Protocolos VPN

Instituto Profesional Duoc UC Ingeniería en Conectividad y Redes Integración de Redes

1

INFORME PROTOCOLOS VPN

L2TP – DIFF-SERV – IPSEC

Profesor: Jaime Aguilera

Alumnos: César Vivanco - Wilson Bucherenick - Marcelo Puebla


2

INDICE INDICE INTRODUCCIÓN L2TP - LAYER 2 TUNNELING PROTOCOL

DEFINICIÓN

DESARROLLO

ARQUITECTURA

BENEFICIOS

DIFFSERV – SERVICIOS DIFERENCIADOS

DEFINICIÓN

CALIDAD DE SERVICIO (QoS)

ARQUITECTURA

PROTOCOLOS DE GESTIÓN DE POLITICAS (COPS)

IPSEC

DEFINICIÓN

PROTECCION CONTRA ATAQUES

AH - CABECERA DE AUTENTICACIÓN

ESP - CARGA DE SEGURIDAD ENCAPSULADA

CONCLUSIÓN

INTRODUCCIÓN

Las redes privadas virtuales (VPN) son redes que permiten enviar datos privados a través

de la red pública (Internet), los datos enviados por Internet son cifrados de manera que

toda la red es "virtualmente" privada. Un ejemplo típico será la red de una compañía

donde hay dos oficinas en ciudades diferentes. Usando Internet, las dos oficinas fusionan

en redes distintas, pero que al estar conectadas por VPN funcionan como una sola red

mediante el cifrado de esta red. Para realizar esta comunicación de un punto a otro, en el

mercado existen diferentes alternativas de protocolos y estándares, De los cuales en este

informe revisaremos en detalle sólo 3: L2TP, DIFFSERV e IPSec.


3

L2TP LAYER 2 TUNNELING PROTOCOL

El protocolo L2TP (Layer Two Tunneling Protocol) standard establecido por la Internet

Engineering Task Force (IETF) es un protocolo que nace de la combinación de las

mejores características de 2 otros protocolos actualmente utilizados para establecer

conexiones VPN:

L2F (Layer Two Forwarding – Reenvío de capa 2)

o Protocolo desarrollado por Cisco, que a diferencia del PPTP (Microsoft) no

depende de IP con lo cual es capaz de trabajar directamente bajo otros

protocolos.

o Utiliza PPP para la autenticación de usuarios remotos. Los túneles que

crea pueden soportar más de una conexión.

PPTP (Point to Point Tunneling Protocol – Protocolo de túnel punto a punto)

o Protocolo desarrollado por Microsoft, que trabaja dentro del protocolo PPP

para conexiones punto a punto principalmente en redes remotas. Es un

túnel del tipo voluntario que trabaja en arquitecturas cliente-servidor.

L2TP AL ESTAR BASADO EN L2F Y PPTP SE CONSIDERA UN PROTOCOLO PPP (POINT TO POINT)

ESTÁNDAR FUNDAMENTAL UTILIZADO PARA LA CONEXIÓN DE LAS ACTUALES REDES VPN.

DESARROLLO

Las redes tradicionales de Internet por acceso telefónico sólo trabajan con direcciones IP

registradas, característica que limita los tipos de aplicaciones que se implementan sobre

las redes VPN. L2TP soporta múltiples protocolos y direcciones IP no registradas a través

de Internet.

Esto permite que las Infraestructuras de acceso existentes, tales como Internet, acceso

por módems, servidores de acceso, adaptadores puedan ser utilizadas. Además permite a


4

los clientes empresariales externalizar sus servicios de soporte, reduciendo

considerablemente los costos de mantención de equipos y de sistemas a través de la

WAN.

ARQUITECTURA

DEFINICIONES DEL ESQUEMA:

Concentrador de acceso L2TP (LAC): Es un dispositivo el cual permite al cliente conectarse directamente mediante tramas con el servidor de red L2TP (LNS). El LAC sólo necesita establecer los medios de comunicación sobre la que L2TP comenzará pasar el tráfico entre uno o más LNSs. LAC puede encaminar cualquier protocolo PPP que lleve dentro de su entramado. El LAC es el iniciador de las llamadas entrantes y el receptor de llamadas salientes. Análoga a la Layer 2 Forwarding (L2F) de acceso al servidor de red (NAS).

