Network Access Server (NAS)

Los NAS L2TP son dispositivos de acceso punto a punto que proporcionan la conectividad a
Internet bajo demanda a usuarios remotos dial-up que discan (a travs de lneas PSTN o ISDN)
usando conexiones PPP. Los NAS son responsables de autenticar a los usuarios remotos a los
ISP y determinar si realmente se requiere una conexin dial-up virtual. Igual a los NAS PPTP,
las NAS L2TP se localizan en el ISP y actan como clientes en el proceso de establecimiento de
tneles L2TP. Los NAS pueden responder y soportar mltiples conexiones para un amplio rango
de clientes que solicitan conexiones simultneamente y puede soportar una amplia gama de
clientes (Microsoft, Unix, Linux, VAX-VMS, y ms).

L2TP Access Concentrators

El papel de los LAC en la tecnologa de tunelizacin L2TP es establecer un tnel a travs de
las redes pblicas (como PSTN, ISDN o Internet) para el servidor LNS del extremo del gateway
de red del host. De esta manera, los LAC sirven como el punto de la terminacin del medio de
comunicacin fsico entre el cliente y el LNS de la red.

28
 La cosa ms importante a acordarse de los LAC es que generalmente se localizan en el ISP.
Sin embargo, el usuario remoto tambin puede actuar como LAC en el caso de tunelizado L2TP
voluntario.

L2TP Network Server

Los LNS, como se ha mencionado anteriormente, se localiza en el extremo del gateway de la
red. Por consiguiente, ellos son usados para terminar la conexin L2TP del extremo del gateway
de la misma manera como el LAC termina el tnel en el extremo del cliente. Cuando un LNS
recibe una demanda para una conexin virtual de un LAC, establece el tnel y autentica al
usuario que comenz la demanda de conexin. Si el LNS acepta la demanda de conexin, crea la
interface virtual.

L2TP Modo Tnel

L2TP soporta tneles de dos modos, el modo compulsivo (compulsory tunnel mode) y el
modo voluntario (voluntary tunnel mode). Estos tneles juegan un papel importante en la
transmisin segura de datos de un extremo a otro.

Seguridad L2TP

L2TP usa mtodos de autenticacin de usuarios PPP. Los esquemas de autenticacin L2TP
son:

PAP y SPAP
EAP
CHAP

Adems de los mecanismos de autenticacin mencionados, L2TP tambin usa IPSec para
autenticar los paquetes de datos individuales. Aunque esto reduce la velocidad de transacciones
considerablemente, mientras se use IPSec para la autenticacin del paquete, asegura que hackers
y crackers no tengan chances con los tneles y datos.

Encriptacin de Datos en L2TP

L2TP usa a menudo ECP para la encriptacin. ECP (Encryption Control Protocol) soporta el
protocolo de encriptacin y se usa para negociar los algoritmos de encriptacin como DES,
despus de que el enlace establecido. Por consiguiente, ECP ofrece capacidades de encriptacin
avanzada adems de construir mecanismos de encriptacin soportados por PPP. Sin embargo, la
desventaja principal asociada con ECP es que las claves, una vez intercambiadas entre los dos
extremos, no se refrescan peridicamente. Esto aumenta la posibilidad de que un hacker pueda
descubrir las claves en sesiones prolongadas

Pros y Contras de L2TP

Las principales ventajas ofrecidas por L2TP son:

L2TP es una solucin genrica. En otras palabras, es una plataforma independiente, que
soporta varias tecnologas de networking. Adems, puede soportar transmisiones a travs
de enlaces WAN no IP sin necesidad de IP.

29
 El tunneling L2TP es transparente al ISP as como a l usuario remoto. Adems, no
necesita configuracin adicional del usuario o del ISP.
L2TP permite controlar la autenticacin de usuarios en lugar del ISP.
L2TP provee control de flujo y como resultado los paquetes de datos pueden ser
descartados arbitrariamente si el tnel est congestionado. Esto hace que las
transacciones basadas en L2TP sean ms rpidas que las basadas en L2F.
L2TP permite a los usuarios con direccin es IP no registradas (o privadas) el acceso a la
red de la empresa a travs de la red pblica.
L2TP ofrece mejoras en la seguridad debido al uso de encriptacin de carga til basada
en IPSec durante el tunneling, y a la capacidad de implementacin de autenticacin de
paquetes IPSec.

La implementacin de L2TP tambin tiene sus desventajas. Las ms importantes son:

L2TP es ms lenta que PPTP o L2F debido al uso de autenticacin IPSec de cada paquete
recibido.
Aunque PPTP se usa como una solucin para construir VPN, un servidor RRAS (RRAS -
Routing and Remote Access Server) necesita extensa configuracin.

Puede referirse a la RFC 2661 para la informacin detallada sobre L2TP. Esta RFC est
disponible en http://www.armware.dk/RFC/rfc/rfc2661.html.

30