COMUNICACIONES SEGURAS CON RED PRIVADA VIRTUAL (VPN)

Ing. Vincenzo Mendillo

Abril 2012

Objetivo: Familiarizarse con el establecimiento y el uso de conexiones remotas seguras mediante tecnología VPN (Virtual Private Network) y probar soluciones prácticas y sencillas como Proxy VPN, Hamachi y PPTP.

Requisitos: Para ciertas experiencias se necesitan de 2 computadoras (una de las cuales puede ser virtual, por ejemplo mediante VMware o VirtualBox).

Plataforma: Windows.

Sección A: Introducción

Las organizaciones requieren de buenas redes de comunicación para sus operaciones y las grandes corporaciones acostumbraban disponer de redes propias para conectar las sedes ubicadas en distintos puntos geográficos de forma confiable, rápida y económica. Estas redes corporativas eran consideradas privadas por el hecho que los medios de transmisión y de conmutación eran propiedad de la organización, la cual se ocupaba del diseño, instalación, operación y mantenimiento.

Pero en las últimas décadas las organizaciones se encontraron bajo una fuerte presión para utilizar sus recursos con el fin de mejorar la productividad y la rentabilidad. Los gastos en telecomunicaciones representaban un alto porcentaje del total de costos, y con tendencia a crecer, por lo que hubo que empezar a evaluarlos cuidadosamente. El alto costo necesario para desplegar y mantener redes privadas fue poco a pcoo llevando a una situación insostenible. Las líneas de larga distancia, así como los servicios conmutados, representaban un montón de necesidades diarias. El personal de soporte requerido para gestionar las complejas tecnologías de redes conllevaba un crecimiento continuo tanto en el número de empleados como en su experiencia. Una primera solución fue arrendar todo o parte de los medios de transmisión a una empresa operadora, que es lo que se conoce como líneas dedicadas alquiladas ( leased lines).

Pero entre los numerosos aspectos técnicos a considerar para establecer una conexión entre los distintos puntos o sedes de una organziazación, estaban los siguientes: Solicitar e instalar enlaces dedicados a los proveedores de servicio. Comprar, instalar y configurar equipos de acceso remoto. Monitorear los patrones de tráfico sobre los puertos en los equipos de acceso remoto. Suplir suficientes puertos de acceso en relación con la cantidad de personal que utilizaba el servicio. Mantenerse actualizado con los cambios tecnológicos del mercado.

En este contexto, el problema que se planteaba, era: ¿cómo conseguir una solución que no necesitara de mucho personal de soporte, que no dependiera de un solo suplidor de equipos o de un solo proveedor de servicios y lo más importante de todo, que pudiera satisfacer las crecientes necesidades de los usuarios?

La red debía estar disponible permanentemente y además debía permitir añadir nuevos servicios y nuevos usuarios en una forma fácil y segura. La confiabilidad requería la entrega de mensajes y servicios sin demora o interrupciones y a un costo razonable.

Una de las soluciones más éxitosa resultó ser lo que se llamó VPN (Virtual Private Network), la cual es esencialmente una forma de comunicación que usa recursos de transmisión y conmutación compartidos, es decir públicos (lo que no significa gratuitos). En muchos casos, la red pública es Internet, pero también puede ser una red Frame Relay/MPLS de un proveedor. La esencia de esta tecnología reside en que esa red “pública” no es accesible para nadie que no deseemos, así que se convierte en una red “privada virtual”, ya que no es “privada real”.

Una VPN tiene ciertas ventajas sobre una red “privada real”. Por ejemplo, ofrece una manera más efectiva en términos económicos para incorporar en la red corporativa sitios remotos más pequeños, los teletrabajadores y el personal móvil. Los ahorros se estiman aproximadamente entre un 20% y 40% para la interconexión de las sedes principales con sus sucursales, y un 60% u 80% para la conexión de los usuarios móviles.

En los años recientes se nota una fuerte tendencia a crear la VPN utilizando Internet, ya que así se reducen todavía más los costos y se logra conectividad global. Se habla entonces de intranet, donde se utilizan tecnologías de Internet a lo largo de la organización y de extranet, donde se extiende el acceso a clientes, socios, proveedores, etc. Estas son algunas de las posibles aplicaciones de las intranets y las extranets: Recursos humanos: trámites de formularios, publicaciones corporativas, capacitación, procedimientos, guía interna de empleados. Ventas: listas de precios, características de los productos, información sobre productos de la competencia. Finanzas: información financiera, bursátil, procedimientos para presentación de inversiones.

-2-

Areas técnicas: manuales de operación y reparación de equipos, diagramas técnicos, procedimientos de provisión y mantenimiento de servicios.

Apoyo a grupos de trabajo: seguimiento y control de proyectos (groupware). Apoyo a la gestión y toma de decisiones: información económica y de negocios, datos sobre el mercado y la competencia.

El costo de un enlace WAN (por ejemplo sobre Frame Relay) para interconectar LANs corporativas se incrementa con la distancia, como se ilustra en la figura 1(a). Sin embargo, Internet puede usarse para suministrar la parte de larga distancia de la conexión y reducir substancialmente el costo de los enlaces WAN, como se muestra en la figura 1(b). Nótese que la configuración mediante VPN usa un acceso de banda ancha (de por ejemplo 2 Mbps) para llegar al proveedor local de servicios Internet, pero la distancia es mucho menor. Los costos operativos pueden disminuir así sustancialmente.

Figura 1. Comparación entre línea dedicada y VPN de LAN a LAN

La figura 2 muestra el caso de un empleado que se encuentra en su casa o de viaje y abre una sesión de cliente VPN con la cual se conecta a la LAN de su organización y usa todos los recursos compartidos de ésta para trabajar.

Figura 2. Acceso remoto vía VPN de usuario a LAN

-3-

La tecnología VPN forma un “túnel”, es decir un canal de comunicación seguro a través de Internet para oficinas remotas, usuarios móviles y socios comerciales (intranet). Este video le puede orientar un poco más sobre VPN.

Figura 3. VPN desde una sucursal remota

Un túnel de comunicaciones significa encapsular los paquetes que llevan un cierto protocolo (HTTP) dentro de paquetes de otro protocolo (por ejemplo SSL, PPTP o IPSec). Mediante el encapsulamiento se añade un nuevo encabezado al paquete original, y los datos se encriptan. El encapsulamiento se efectúa a la entrada de túnel y el nuevo paquete viaja a través de la red de tránsito hasta alcanzar el final del túnel, donde se remueve el encabezado, se desencriptan los datos y reaparece el paquete original.

El túnel es la ruta de información lógica a través de la cual viajan los paquetes encapsulados. Para los interlocutores de origen y de destino originales, el túnel suele ser transparente y aparece simplemente como otra conexión punto a punto en la ruta de acceso a la red. Los interlocutores desconocen los enrutadores, servidores proxy u otras puertas de enlace de seguridad que pueda haber entre los extremos del túnel.

