1. Qué es VPN?1.1. Concepto General1.2. Por qué Virtual?1.3. Por qué Private?1.4. Por qué Network?

2. Tipos de VPN3. Elementos de una VPN4. Ventajas y desventajas de la VPN.5. Implementaciòn de una VPN6. Funcionamiento básico y avanzado de VPN7. Protocolos usados en las VPN8. Estándar 802.1Q9. Conclusiones10. Bibliografía

QUÉ ES VPN?

VPNs es un concepto de tecnología que permite conectar varias LAN o estaciones remotas entre si, de forma segura yconfidencial, a través de un medio inseguro como INTERNET,mediante el uso de la autenticación, encriptación y túneles para las conexiones.

Concepto General

Porque al momento del establecimiento de una conexión VPN el cliente virtualmente extiende la red de la empresa hasta donde él esté, esto lo hace trabajar lógicamente dentro de la misma empresa, pero dentro de un concepto "virtual"

Por qué Virtual?

Por qué Private?

•Porque el concepto de privacidad se mantiene una vez La privacidad en las comunicaciones de la empresa es implementada en la VPN.

•Porque es parte esencial en las políticas de seguridad.

•Porque las comunicaciones a través de VPN mantiene su privacidad sobre medios públicos ya que van encapsuladas dentro de un túnel encriptado y autentificado y solo se mantienen circulando dentro de la red de la empresa (la que incluye la conexión virtual VPN)

Por qué Network?

Porque son capaces de interconectar, extender y comunicar redes o segmentos de redes. Las VPNs también pueden crear túneles de comunicación internos entre una máquina y un servidor dentro de la red de una empresa.

Hay empresas que tienen VPNs dentro de sus propias redes para asegurar comunicaciones con servidores críticos.

TIPOS DE VPN

1. VPN DE ACCESO REMOTO: Es cuando usuarios o proveedores se conectan con la

empresa desde sitios remotos (oficinas, hoteles, domicilios, etc) utilizando INTERNET como vínculo de acceso, con las medidas de autentificación.

2. VPN SITIO A SITIO: Es cuando se conectan oficinas remotas con la sede central de la organización.

TIPOS DE VPN

...Continuación

3. VPN INTERNA: Variante del acceso remoto. No utiliza Internet como medio de conexión, sino que utiliza la misma red de la empresa. Sirve para aislar zonas y servicios de la red dentro de la empresa.

• Las VPNs se basan en las siguientes tecnologías

•– Firewalls

• Como mecanismo de protección adicional

•– Autenticación

• Para dar acceso sólo a sistemas permitidos

•– Cifrado

• Para asegurar confidencialidad e integridad

•– Tunneling

• Como mecanismo de intercambio de información

ELEMENTOS DE UNA VPN

VENTAJAS DE LAS VPN

•Seguridad: Alta seguridad en la Tx de la información de

extremo a extremo.

• Video, voz y datos: Se puede cursar tráfico de datos,

imágenes en movimiento y voz simultáneamente.

• Bajo costo: Se eliminan los costos de larga distancia.

• Ubicuidad: Puede extenderse a cualquier sitio.

• Múltiples formas de acceso: Por línea dedicada conmutada; por medio físico o inalámbrico.

VENTAJAS DE LAS VPN

...Continuación

• Flexibilidad: Facilidad para agregar o retirar conexiones Remotas, pues todas son conexiones virtuales.

• Modularidad: La capacidad de la red puede crecer gradualmente, según como las necesidades de conexión lo demanden.

• Menor probabilidad de incomunicación: Si en INTERNET un enlace se cae o congestiona demasiado, existen rutas alternas para hacer llegar los paquetes a su destino.

DESVENTAJAS DE LAS VPN

• Se deben establecer correctamente las políticas de seguridad y de acceso.

• Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encriptarlos, esto produce una cierta lentitud en las conexiones.•No se garantiza disponibilidad ( NO

Internet NO VPN)

•Una VPN se considera segura, pero no hay que olvidar que la información sigue viajando por Internet (no seguro y expuestos a ataques)

Hay que realizar las siguientes operaciones

– Diseñar una topología de red y firewalls

• Teniendo en cuenta los costos y la protección

– Escoger un protocolo para los túneles

• Teniendo en cuenta los equipos finales

• Teniendo en cuenta las aplicaciones finales

IMPLEMENTACIÒN DE UNA VPN

Diseñar una PKI (Public Key Infraestructure)

• Teniendo en cuenta las necesidades del protocolo

• En el mercado hay ofertas de productos que tienen

integradas varias de las opciones anteriores:

– Altavista Tunnel, Digital (para redes IP y protocolo propietario)

– Private Internet Exchange (PIX), Cisco Systems (para redes IP y protocolo

propietario)

– S/WAN, RSA Data Security (para redes IP y protocolo estándar (IPSec))

IMPLEMENTACIÒN DE UNA VPN

El usuario remoto marca a su ISP local y se conecta a la red del ISP de forma normal.