Servidor de red L2TP (LNS): Es el punto de término para el túnel L2TP y punto de acceso en caso de tramas PPP que se procesan y se pasa a protocolos de la capa superior. Un LNS opera sobre cualquier plataforma con capacidad de transmisión PPP. El LNS gestiona el lado del servidor del protocolo L2TP. L2TP se basa sólo en los medios de comunicación sobre la que los túneles L2TP son transmitidos. El LNS puede tener una sola LAN o interfaz WAN, y aún así ser capaces de terminar las llamadas que llegan a cualquiera lugar de los países latinoamericanos con interfaces PPP (asincrónica y sincrónica, RDSI, V.120, etc.) El LNS es el iniciador de las llamadas salientes y el receptor de las llamadas entrantes. Análoga a la Layer 2 Forwarding (L2F) Home Gateway (HGW).

Con L2TP, un proveedor de servicios Internet (ISP) puede crear un túnel virtual para

conectar sitios remotos de atención al cliente o usuarios remotos con las redes

domésticas corporativa. El concentrador de acceso L2TP (LAC), ubicado en el punto

de presencia (POP) de el ISP y los intercambios de mensajes PPP con usuarios remotos,


5

se realizan por medio de peticiones y respuestas con clientes L2TP y servidores de red

L2TP (LNS) para establecer los túneles.

L2TP pasa el tráfico a la capa de paquetes del protocolo a través del túnel virtual entre los

extremos por conexiones de punto a punto. Los Frames enviados desde los usuarios

remotos son aceptados por los POP (Point of Presence) desde el ISP, encapsulándolas

en tramas L2TP y transmitiéndolas a través del túnel apropiado. El Gateway cliente

acepta estos frames L2TP, recibe la encapsulación L2TP, y procesa las tramas de

entrada para la interfaz adecuada.

En el siguiente esquema se muestra la estructura de comunicación del protocolo

BENEFICIOS:

Interoperabilidad de proveedores.

Puede ser una solución de gran escala que permite a los ISP, empresas de

telecomunicaciones o prestadores de servicios ofrecer servicios VPNs a otros

proveedores de servicios Internet (ISP) y otros proveedores de servicios

diferentes.

Puede ser el inicio de una solución VPN, en donde los clientes empresariales que

utilizan un PC, puede utilizar el cliente L2TP iniciado por un tercero.

Todas las características de valor agregado disponibles en la actualidad con el

protocolo L2F de Cisco, tales como el balanceo de carga y soporte de copia de

seguridad, estarán disponibles en futuras versiones de IOS que soporten L2TP.


6

DIFF-SERV SERVICIOS DIFERENCIADOS

DEFINICIÓN

En la actualidad, razones económicas han surgido para diferenciar el tráfico;Internet se ha

puesto mucho más en uso y se ha convertido en una misión crítica para ciertas

compañías.

Las tendencias en Internet hoy en día son caracterizadas por un fuerte crecimiento, por

procurar ofrecer servicios diversos sobre la red y por buscar simplificar la operación y la

gestión.

Actualmente la gran mayoría de los sistemas informáticos se basan en redes de datos, las

cuales deben soportar cada vez más funciones y aplicaciones.

El Protocolo de Internet (IP), ha terminado imponiéndose como el protocolo más usado

para el transporte e intercambio de información entre redes. El desarrollo de estas redes

de datos se está enfocando hacia la provisión de Calidad de Servicio (QoS o IPQoS), la

cual permite priorizar, controlar y realizar un seguimiento de las estadísticas de control.

Utilizando IPQoS, puede ofrece un nivel de servicio estable a los usuarios de la red.

La mayoría se las redes de datos no distinguen entre las diferentes aplicaciones que

transportan, por ejemplo, no diferencian entre una videoconferencia con determinado

requisito de ancho de banda y la navegación web de características completamente

diferentes.

El objetivo de la Calidad de Servicio en una red es cuantificar el tratamiento que un

paquete debe esperar a medida que circula por la red. El objetivo de una QoS

diferenciada (Diff-Serv), es el dar a ciertos paquetes un mejor trato y a otros un peor

trato.