Un aspecto importante de las VPN por medio de Internet es que ellas enriquecen las comunicaciones, facilitando flexibi lidad de comunicación entre clientes, proveedores, socios de negocio y otros, lo cual permite a los usuarios establecer comunicación con cualquier socio de negocio, no sólo algunos.

Pero Internet no está diseñada para ofrecer la calidad de servicio ni la disponibilidad que se requiere en muchas aplicaciones. Estos aspectos y otros son los que se deben considerar cada vez que vayan a enviar datos importantes de una corporación vía una red en la cual nadie tiene prácticamente el control. En todo caso, si se transmite información sensible al retardo o urgente, VPN sobre Internet no ser la mejor solución porque puede encontrar problemas de desempeño debido al tráfico.

Los requisitos para VPN basadas en Internet se puede agrupar en cuatro áreas principales: compatibilidad, seguridad, disponibilidad e interoperabilidad.

a) CompatibilidadPara que una VPN pueda utilizar Internet, debe ser compatible con el protocolo de Internet (IP). Resulta obvia esta consideración con el fin de poder asignar y, posteriormente, utilizar conjuntos de direcciones IP. Sin embargo, la mayoría de redes privadas emplean direcciones IP privadas o no-oficiales, provocando que únicamente unas pocas puedan ser empleadas en la interacción con Internet. La razón por la que sucede esto es simple: la obtención de un bloque de direcciones IP oficiales suficientemente grande como para facilitar un subnetting resulta imposible. Las subredes simplifican la administración de direcciones así como la gestión de los routers y conmutadores, pero malgastan direcciones muy preciadas.

Actualmente existen varias técnicas con las que poder obtener la compatibilidad deseada entre las redes privadas e Internet, por ejemplo la conversión a direcciones Internet mediante NAT (Network Address Traslation) y el empleo de túneles para encapsulamiento.

En la primera de estas técnicas, las direcciones Internet oficiales coexistirán con las redes IP privadas en el interior de la infraestructura de routers y conmutadores de las organizaciones. De este modo, un usuario con una dirección IP privada puede acceder al exterior por medio de un servidor de direcciones IP públicas mediante la infraestructura local y sin necesidad de emplear ningún tipo de acción especial.

b) SeguridadDebe considerarse seriamente la seguridad cuando se usa Internet. Las comunicaciones ya no van a estar confinadas a circuitos privados, sino que van a viajar a través de Internet, que es considerada una red “demasiado pública” para realizar comunicaciones privadas. Aunque puede parecer poco probable que alguien monitoreando una línea con un sniffer consiga capturar información y hacer uso de ella, ya que está encriptada, la posibilidad existe. Cuando la información está encriptada, se requieren claves para

-4-

encriptarla y desencriptarla. Los usuarios en cada extremo deben tener las claves adecuadas. Si se está configurando una conexión con una sucursal es fácil administrar este intercambio de claves. Sin embargo, si un usuario remoto accede a la red corporativa, se necesita un modo de verificar quién es y un modo de intercambiar las claves para la encriptación. Las claves públicas basadas en certificados digitales y PKI son los que más de utilizan para este propósito.

c) DisponibilidadLa disponibilidad viene motivada principalmente por dos variables: una accesibilidad plena e independiente del momento y del lugar, y un rendimiento óptimo que garantice la calidad de servicio ofrecida al usuario final.

La calidad de servicio (QoS – Quality of Service) hace referencia a la capacidad que dispone una red para asegurar un cierto grado de operación de extremo a extremo. La QoS puede venir dada como una cierta cantidad de ancho de banda o un retardo que no debe sobrepasarse, o bien como una combinación de ambas. Actualmente, la entrega de datos en Internet es realizada de acuerdo al mejor esfuerzo (best effort), lo cual no garantiza la calidad de servicio demandada. No obstante, en el futuro Internet será capaz de suplir esta carencia ofreciendo un soporte para la QoS a través de un conjunto de protocolos emergentes entre los que cabe destacar DiffServ (Differential Services), RSVP (Resource ReSerVation Protocol) y RTP (Real Time Protocol). Pero por ahora, los proveedores sólo proporcionan la QoS de las VPNs haciendo uso del tráfico CIR (Committed Information Rate) en Frame Relay u otras técnicas (ej. MPLS).

d) InteroperabilidadLas implementaciones de los tres primeros requisitos han provocado la aparición de un cuarto: la interoperabilidad. Los estándares sobre tunneling, autenticación, encriptación y modo de operación ya mencionados anteriormente son de reciente aparición o bien se encuentran en proceso de desarrollo. Por esta razón, previamente a la adquisición de una tecnología VPN, se debe prestar una cuidadosa atención a la interoperabilidad de extremo a extremo. Esta responsabilidad puede residir tanto en el usuario final como en el proveedor de red, dependiendo de la implementación deseada. Una manera de asegurar una correcta interoperabilidad radica en la elección de una solución completa ofrecida por un mismo fabricante. En el caso de que dicho fabricante no sea capaz de satisfacer todos los requisitos, se deberán limitar los aspectos interoperacionales a un subconjunto que englobe aquellos que sean esenciales, además de utilizar únicamente aquel equipamiento que haya sido probado en laboratorios o bien sometido a pruebas. En cualquiera de los casos, se deberán seleccionar fabricantes que se acoplen totalmente a los estándares VPN y adquirir únicamente aquel equipamiento que pueda ser actualizado tanto mediante software, firmware o módulos plug-in, con el fin de que puedan adecuarse a futuros estándares.

Una vez vista la relevancia que presentan estas cuatro áreas para las VPN, se procederá a realizar una breve descripción de los principales protocolos comúmente utilizados, los cuales permiten alcanzar en general unos resultados satisfactorios, principalmente en las áreas de seguridad y compatibilidad.

Plataformas para VPN Las soluciones VPN disponibles caen en tres categorías básicas: hardware, software y basadas en firewall. Las soluciones de hardware casi siempre ofrecen mayor rendimiento y facilidad de configuración, aunque no tienen la flexibilidad de las versiones por software. Dentro de esta familia se tienen a los productos de Nortel, Cisco, Linksys, Netscreen, Symantec, Nokia, US Robotics, D-link, etc.

En las soluciones basadas en firewall, es más fácil la interoperatividad y se obtiene un nivel de seguridad alto por la protección que brinda el propio firewall, pero quizás se pierde algo en rendimiento. Muchas veces se ofrece hardware adicional para procesar la carga VPN. Por ejemplo: Checkpoint NG, Cisco Pix.

Las soluciones VPN por software son las más configurables y son ideales cuando surgen problemas de interoperatividad. Obviamente el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general.

Existe una gran variedad de protocolos utilizados para VPN: IPSec, PPTP, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, configuración y tipos de clientes soportados. El protocolo por excelencia para túneles seguros en redes IP es IPSec (IP Security), el cual proporciona un medio “blindado” para los datos que se transmiten, brindando integridad, autenticación y confidencialidad. IPSec opera sobre la capa 3 de red y es usado en VPN por su escalabilidad y robustez, sobre todo para túneles VPN permanentes entre sitios, más que para usuarios remotos, ya que por lo general no funciona si el usuario está detrás de un NAT.