2. Cuando desea conectarse a la red corporativa, el usuario inicia el túnel mandando una petición a un servidor VPN de la red corporativa.

3. El servidor VPN autentica al usuario y crea el otro extremo del túnel.

FUNCIONAMIENTO BÁSICO DE LAS VPN

4. El usuario comienza a enviar datos a través del túnel, que son cifrados por el software VPN (del cliente) antes de ser enviados sobre la conexión del ISP.

5. En el destino, el servidor VPN recibe los datos y los descifra, propagando los datos hacia la red corporativa.

Cualquier información enviada de vuelta al usuario remoto también es cifrada antes de

enviarse por Internet.

FUNCIONAMIENTO BÁSICO DE LAS VPN

Las VPN funcionan creando una conexión "directa" virtual entre 2 máquinas.

La forma de comunicación entre las partes de la red privada a través de la red pública se hace estableciendo túneles virtuales entre dos puntos para los cuales se negocian esquemas de encriptación y autentificación que aseguran la confidencialidad e integridad de los datos transmitidos utilizando la red pública.

FUNCIONAMIENTO AVANZADO DE LAS VPN

FUNCIONAMIENTO AVANZADO DE LAS VPN

La tecnología de túneles ("Tunneling") es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algún protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo así a su estado original. En el traslado a través de Internet, los paquetes viajan encriptados.

FUNCIONAMIENTO AVANZADO DE LAS VPN

• La AutenticaciónLas técnicas de autenticación son esenciales en las VPNs, ya que aseguran a los participantes de la misma que están intercambiando información con el usuario o dispositivo correcto.

La mayoría de los sistemas de autenticación usados en VPN están basados en un sistema de claves compartidas.

La autenticación también puede ser usada para asegurar la integridad de los datos.

•Los datos son procesados con un algoritmo de hashing para derivar un valor incluido en el mensaje como checksum. •Cualquier desviación en el checksum indica que los datos fueron corruptos en la transmisión o interceptados y modificados en el camino.

FUNCIONAMIENTO AVANZADO DE LAS VPN

• La EncriptaciónLa encriptación es considerada tan esencial como la autenticación, ya que protege los datos transportados de la poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión.

Existen dos tipos de técnicas de encriptación que se usan en las VPN:

- Encriptación de clave secreta, o privada

- Encriptación de clave pública.

• Encriptación de clave secreta: se utiliza una contraseña secreta conocida por todos los participantes que necesitan acceso a la información encriptada. Dicha contraseña se utiliza tanto para encriptar como para desencriptar la información.

• Encriptacion de clave pública: esta encriptación implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes.

En las VPNs, la encriptación debe ser realizada en tiempo real.

El protocolo más usado para la encriptación dentro de las VPNs es IPSec

FUNCIONAMIENTO AVANZADO DE LAS VPN

PROTOCOLOS USADOS EN VPNs

Dentro de los protocolos que se usan para la metodología de túneles se encuentran:• L2F: Layer 2 Forwarding Protocol (Cisco) [capa 2]

• PPTP: Point-to-Point Tunneling Protocol [capa 2]

• L2TP: Layer 2 Tunneling Protocol (RFC 2661) [capa 2]

• GRE: Generic Routing Encapsulation (RFC 1701) [capa 3] •IP/IP: IP over IP (RFC 2003) [capa 3]

• IPSec: IP Secure (RFC 2475) [capa 3]

• MPLS: Multi-Protocol Label Switching (RFC 2917) [capas 2 y 3]

• MPOA: Multi-Protocol Over ATM [capa 3]

Point-To-Point Tunneling Protocol (PPTP)

Orientado al usuario permite establecer un túnel de forma transparente al proveedor de Internet.

– Protocolo desarrollado por Microsoft y normalizado por la IETF

(RFC 2637)

– Permite el tráfico seguro de datos desde un cliente remoto a un servidor corporativo privado

– PPTP soporta múltiples protocolos de red (IP, IPX, NetBEUI… )

– Tiene una mala reputación en seguridad

– Muy usado en entornos Microsoft

PROTOCOLOS USADOS EN VPNs

PROTOCOLOS USADOS EN VPNsPPTPPPTP encapsula datagramas de cualquier protocolo de red en datagramas IP, que luego son tratados como cualquier otro paquete IP.