CALIDAD DE SERVICIO (QOS)

Las redes IP reparten paquetes con un tipo de servicio conocido como “best effort” (BE),

lo cual equivale a “lo más posible, lo antes posible”. Los paquetes con este tipo de servicio

tienen la misma expectativa de tratamiento a medida que transita la red.


7

La calidad de servicio consiste en la capacidad de la red para reservar o priorizar algunos

de los recursos disponibles para un tráfico determinado con la intención de proporcionar

un determinado servicio. Debemos tener en cuenta que en la red se pueden utilizar

diferentes tecnologías de transporte (como pueden ser Frame Relay, X.25, SDH, ATM,

etc.) de manera que la implementación de QoS implica la interacción con estas

tecnologías y con los equipos de conmutación (Router y Switch), que son los que

finalmente determinarán el nivel de QoS alcanzado.

En telefonía IP un protocolo QoS prioriza paquetes provenientes del servicio de VoIP

frente a los demás para asegurar una buena calidad de voz, aun cuando el trafico de red

es alto.

Principalmente existen dos tipos de tecnologías que proporcionan calidad de servicio.

Una basada en reserva asignando recursos basándose en flujos de tráfico y otra basada

en la priorización de determinado tipo de tráfico. En comunicaciones IP se traduce en 2

modelos:

Intserv: basado en la utilización de algún protocolo de reserva (RSVP, ReSerVation Protocol) que permite la reserva de recursos a lo largo de los dispositivos de comunicación (Routers y Switch) implicados en la comunicación.

Diffserv: se basa en la división del tráfico en diferentes clases, y en la asignación de prioridades a los paquetes de datos. Utiliza diferente información de la cabecera de los paquetes (por ejemplo, DSCP – Diffserv

Code Point) para distinguir clasificar los paquetes y conocer el tratamiento

que debe recibir el tráfico en los distintos puntos de la red Diffserv.

Los servicios diferenciados (Diffserv) proporcionan mecanismos de calidad de servicio

para reducir la carga en dispositivos de la red a través de un mapeo entre flujos de tráfico

y niveles de servicio. Los paquetes que pertenecen a

una determinada clase se marcan con un código específico (DSCP – Diffserv

CodePoint). Este código es todo lo que necesitamos para identificar una clase de tráfico.

La diferenciación de servicios se logra mediante la definición de comportamientos

específicos para cada clase de tráfico entre dispositivos de interconexión, hecho conocido

como PHB (Per Hop Behavior).

Estas redes necesitan la incorporación de un servidor de recursos (o Bandwidth Broker)

por cada dominio DiffServ.


8

Diffserv plantea asignar prioridades a los diferentes paquetes que son enviados a la red.

Los equipos intermedios (routers y switch) tendrán que analizar estos paquetes y tratarlos

según sus necesidades. Esta es la razón principal por la que Diffserv ofrece mejores

características de escalabilidad que Intserv.

El grupo de trabajo de Diffserv de la IETF, se define en el campo DS (Differentiated

Services) donde se especificarán las prioridades de los paquetes. En el subcampo DSCP

(Differentiated Setvice CodePoint) se especifica la prioridad de cada paquete. Estos

campos son validos tanto para IPv4 como IPv6.

ARQUITECTURA

Nodos extremos DS: realiza diferentes funciones como el acondicionamiento de tráfico

entre los dominios Diffserv interconectados. Debe clasificar y establecer las condiciones

de ingreso de los flujos de tráfico en función de: dirección IP y puerto (origen y destino),

protocolo de transporte y DSCP, este clasificador se conoce como MF (Multi-Field

Classifier). Una vez marcados adecuadamente, los nodos internos deberán seleccionar el

PHB definido para cada flujo de datos.

Los nodos DS de entrada serán responsables de asegurar que el tráfico de entrada

cumple los requisitos de algún TCA (Traffic Conditioning Agreement), que es un

derivado del SLA, entre los dominios interconectados.

Los nodos DS de salida deberán realizar funciones de acondicionamiento de tráfico o TC

(Traffic Conformation) sobre el tráfico transferido al otro dominio DS conectado.

Nodos internos DS: podrá realizar limitadas funciones de TC, tales como remarcado de

DSCP.