Actualmente hay una línea de productos VPN en gran crecimiento relacionada con el protocolo SSL/TLS, que intenta hacer más amigable la configuración y la operación, en contraposición a lo complejo que resulta IPSec, ya que con SSL/TLS no hace falta instalar ningún cliente VPN (es clientless): basta con el navegador de Internet, en forma análoga a cuando uno se conecta a un banco con HTTPS.

-5-

Figura 4. VPN con SSL

Por su lado IPSec representa un conjunto de mecanismos de seguridad de alta calidad y proporciona un túnel seguro para los datos a través de la red, ofreciendo para ello un control de acceso, así como una integridad en los datos transmitidos, además de robustos mecanismos de autenticación y confidencialidad.

Los servicios IPSec son llevados a cabo mediante el uso de dos protocolos de seguridad: Authentication Header (AH) y Encapsulating Security Protocol (ESP), así como mediante un conjunto de protocolos necesarios para la gestión de claves criptográficas, llamado IKE (Internet Key Exchange).

En las siguientes secciones se efectuarán una serie de experiencias sencillas con proxy VPN, Hamachi y PPTP. En el curso de Seguridad en Informática y Comunicaciones se efectúan experiencias prácticas con otras soluciones para VPN: SSL, OpenVPN, SSH, IPSec.

Sección B: VPN mediante servidores proxy

Un proxy es un dispositivo que actúa como un agente o intermediario para las comunicaciones. El mismo se encarga de evaluar las solicitudes de los clientes y decide cuáles envía y cuáles no. Muchas organizaciones usan un proxy local para bloquear el acceso de los empleados a sitios Web improductivos o por cualquier otro motivo. Si una petición es aceptada, el proxy se comunica con el servidor real en nombre del cliente (el término proxy significa representante) y lleva cabo las peticiones de servicio del cliente al servidor externo y transmite las respuestas de éste de nuevo al cliente.

-6-

Por otro lado en Internet existe una gran cantidad de free proxies (ya que son por lo general gratuitos) y cuyo fin principal es evadir las restricciones del proxy local (o corporativo). También se les llama proxies anónimo cuando su propósito es lograr el anonimato en la navegación. En efecto, hay situaciones en las cuales se quiere visitar un sitio Web sin dejar rastros en él, ya que existe la preocupación de que las visitas podrían quedar registradas en un archivo (log) del servidor Web y estos registros pueden contener información relativa a la máquina del usuario u otros datos privados.

Puede obtener una lista (no tan actualizada) en http://www.proxy4free.com y http://www.aliveproxy.com. La mayoría de esos proxies no están operativos. Claro está que el administrador de la red local o el propio proveedor (ISP) puede bloquear el acceso a estos proxies para impedir su uso, lo cual se hace configurando apropiadamente los enrutadores y otros equipos de interconexión, por ejemplo como se muestra en la siguiente figura, donde el proxy actúa en forma transparente o invisible para el usuario.

En este caso el usuario (cliente) es obligado a usar el proxy, quiera o no. Las peticiones a un sitio Web son interceptadas por el proxy y el usuario cree que está comunícandose directamente con el servidor Web, cuando en realidad lo está haciendo a través del proxy. Además así se evita el tener que configurar el navegador de los usuarios. Nótese que la trasparencia se aplica sólo al cliente, ya que el servidor Web sabe que hay un proxy en el medio y verá la IP del proxy, no la del usuario.

Hoy día casi todos los proxies gratuitos solo funcionan con el protocolo HTTP y se usan directamente desde el navegador introduciendo en una casilla la IP del sitio deseado. Su principal desventaja es que son lentos y no encriptan los datos. Para garantizar la confidencialidad han ido apareciendo diferentes tipos de proxy VPN, el cual crea un canal túnel seguro con el usuario remoto. El resto de la comunicación hasta el destino final en Internet, sin embargo es sin encriptación, tal como se muestra en la figura, que ilustra el caso de un usuario de una red inalámbrica WLAN 802.11 que se conecta de un sitio público.

Un hotspot (en inglés ‘punto caliente’) o Zona Wi-Fi es un área de cobertura inalámbrica, en el que uno o varios punto de acceso (AP, Access Point) proveen conectividad a Internet desde lugares públicos a través de un Proveedor de Servicios de Internet Inalámbrico (WISP). La tecnología Wi-Fi se basa en el estándar 802.11 para LAN inalámbricas (WLAN). Por lo general, el radio de cobertura de un AP es de menos de 100 metros, dependiendo del tipo de equipo y antenas que se utilicen. Este servicio puede brindarse de manera gratuita o pagando una suma que depende del proveedor. Los hotspots son cada vez más populares y se encuentran en aeropuertos, bibliotecas, centros de convenciones, cafeterías, hoteles, universidades, etcétera.

-7-

Debido a que la comunicación es mediante ondas electromagnéticas, existe la posibilidad de que sea espiada por alguien cercano con un sniffer inalámbrico. La encriptación mediante WEP (Wired Equivalent Privacy) o WPA (Wireless Protected Access) no garantiza necesariamente la confidencialidad, ya que se utiliza una clave compartida que pudiera ser conocida por extraños o ser crackeada. Pero además cuando el tráfico sale del AP hacia Internet, ya no viaja encriptado. En cambio un proxy VPN encripta el tráfico hasta bien adentro en Internet. En resumen, las ventajas pricipales de este tipo de VPN son: A diferencia de un proxy HTTP, la conexión VPN transporta todo tipo de tráfico IP, no sólo HTTP. Brinda seguridad para el acceso a redes desde sitios públicos (cybercafés, universidades, hoteles, etc.). Permite saltarse el bloqueo de ciertos sitios o aplicaciones por parte de proxies corporativos. Permite saltarse el bloqueo de aplicaciones P2P como Skype y Messenger que imponen las empresas y los propios ISP. Permite saltarse el bloqueo a ciertos sitios por parte de gobiernos que imponen censura. Facilita las compras por Internet que en algunos casos sólo pueden hacerse desde EE.UU. Garantiza el nonimato completo al esconder la dirección IP real del usuario y al encriptar el tráfico.

Actualmente existen varias iniciativas de tipo proxy VPN, tal como Hotspot Shield, StrongVPN, AlwaysVPN, FreeVPN, AlonWeb, Steganos, algunos de los cuales son gratuitos, pero otros requieren pagar una pequeña cuota mensual.