Existen dos escenarios comunes para este tipo de VPN:

• El usuario remoto se conecta a un ISP que provee el servicio de PPTP hacia el servidor RAS.

•El usuario remoto se conecta a un ISP que no provee el servicio de PPTP hacia el servidor RAS y, por lo tanto, debe iniciar la conexión PPTP desde su propia máquina cliente.

PROTOCOLOS USADOS EN VPNsPPTP

La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet.

Un paquete PPTP está compuesto por:

CAPAS DEL ENCAPSULAMIENTO PPTP

– Protocolo desarrollado por Cisco Systems

– Precursor del L2TP

– Ofrece métodos de autenticación de usuarios remotos

– Carece de cifrado de datos

L2F (Layer 2 Forwarding):

PROTOCOLOS USADOS EN VPNs

L2TP (Layer 2 Tunneling Protocol):

– Estándar aprobado por la IETF (RFC 2661)

– Mejora combinada de PPTP y L2F

– No posee cifrado o autentificación por paquete, por lo que ha de combinarse con otro protocolo, como IPSec

– Combinado con IPSec ofrece la integridad de datos y

confidencialidad exigidos para una solución VPN

– Permite el encapsulado de distintos protocolos (IP, IPX,NetBE etc).

PROTOCOLOS USADOS EN VPNs

PROTOCOLOS USADOS EN VPNs

IPSec trata de remediar algunas debilidades de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP.

IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP).

- Confidencialidad que los datos transferidos sean sólo entendidos

por los participantes de la sesión.

INTERNET Protocol Security (IPsec)

Integridadque los datos no sean modificados en el trayecto de la comunicación.

Autenticidad validación de remitente de los datos.

Protección a repeticiones que una sesión no pueda ser grabada y repetida salvo que se tenga autorización para hacerlo.

PROTOCOLOS USADOS EN VPNs

IPsec

• El modo de túnel es usado cuando el header IP entre extremos está ya incluido en el paquete, y uno de los extremos de la conexión segura es un gateway. En este modo, tanto AH como ESP cubren el paquete entero.

•IPSec utiliza algoritmos de autenticación y cifrado.

PROTOCOLOS USADOS EN VPNs

IPsec

ESTÁNDAR 802.1 Q

• El estándar definido por la IEEE para el manejo de redes virtuales (VLANs).

• Es utilizado con regularidad.

•Cada trama se marca con el id de la LAN a la que pertenece.

• Se define el VLAN Tagging Switch que permite una identificación de la VLAN y la posibilidad de priorización del servicio.

• Sirve para asignar la prioridad a los paquetes.

• Utiliza un campo de prioridad dentro del encabezamiento del VLAN tag.

• En el etiquetado es necesario tener en cuenta el formato de las tramas.

•Cuando se envían las tramas a lo largo de la red es necesario

indicar a que VLAN pertenece la trama para que el switch envíe las tramas únicamente a aquellos puertos que pertenezcan a la VLAN, en lugar de enviarla a todos los

puertos.

ESTÁNDAR 802.1 Q

•Permitiendo el etiquetado (tagging) basado en usuario,grupo y ubicación.

• Permite ubicar el tráfico en redes virtuales separadas.

ESTÁNDAR 802.1 Q

• Se modificó la trama Ethernet.

802.1Q --> redundancia, prestaciones y flexibilidad

ESTÁNDAR 802.1 Q

CONCLUSIONES

• Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos.

• Se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro.

• Permiten conectar diferentes delegaciones de una empresa,simulando una red local de una manera transparente y económica.

• La función VLAN correspondiente al estándar IEEE 802.1q ayuda en la mejora de las prestaciones y la seguridad, segmentando la red en varias redes de área local virtuales

• Es aconsejable configurar de redes privadas virtuales mediante el establecimiento del etiquetado VLAN (IEEE 802.1Q).

CONCLUSIONES

BIBLIOGRAFÍA

• Telecomunicaciones y Telemática- Álvaro Torres Nieto

• www.ciscom.com : IEEE 802.1Q - VPN

• Redes Empresariales –Toby J. Velte Anthony T. Velte

• MPLS and VPN Arquitectures- Cisco Systems

• www.gulic.org/comos/LARTC/html/c2523.html