Los nodos DS internos solo se conectan a nodos internos o a nodos externos de su propio

dominio. A diferencia de los nodos externos para la selección del PHB solo ser tendrá en

cuenta el campo DSCP, conocido como clasificador BA (Behavior Aggregate

Classifier).


9

PROTOCOLO DE GESTIÓN DE POLÍTICAS (COPS)

Dentro de este escenario que define Diffserv necesitamos algún modo de comunicación

para distribuir las políticas de calidad de servicio entre los elementos de red que las

necesiten. Existe un protocolo creado para tal efecto que nos permitirá resolver este

problema de comunicación.

El protocolo COPS (Common Open Policy Service) especificado, define un modelo

sencillo de clienteservidor que proporciona control de políticas para protocolos

con señalización de calidad de servicio.

El protocolo COPS se basa en sencillos mensajes de petición y respuesta utilizados para

intercambiar información acerca de políticas de tráfico entre un servidor de políticas y

distintos tipos de clientes.

El protocolo emplea un modelo cliente/servidor en el que el PEP (PEP, Policy

Enforcement Points) envía peticiones y actualizaciones al PDP (PDP, Policy Decision

Point), y el PDP responde con las decisiones tomadas.

El protocolo utiliza TCP como protocolo de transporte para asegurar así fiabilidad en el

intercambio de mensajes entre los clientes y el servidor.

COPS proporciona seguridad a nivel de mensaje mediante autenticación, protección

frente al reenvío (replay) e integridad de mensaje.

COPS permite además reutilizar otros protocolos de seguridad existentes para

proporcionar autenticación y proteger el canal entre el PEP y el PDP.

Debemos tener en cuenta que un dominio Diffserv puede estar formado por más de una

red, de manera que el encargado de la administración de esta, será responsable de

repartir adecuadamente los recursos de acuerdo con el contrato de servicio (SLA –

Service Level Agreement) entre el cliente y el proveedor del servicio.


10

IPSEC SEGURIDAD EN IP (INTERNET PROTOCOL SECURITY)

DEFINICION

IPSEC es una extensión del protocolo IP y un conjunto de protocolos cuya

función es asegurar las comunicaciones sobre IP. Fue diseñado en un principio

para IPv6, pero luego fue portado a IPv4, pudiéndose utilizar en ambas

versiones del protocolo IP.

IPSec tiene la capacidad de proporcionar seguridad a protocolos de capas

superiores dentro del modelo OSI/ISO. Otros protocolos como SSH, SSL, TLS

operarán en capas superiores a la capa 3 del modelo OSI de ISO. Como

también es el caso de TCP y UDP, protocolos de transporte, ya que estos son

encapsulados por la capa tres donde actúa IPSec.

IPSec emplea dos protocolos diferentes - AH y ESP - para asegurar la

autenticación, integridad y confidencialidad de la comunicación. Puede proteger

el datagrama IP completo o sólo los protocolos de capas superiores. Estos

modos se denominan, respectivamente, modo túnel y modo transporte.

Modo Túnel: el datagrama IP se encapsula completamente dentro de

un nuevo datagrama IP que emplea el protocolo IPSec. Modo Transporte: IPSec sólo maneja la carga del datagrama IP,

insertándose la cabecera IPSec entre la cabecera IP y la cabecera del protocolo de capas superiores.

Para proteger la integridad de los datagramas IP, los protocolos IPsec

emplean códigos de autenticación de mensaje basados en resúmenes (HMAC -

Hash Message Authentication Codes). Para el cálculo de estos HMAC los

protocolos HMAC emplean algoritmos de resumen como MD5 y SHA para

calcular un resumen basado en una clave secreta y en los contenidos del

datagrama IP. El HMAC se incluye en la cabecera del protocolo IPsec y el


11

receptor del paquete puede comprobar el HMAC si tiene acceso a la clave

secreta.

Para proteger la confidencialidad de los datagramas IP, los protocolos IPsec

emplean algoritmos estándar de cifrado simétrico como 3DES, AES y Blowfish.