La mayoría de ellos, al igual que el famoso OpenVPN, utiliza SSL para hacer la comunicación segura. SSL es encapsulado en TCP y éste en UDP, ya que UDP es un protocolo rápido y se entiende bien con NAT y firewalls. Además se utilizan adaptadores virtuales TUN y TAP, los cuales son dispositivos de red manejados enteramente por software, a diferencia de un dispositivo de red convencional que existe fisicamente. TAP (donde tap significa literalmente toma, análogo a un tomacorriente o una toma de agua) simula un dispositivo Ethernet que opera con tramas. TUN (abreviación de tunnel) por otro lado simula un dispositivo que trabaja a nivel de red, con paquetes IP. Esto significa que TAP tiene la habilidad de crear redes virtuales completas, mientras que TUN crea una red virtual dividida en subredes enlazadas por conexiones punto a punto. Bridging y routing son dos métodos de unir redes mediante VPN. Cuando un cliente se conecta via puenteo a una red remota, se le asigna una dirección IP que es parte de la subred física remota, de manera que parece que estuviera conectado localmente. Las configuraciones con puente necesitan una herramienta específica del sistema operativo para enlazar un adaptador de red físico con uno virtual TAP. En linux se utiliza brtcl. En Windows se debe seleccionar ambos el adaptador físico y el virtual, hacerles clic con el botón derecho y seleccionar la opción de puentear las conexiones.

Cuando un cliente se conecta via enrutamiento en lugar de puenteo, entonces usa su propia subred, separada y se levantan rutas en ambos el cliente y el gateway remoto para que los datos puedan viajar a través de la VPN. El cliente no es necesariamente una simple PC; puede ser una subred de varias PCs. Los modos bridging y routing funcionan de manera muy similar, con la mayor diferencia siendo que una VPN que use enrutamiento no transmite paquetes de broadcast, mientras que la VPN con puenteo sí lo hace. El puenteo

-8-

solo funciona sobre un adaptador TAP. Las ventajas de puentear son que los servicios que dependan de los broadcast van a poder funcionar (como la compartición de archivos en Windows). No se necesita configurar rutas y soporta cualquier protocolo que pueda funcionar sobre Ethernet regular (IPv4 , IPv6, IPX, AppleTalk, etc.), pero es menos eficiente que enrutar, y su escalabilidad no es tan buena. Por su lado enrutar es más eficiente y escalable, y permite modificar parametros como el MTU, pero los clientes Windows deben utilizar un servidor WINS para comunicarse en lugar de broadcast. En general todo software que dependa de broadcast no va a "ver" a las PCs en el otro extremo de la VPN. Solamente funciona con IPv4, pero puede funcionar con IPv6 si se configura explicitamente y tiene soporte en ambas puntas.

1. Para empezar las experiencias, compruebe el bloqueo de ciertos sitios, los cuales no se pueden ver fuera de EE.UU. por restricciones de copyright, como por ejemplo Pandora, que es una nueva modalidad de radio por Internet personalizada.

Dear Pandora Visitor,We are deeply, deeply sorry to say that due to licensing constraints, we can no longer allow access to Pandora for listeners located outside of the U.S. We will continue to work diligently to realize the vision of a truly global Pandora, but for the time being we are required to restrict its use. We are very sad to have to do this, but there is no other alternative.

2. Hulu es un competidor de YouTube y permite ver video bajo demanda con una calidad notable y su atractivo principal está en sus acuerdos con las grandes productoras que están comenzando a publicar series, documentales e incluso películas para que los usuarios puedan verlas a través de Internet. Al igual que Pandora, su uso está restringido a los EE.UU.

3. Se va a probar Hotspot Shield para obviar esta limitación y sacar provecho de las distintas ventajas de un proxy VPN. Instale el programa que se encuentra en la carpeta Acceso Remoto del DVD o descargue la versión más reciente. Lamentablemente no hay una versión para Linux, aunque sí para MAC. Durante la instalación, EXCLUYA la barra de herramientas.

-9-

4. Cierre todas las páginas Web que tenga abierta y lance el programa. En seguida el mismo intentará establecer el túnel VPN con los servidores VPN que se encuentran en EE.UU. Si lo logra luego de un rato, se mostrará una ventana en el navegador con información como la siguiente:

5. Haga clic sobre Test protection y se la abrirá una página de http://whatismyipaddress.com donde se muestra la dirección IP pública que su túnel tiene asignado en el otro extremo.

6. Haga clic con el botón derecho sobre el ícono de Hotspot Shield en la barra de tareas de Windows (esquina inferior derecha) y seleccione Properties.

7. Pulse el primer botón (Settings)

8. Aquí puede cambiar la configuración.

9. Para probar la VPN, conéctese a algunos de los sitios cuyo acceso gratuito sólo está permitido en ciertos países, por ejemplo Pandora, Spotify, Hulu. Posiblemente logre entrar, ya que la conexión aparenta provenir desde EE. UU.

-10-

10. Puede ocurrir que Hotspot Shield frene su tráfico y que lo bloquee si hace un uso excesivo de la conexión VPN. En tal caso Ud. podría intentar cambiar la dirección MAC de su tarjeta de red para que así también cambie su dirección IP. Una forma fácil de hacerlo es mediante MACshift, que se encuentra en la carpeta Varios de DVD.

11. El servicio de Hotspot Shield por ahora es gratuito y se mantiene gracias a un banner comercial cambiante que aparece en la parte superior de la página visitada, pero quizás en el futuro pase a ser comercial. Tome en cuenta que el limitado ancho de banda de la conexión eventualmente hace que el video se interrumpa.

12. Usted puede deshabilitar la aparición del banner. En Internet Explorer se hace desde Herramientas | Administrar complementos | Habilitar o deshabilitar complementos.

13. Desde una ventana de comandos (cmd) ejecute ipconfig /all y note la presencia de un nuevo adaptador Ethernet. Se trata de un dispositivo de red virtual el cual permite la creación de túneles a nivel de capa 2, funcionando como un puente transparente.

14. Desde una ventana de comandos (cmd) ejecute route print y note la presencia de una nueva línea para la puerta de acceso al túnel. Analice la tabla con detenimiento.

15. Haga ping a un sitio cualquiera (ej. www.gmail.com o www.yahoo.com) y verifique que haya respuesta. Analice el tiempo de respuesta. ¿Es razonablemente aceptable? ¿Hay paquetes perdidos?

16. Haga tracert a ese mismo sitio y analice el trazado de la ruta.

17. (Opcional). Capture los paquetes ping (ICMP) mediante un sniffer como Commview o Wireshark para verificar que efectivamente va a través del túnel y están encriptados. Capture primero en el adaptador Anchorfree y note que son mensajes ICMP no encriptados. Luego capture en la interfaz Ethernet física y observe que son paquetes UDP encriptados que usan unos puertos específicos.

-11-

18. Conéctese a un sitio Web cualquiera (ej. Yahoo) y verifique que puede navegar (aunque quizás con más lentitud de lo acostumbrado).

19. Conéctese a un sitio Web seguro cualquiera usando HTTPS (ej. Gmail, Banco Mercantil, CommerceBank) y verifique que también puede navegar (aunque quizás con más lentitud de lo acostumbrado).

20. Desconecte la conexión VPN haciendo clic con el botón derecho sobre el ícono de Hotspot Shield en la barra de tareas de Windows y seleccionando Disconnect/OFF.

21. Desde una ventana de comandos ejecute route print y note como la tabla de enrutamento cambió, regresando a su configuración original.

22. Conéctese de nuevo a algún sitio cuyo acceso no está permitido desde Venezuela, por ejemplo por ejemplo Pandora, Spotify, Hulu. Ahora ya no debería poder entrar.

Sección C: VPN mediante Hamachi

Hamachi es una popular solución para establecer conexiones VPN entre computadoras utilizando UDP, aún en el caso difícil cuando los dos extremos se encuentren detrás de un firewall o tengan direcciones privadas mediante NAT (Network Address Traslation). Además de su aplicación para VPN, Hamachi es habitualmente utilizada para jugar en red y para la administración remota de PCs. El fabricante (LogMeIn) provee servicios básicos gratis y otras características extra pagando.

Para establecer la conexión, las PCs utilizan un tercer nodo denominado "servidor mediador" que ayuda a los dos extremos la conectarse entre sí y establecer el túnel VPN. La conexión misma es directa (P2P, peer to peer) y, una vez establecida, el tráfico deja de fluir a través del servidor.

-12-

Desde el punto de vista de su arquitectura, Hamachi consiste de un cluster de servidores de mediación y el software cliente, el cual es instalado en las PCs de los usuarios. El software cliente agrega una interfaz de red virtual en la PC, la cual es utilizada para interceptar el tráfico VPN saliente y entrante. El tráfico saliente es cifrado y autenticado y luego es enviado al extremo VPN de destino a través de una conexión UDP iniciada a tal efecto.

Cada cliente establece y mantiene una conexión de control con el cluster de servidores. Cuando la conexión está establecida, el cliente entra en una secuencia de autenticación, seguida de un proceso de descubrimiento y sincronización de estado. El paso de autenticación de usuario autentica al cliente contra el servidor y viceversa. El descubrimiento es utilizado para determinar la topología de la conexión a Internet del cliente, y más concretamente para detectar la presencia de firewalls y servidores NAT. El paso de sincronización extrae una vista del cliente de sus redes privadas sincronizadas con los otros miembros de esas redes.

Cuando un miembro de una red se conecta o se desconecta, el servidor da instrucciones a los otros nodos de la red para que inicien o detengan túneles con dicho miembro. Cuando se establecen túneles entre los nodos, Hamachi utiliza una técnica de NAT Transversal asistido por servidor. No se ha publicado información detallada de cómo funciona realmente, pero se afirma que atraviesa con éxito las conexiones P2P en el 95% de los casos. Este proceso no funciona en ciertas combinaciones de dispositivos NAT, que requieren que el usuario abra un puerto para la conexión.

En el caso de el cliente pierda la conexión con el servidor de manera inesperada, el cliente mantiene todos sus túneles e inicia una comprobación de sus estados. Cuando el servidor pierde una conexión de cliente de manera inesperada, se informa a los nodos clientes sobre el hecho y se espera a que inicien sus comprobaciones. Todo esto hace inmune a los túneles Hamachi frente a problemas de red transitorios en el camino entre el cliente y el servidor, y de igual modo quedan operativos en los breves intervalos de indisponibilidad completa del servidor.

Hamachi utiliza algoritmos sólidos y estandarizados para asegurar y autenticar los datos y su arquitectura de seguridad es abierta. La implementación Hamachi es, sin embargo, de código cerrado y no está disponible para la revisión del público en general. Para que el producto funcione es necesaria la mediación del servidor, el cual es operado por LogMeIn. El servidor almacena el nombre de usuario, contraseña de mantenimiento, dirección IP estática 5.0.0.0/8 y el token de autenticación asociado del usuario. Para cada túnel que se establece, podría registrar la dirección IP real del usuario, tiempo de establecimiento y duración; y lo mismo para los demás usuarios interconectados.

Puesto que todos los nodos que comparten un túnel tienen acceso total de tipo LAN a otros PCs, pueden surgir problemas de seguridad si no se utilizan firewalls, como se da en cualquier situación insegura. Las características de seguridad de un router/firewall/NAT no sirven en este caso. Pero este riesgo no es específico de Hamachi y debe tenerse en cuenta también en cualquier otra VPN.

1. Instale Hamachi desde la carpeta Acceso Remoto o descargue la versión más reciente desde http://www.logmein.com. Para más información, también descargue la guía de iniciación en pdf.

2. Durante el proceso de instalación, desactive Iniciar automáticamente con Windows y deshabilite Servicios vulnerables de Windows para que la PC no se vea en Mis sitios de red.

3. Además seleccione Probar licencia comercial.

-13-

4. Una vez finalizada la instalación, vaya a Panel de Control | Conexiones de red y note que se se ha creado un nuevo adaptador virtual llamado Hamachi.

5. Haga doble clic sobre el ícono de Hamachi. A cada cliente Hamachi se le asigna una dirección IP de la red 5.0.0.0/8.

6. La subred 5.0.0.0/8 es utilizada para evitar colisiones con redes IP privadas que podrían estar utilizándose. Específicamente, las redes privadas 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16. El bloque de direcciones 5.0.0.0/8 está reservado por IANA y no está actualmente en uso, pero no está garantizado que esto continúe así en el futuro. Además, utilizar un prefijo de red /8 crea un único dominio de difusión (broadcast) entre todos los clientes. Esto hace posible la utilización de protocolos LAN que dependen de IP broadcast para descubrir y anunciar servicios sobre las redes Hamachi.

7. Ejecute Hamachi desde Windows y el programa detectará si es la primera vez que se corre, en cuyo caso se abrirá un breve tutorial para que los usuarios nuevos se familiaricen con los fundamentos del programa. En el transcurso del tutorial, se proporciona una dirección IP para conectarse con Hamachi. Además se deberá permitir que el firewall (si existe), admita conexiones entrantes. 8. El uso de Hamachi comienza con la activación del sistema, pulsando el botón Power, luego de lo cual es asignada una dirección IP de la red 5.0.0.0/8. Esta dirección es permanente y es asignada cuando el cliente se autentica con el sistema la primera vez.

9. Ejecute IPconfig y Route print; analice la información desplegada.

10. Pulse en el botón Networks y podrá elegir entre crear una red nueva o unirse a una red existente. Pruebe, por ejemplo, a unirse a la red de prueba test usando como contraseña secret. Si está llena y no admite usuarios adicionales, pruebe con la red Mendillo y contraseña abc123abc123. Luego seleccione Unirse a la red.

11. Si no hay problemas, el nombre de la red aparecerá en la ventana principal y todos sus miembros aparecerán listados debajo, pudiendo estar conectados (blanco) o desconectados (gris). El indicador de color verde indica que el cliente está activo. El número máximo de miembros es 16.

-14-

12. Ahora proceda a crear una nueva VPN, seleccionando el nombre y la contraseña. El nombre de la red debería ser único y no podrá superar los 64 caracteres. Elija como contraseña algo que sólo usted conozca y que sea muy difícil de averiguar. Recuerde que la seguridad de su red depende de ella. No existe límite de longitud para las contraseñas.

13. Una vez hecho esto, haga clic en Crear y la nueva red aparecerá ahora en la ventana de Hamachi.

14. Para continuar con las siguientes experiencias se requiere una segunda PC (u otro usuario) con Hamachi instalado. En esa segunda PC no cree una nueva VPN, sino que únase a la red anteriormente creada, introduciendo el nombre y la contraseña. Entonces en la ventana de Hamachi de cada una de las máquinas aparecerá el nombre y la dirección IP de la máquina remota.

15. Haga clic con el botón derecho sobre la máquina remota y seleccione Ping. Debería recibir respuesta de esa máquina. Tome nota del retardo y del TTL. Deberá parar Ping manualmente, ya que no termina por sí solo.

16. Seguidamente seleccione Chat y podrá establecer una conversación escrita con la máquina romota.

17. Posiblemente lo más útil de una VPN sea el accesar los recursos de una máquina remota, por ejemplo compartiendo arrchivos. Para tal fin en Hamachi pulse el tercer botón (Configuración) y seleccione Preferencias. Em la opción Seguridad desactive Bloquear servicios vulnerables de Windows. Deberá hacer esto en ambas máquinas.

-15-

18. Luego comparta alguna carpeta, por ejemplo C:\Publico.

19. Si está usando Windows 7 o Vista en vez de XP, el acceso remoto requiere nombre de usuario y contraseña (para mayor seguridad). Si no desea esta opción, en Vista vaya a Panel de control | Centro de Redes y recursos compartidos y allí desactive Uso compartido con protección por contraseña.

20. Si está usando 7 o Vista, mediante el Explorador de Windows seleccione la carpeta que desea compartir (ej. Publico) y con el botón derecho pulse Compartir. Luego elija a las personas con las que desea compartir. Aquí puede añadir Invitado para compartir con cualquiera.

21. En la otra máquina haga clic con el botón derecho sobre la máquina remota y seleccione la nueva opción Examinar. Le aparecerá la lista de las carpetas compartidas en la máquina remota.

22. (Opcional). Active un analizador de tráfico como CommView o Wireshark. Ejecute ping y capture en la interfaz Ethernet, es decir fuera del túnel VPN. Observe que el tráfico está encriptado y que viaja sobre UDP. Cuál es el puerto UDP que usa cada máquina?

23. Luego ejecute ping y capture luego en la interfaz Hamachi y debería poder ver el tráfico desencriptado, es decir dentro del túnel. Deberá parar Ping manualmente, ya que no termina por sí solo.

24. Tome en cuenta que la función principal de Hamachi es compartir recursos en forma segura a través de Internet, pero no sirve para conectarse a una computadora remota y tomar control de ella. Esto se logra con una popular aplicación para control remoto llamada VNC, que permite ver el escritorio de una máquina remota y controlarla desde otro sitio. Su uso principal es accesar a un servidor desde un cliente para fines de supervisión, diagnóstico, actualización de software, etc. Una solución parecida es el Escritorio remoto

-16-

de Windows: usted se puede conectar a su PC en la casa desde la oficina o mientras se encuentra de viaje, lo mismo que si estuviera sentado delante de ella. Sin embargo la limitación principal de esas soluciones es que la dirección IP de la máquina controlada debe ser visible desde la máquina que la controla. Se presentan problemas si la máquina controlada está detrás de un NAT ( Network Address Traslation) y tiene una dirección interna (ej. 192.168.1.10). Además los firewalls perimetrales a menudo bloquean el puerto requerido e impiden la conexión. LogMeIn es una ingeniosa herramienta de control remoto que logra atravesar NAT y firewalls ya que utiliza puertos UDP en vez de puertos TCP y el tráfico de control pasa a través de un gateway central. Pero si usted prefiere VNC o el Escritorio remoto de Windows puede hacerlo a trevés del tunel VPN creado con Hamachi.

25. Para probar el Escritorio remoto de Windows, seleccione Programas | Accesorios | Conexión a Escritorio remoto.

26. Oprima la tecla Opciones para configurar el tamaño de la pantalla, la información de inicio de sesión automático y las opciones de rendimiento. En la casilla Equipo, escriba el nombre o la dirección IP de Hamachi de la máquina remota en el que esté habilitado Escritorio remoto y para el que tenga permisos de Escritorio remoto.

27. Para habilitar Escritorio remoto en la máquina remota abra Sistema en el Panel de control y en la ficha Remoto, active la casilla de verificación Permitir a los usuarios conectarse remotamente a este equipo. Seleccione los usuarios remotos que pueden conectarse al equipo. El Administrador tiene autorizado el acceso remoto y puede usar su cuenta y su contraseña para esta práctica, pero no es lo más aconsejable en un caso real, como se explicó antes. El usuario Invitado (Guest) no puede usar este servicio ya que la contraseña para este servicio no puede estar en blanco.

28. Haga clic en Conectar. Si está activado Firewall de Windows, Asistencia remota abrirá temporalmente los puertos requeridos.

29. Si felizmente logra conectarse, aparecerá el cuadro de diálogo Iniciar sesión en Windows. En ese cuadro, escriba su nombre de usuario, su contraseña y el dominio (si es necesario) y, a continuación, haga clic en Aceptar. Utilice la cuenta de administrador sin no lograr entrar con otra cuenta.

30. Se abrirá la ventana Escritorio remoto con la configuración de escritorio, archivos y programas del equipo de la oficina. El equipo remoto oficina permanecerá bloqueado. Nadie podrá trabajar en es equipo sin una contraseña ni podrá ver el trabajo que usted realiza de forma remota.31. Para cerrar y finalizar la sesión de Escritorio remoto, desde el cliente haga clic sobre X en la parte superior de la ventana. Desde el servidor simplemente introduzca la contraseña de la cuenta de usuario.

32. Finalmente desconéctese de la VPN y cierre Hamachi.

Sección D: VPN mediante PPTP en Windows (opcional)

PPTP es un protocolo de red desarrollado por Microsoft que permite la realización de transferencias seguras desde clientes remotos a servidores emplazados en redes privadas, empleando para ello tanto líneas telefónicas conmutadas como Internet. En el escenario típico de PPTP, el cliente establece una conexión con un servidor de acceso a red (NAS), empleando para ello el protocolo PPP. Una vez conectado, el cliente establece una segunda conexión con el servidor PPTP el cual estará situado en la red privada. Dicho servidor es utilizado como intermediario de la conexión, recibiendo los datos del cliente externo y transmitiéndolos al correspondiente destino en la red privada.

PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y desencriptados de acuerdo al protocolo de red transmitido. PPTP soporta los protocolos de red IP, IPX, y NetBEUI. Se utiliza una versión modificada del Generic Routing Encapsulation (GRE) para encapsular los paquetes PPP como datos para el túnel, de forma que estos puedan viajar cifrados y comprimidos.

-17-

Estructura de un paquete PPTP

El protocolo GRE está descrito en la RFC 2748 y es muy utilizado para transportar protocolos IP y no IP entre 2 sitios. Posee el siguiente encabezado:

1 13 16 32

C Reserved Version Protocol type

Checksum (optional) Reserved

PPTP usa el puerto TCP 1723 y además usa GRE (Generic Route Encapsulation) para el mantenimiento del túnel. GRE tiene el identificador de protocolo 47 en el paquete IP. PPTP especifica además una serie de mensajes de control con el fin de establecer, mantener y terminar el túnel PPTP. Estos mensajes son transmitidos en paquetes de control en el interior de segmentos TCP.

La autenticación PPTP está basada en el sistema de acceso de Windows, en el cual todos los clientes deben proporcionar su login y password. La autenticación remota de clientes PPTP es realizada empleando los mismos métodos de autenticación utilizados por cualquier otro tipo de servidor de acceso remoto (RAS). En el caso de Microsoft, la autenticación utilizada para el acceso a los RAS permite los protocolos CHAP, MS-CHAPv2, y PAP. Los accesos a los recursos NTFS o a cualquier otro tipo, precisa de los permisos adecuados, para lo cual resulta recomendable utilizar el sistema de archivos NTFS para los recursos de archivos a los que deben acceder los clientes PPTP. En cuanto a la encriptación de datos, PPTP utiliza el proceso de encriptación de secreto compartido en el cual sólo los extremos de la conexión comparten la clave. La longitud de dicha clave puede ser 128 bits o 40 bits.

El sistema operativo Windows XP permite que la PC funcione como cliente o como servidor VPN, así que el usuario mediante su PC se puede conectar en forma segura desde un sitio público con otra PC remota de la casa o a la oficina. Como servidor VPN, Windows XP/Vista acepta una sola conexión tipo PPTP entrante. En comparación, Windows Server 2003 soporta hasta 1.000 conexiones PPTP y hasta 1.000 conexiones L2TP/IPSec.

Para las siguientes experiencias se requieren 2 PC equipadas con Windows XP/Vista y que pueden estar en la misma red o en redes distintas.

1. Compruebe que hay conectividad entre el cliente y el servidor mediante ping. Tome en cuenta que el servidor VPN debe ser visible desde el cliente VPN, es decir que el servidor no esté detrás de un NAT (Network Address Traslation) o un firewall que bloquee el protocolo GRE y puerto TCP 1723 que utiliza PPTP.

2. Si dispone de Windows Vista, salte al punto 5. En la PC con Windows XP que va a actuar como servidor VPN, proceda a crear una conexión entrante mediante Inicio | Panel de Control | Conexiones de Red | Crear una conexión nueva. Aquí seleccione Configurar una conexión avanzada y continúe.

-18-

3. En Dispositivos de conexiones entrantes, no seleccione ninguno de los que aparecen.

4. En la siguiente ventana, seleccione Permitir conexiones privadas virtuales.

5. Si dispone de Windows Vista, vaya a Inicio | Panel de Control | Redes e Internet | Centro de redes y recursos compartidos | Administrar conexiones de red. Luego seleccione Archivo | Nueva conexión entrante.

6. Seguidamente seleccione los usuarios permitidos (por ejemplo Invitado). Aquí también puede agregar nuevos usuarios (por ejemplo VPN con contraseña abc123). La cuenta de Administrador e Invitado también sirven, pero no son recomendables para el acceso remoto por razones de seguridad. (¿Por qué?).

-19-

7. En Software de red seleccione TCP/IP.

8. En Propiedades de TCP/IP seleccione Permitir a quienes llaman tener acceso a mi red de área local . De este modo tendrán acceso a los recursos de las otras PCs en la LAN y eventualmente a Internet (a través del túnel).

9. También en Propiedades seleccione Especificar direcciones IP (por ejemplo 192.168.11.200 hasta 210) para que así se asignen direcciones IP temporales a los usuarios que se conectan al equipo. (En Windows XP se puede conectar un solo usuario a la vez).

10. Si en cambio selecciona Asignar automáticamente direcciones TCP/IP usando DHCP pero no hay ningún servidor DHCP disponible, la función APIPA de Windows (Automatic Private IP Addressing) asigna una dirección IP aleatoria (169.254.xxx.xxx).

-20-

11. Una vez completado el procedimiento de crear una conexión entrante, ésta aparecerá en Conexiones de red. Haga clic con el botón derecho para ver sus propiedades.

12. Ahora del lado de la PC que va a actuar como cliente VPN, proceda a crear en Windows XP una conexión mediante Panel de Control | Conexiones de Redes | Asistente para conexión nueva. Seleccione Conectarse a la red de mi lugar de trabajo y luego Conexión de red privada virtual.

13. Si dispone de Windows Vista, vaya a Inicio | Panel de Control | Redes e Internet | Centro de redes y recursos compartidos | Configurar una conexión o red. Aquí seleccione Conectarse a un área de trabajo.

14. Ponga un nombre a la conexión y el nombre o la dirección IP del servidor VPN.

15. Como nombre de usuario, ponga el de un usuario autorizado en la otra PC (ej. VPN) y su contraseña (ej. abc123abc123).

16. En Propiedades, active Mostrar íconos al conectar.

17. Finalmente intente establecer la conexión VPN pulsando Conectar.

18. Si todo sale bien, la conexión VPN debería establecerse bastante rápidamente. En caso de que no logre establecerla, puede buscar la posible causa ejecutando Netsh en una ventana de comandos del servidor VPN. Este programa permite, de forma local o remota, mostrar o modificar la configuración de red de un equipo. Una vez en Netsh, puede cambiar al contexto que contiene el comando que desea utilizar. Los contextos disponibles dependen de qué componentes de red haya instalado. Por ejemplo, si escribe ras, irá al contexto de RAS (Remote Access Server) y si aquí escribe show, verá los comandos disponibles (ej. show client).

19. Si logra establecer la conexión VPN, la máquina del cliente VPN se convierte en parte de la LAN remota, perdiendo eventualmente conectividad con la LAN local y en consecuencia con Internet (a menos que en la LAN remota el servidor DHCP suministre la dirección de la puerta de enlace y el DNS). Esto se puede notar con la caida de servicios el línea como el Messenger.

20. Haga clic con el botón derecho sobre la conexión VPN de la máquina cliente y seleccione Estado | Detalles. Note el tipo de cifrado (MPPE 128), es decir Microsoft Point to Point Encryption con clave de 128 bits. MPPE usa el algoritmo RSA RC4 para encriptar. Note el protocolo de autenticación MS-CHAPv2, el cual se basa en un sistema de desafío-respuesta que en principio se puede violar

-21-

mediante métodos de ataque fuera de línea, usando fuerza bruta o basándose en diccionarios, por lo que MS-CHAPv2 no es un método totalmente seguro.

21. Note la dirección IP del servidor y del cliente. Esas direcciones son virtuales y temporales, siendo suministradas por el propio servidor VPN o por un servidor DHCP del otro lado del túnel. Es importante darse cuenta que para que el cliente VPN pueda tener acceso a los recursos de la Intranet, la dirección IP asignada al cliente VPN debe pertenecer a la misma subred de la Intranet.

22. Desde una ventana de comandos de la máquina cliente ejecute ipconfig y observe la presencia de un nuevo adaptador PPP (temporal) con la dirección IP virtual.

23. Ejecute route print y observe la nueva tabla de enrutamiento. Note como ahora el tráfico se va por el túnel, ya que tiene una métrica menor.

24. Trate de navegar por Internet desde la máquina cliente y quizás no pueda. Analice los resultados de ipconfig y route print para entenderlo. ¿Cómo lo podría solucionar?

25. Un caso interesante que se presenta es cuando el servidor VPN en la casa u oficina del usuario esté conectado directamente a un servicio de banda ancha como ABA de CANTV. En tal caso si se configura el servidor VPN para que asigne automáticamente direcciones TCP/IP usando DHCP, entonces los 2 extremos del túnel adquirirán direcciones IP públicas virtuales (por ejemplo 200.109.206.237).

26. Un problema para establecer la conexión VPN con PPTP es averiguar la dirección IP real del servidor VPN, la cual puede ser dinámica. Para tal fin se podría utilizar el servicio gratuito dynDNS para nombres de dominio. Pero si el servidor VPN se encuentra detrás de un router con NAT, claramente no se logra establecer la conexión.

27. A continuación se va a verificar que los datos están realmente encriptados, capturándolos mediante un analizador de tráfico como CommView o Wireshark/Ethereal.

28. Active la captura de datos y haga ping a la dirección virtual del servidor VPN. Pare la capture y analice los datos. Observe los datos que están cifrados y encapsulados con PPTP. Vea los headers GRE y PPP y analice la estructura de los campos en base a la figura siguiente y a la información contenida en RFC1701 y RFC2637.

-22-

29. Haga ping a la dirección real del servidor VPN. En este caso el tráfico no está encriptado porque se va por fuera de túnel. Lo puede comprobar si ejecuta route print y analiza en detalle la tabla de enrutamiento.

30. Es posible activar un log de las conexiones remotas para llevar un registro de uso o para resolver problemas de conectividad. Para tal fin desde una ventana de comandos ejecute:

netsh ras set tracing ppp enabled

31. Cierre la conexión VPN y vuelva a establecerla. Analice el contenido del archivo \Windows\Tracing\PPP.log.

32. Debido a que el log se hace muy voluminoso con el tiempo, es conveniente desactivarlo con el comando:

netsh ras set tracing ppp disabled

Sección E: VPN mediante PPTP en Linux (opcional)

Actualmente la mayoría de las distribuciones de Linux tienen un buen soporte para PPTP. En las siguientes experiencias se va a utilizar Ubuntu versión 8.10 o superior como cliente VPN. Como servidor VPN se va a utilizar Windows XP/Vista (el mismo que se utilizó en la sección anterior). Pero si usted desea utilizar un servidor VPN bajo Linux, podría instalar y configurar pptpd mediante el comando apt-get install pptpd. La configuración de pptpd es relativamente compleja, por lo cual se recomienda primero familiarizarse con el servidor VPN bajo Windows.

1. Haga clic sobre el ícono de Network Manager que se encuentra en la barra superior derecha de Ubuntu y allí seleccione Conexiones VPN | Configurar VPN.

2. En la nueva ventana que se abre, seleccione la pestaña VPN y pulse el botón Añadir.

3. Si el botón Añadir está habilitado, salte al punto 7.

4. Vaya a Sistema | Administración | Gestor de Paquetes Synaptics y en Configuración | Repositorios marque Software libre mantenido por la comunidad (universe).

-23-

5. Pulse el botón Recargar (lo cual lleva algún tiempo) y luego mediante Editar | Buscar encuentre el paquete network-manager-pptp. Posiblemente no aparezca si está usando un Live-CD de Ubuntu en vez de una instalación en el disco duro.

6. Marque e instale el paquete, pulsando Aplicar lo cual lleva algún tiempo. Normalmente no hace falta reiniciar Network Manger ni Ubuntu.

7. Haga clic sobre el ícono de Network Manager que se encuentra en la barra superior derecha de Ubuntu y allí seleccione Conexiones VPN | Configurar VPN. 8. Bajo la pestaña VPN pulse el botón Añadir.

9. Seguidamente elija PPTP como tipo de conexión VPN y pulse el botón Create.

-24-

10. En los datos de la conexión VPN, edite el nombre la de la conexión (ej. Conexión VPN-PPTP), instroduzca la dirección o el nombre de la pasarela y del usuario. La pasarela es el servidor VPN que utilizó en la sección anterior (ej. 200.109.204.79). Deje la contraseña en blanco.

11. Pulse Avanzado y marque la opción Usar cifrado punto a punto (MPPE). Pulse Aceptar dos veces.

12. Ahora intente conectarse haga clic sobre el ícono de Network Manager que se encuentra en la barra superior derecha de Ubuntu. Seleccione Conexiones VPN | Conexión VPN-PPTP. Introduzca la contraseña cuando se le pida. (La cuenta Invitado no posee contraseña y no funcionaría en este caso).

13. Si todo sale bien bien, se establecerá la conexión VPN y el ícono de Network Manager aparecerá con un candado. En caso contrario, investigue en Internet sobre cómo solucionar el problema.

14. Puede verificar que los datos están realmente encriptados, capturándolos mediante un analizador de tráfico como Wireshark en Ubuntu o en Windows. En el caso de Ubuntu, deberá instalarlo. Puede consultar la guía de práctica sobre Captura y Análisis de Datos en Linux si no sabe cómo hacerlo.

15. Para deconectarse de la VPN haga clic sobre el ícono de Network Manager y seleccione Conexiones VPN | Desconectar VPN.

-25-

Sección F: Informe

Elabore un informe de no menos de 8 páginas donde se reportan las experiencias más relevantes, se analizan los resultados obtenidos, finalizando con conclusiones y eventuales recomendaciones.

El informe debe ser individual y redactado con palabras propias; no se permite repetir el texto del material que se encuentra en esta guía, en Internet o en otras fuentes. Debe contener un resumen de las actividades realizadas, con ejemplo de resultados. Deben analizarse y discutirse esos resultados, en particular si se presentaron problemas o aspectos inesperados. También deben incluirse las conclusiones y eventuales recomendaciones.

Los informes deben enviarse regularmente al profesor a lo largo del curso, mediante el correo electrónico. Serán penalizadas las entregas retrasadas y no se aceptarán entregas muy retrasadas. Además NO se aceptarán informes entregados todos juntos los últimos días de finalización del curso.