PROTECCIÓN CONTRA ATAQUES

Para protegerse contra ataques por denegación de servicio, los

protocolos IPsec emplean ventanas deslizantes. Cada paquete recibe un

número de secuencia y sólo se acepta su recepción si el número de paquete se

encuentra dentro de la ventana o es posterior. Los paquetes anteriores son

descartados inmediatamente. Esta es una medida de protección eficaz contra

ataques por repetición de mensajes en los que el atacante almacena los

paquetes originales y los reproduce posteriormente.

Para que los participantes de una comunicación puedan encapsular y

desencapsular los paquetes IPsec, se necesitan mecanismos para almacenar

las claves secretas, algoritmos y direcciones IP involucradas en la

comunicación. Todos estos parámetros se almacenan en asociaciones de

seguridad (SA - Security Associations). Las asociaciones de seguridad, a su

vez, se almacenan en bases de datos de asociaciones de seguridad (SAD -

Security Asocciation Databases).

La familia de protocolos IPsec está formada por dos protocolos: el AH

(Authentication Header - Cabecera de autenticación) y el ESP (Encapsulated

Security Payload - Carga de seguridad encapsulada). Ambos son protocolos IP

independientes. A continuación se explicara brevemente la funcionalidad de los

protocolos AH y ESP

AH - CABECERA DE AUTENTICACIÓN

El protocolo AH protege la integridad del datagrama IP. Para

conseguirlo, el protocolo AH calcula una HMAC (Hash Message

Authentication Codes) basada en la clave secreta, el contenido del paquete

y las partes inmutables de la cabecera IP (como son las direcciones IP). Tras

esto, añade la cabecera AH al paquete.

El protocolo de cabecera de autenticación (AH) ofrece autenticación del origen

de los datos, integridad de los datos y protección contra la reproducción. Sin


12

embargo, AH no ofrece confidencialidad de datos, lo que significa que todos los

datos se enviarán como texto legible.

AH asegura la integridad de los datos mediante la suma de comprobación que

genera un código de autenticación de mensajes, como por ejemplo MD5. Para

asegurar la autenticación del origen de los datos, AH incluye una clave

compartida secreta en el algoritmo que utiliza para la autenticación. Para

asegurar la protección contra la reproducción, AH utiliza un campo de números

de secuencia dentro de la cabecera AH. Es importante observar que, a

menudo, estas tres funciones distintas se concentran y se conocen como

autenticación. En términos más sencillos, AH asegura que no se han

manipulado los datos mientras se dirigían a su destino final.

A pesar de que AH autentica el datagrama IP en la mayor medida posible, el

destinatario no puede predecir los valores de ciertos campos de la cabecera IP.

AH no protege estos campos, conocidos como campos mutables. Sin embargo,

AH siempre protege la carga útil del paquete IP.

ESP - CARGA DE SEGURIDAD ENCAPSULADA

El protocolo ESP puede asegurar la integridad del paquete empleando

una HMAC y la confidencialidad empleando cifrado. La cabecera ESP se genera

y añade al paquete tras cifrarlo y calcular su HMAC.

El protocolo ESP proporciona autenticidad de origen, integridad y protección de

confidencialidad de un paquete. ESP también soporta configuraciones de sólo

cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está

altamente desaconsejado porque es inseguro. Al contrario que con AH, la

cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo

túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo

la cabecera interna; la cabecera externa permanece sin proteger). ESP opera

directamente sobre IP.


13

CONCLUSIÓN

Con este informe podemos concluir que para todo proceso de comunicación que requiera

algún tipo de acceso de calidad privada y con disponibilidad de acceso remoto. El uso de

VPN nos permite conectar mediante protocolos PPP para establecer conexión virtual a

través de túneles que viajan por la WAN para conectar con servicios que antiguamente

solo podrían haber sido utilizados de manera local.

Pudimos conocer 3 tipos de protocolos VPN, los cuales son muy similares en

características pero varían directamente en el tipo de aplicación y de servicios que se

requieran comunicar.

Basándose en el concepto de conexiones Point to Point, Estos protocolos pueden

establecer conexiones virtuales locales y privadas a través de internet, dependiendo del

protocolo, por distintas capas de transmisión de tramas o paquetes según sea el caso. De

esta manera, se define el tipo y la calidad de servicio y las aplicaciones que serán

transimitidas a través de la Internet.

Protocolos VPN

Documents

Transcript of Protocolos VPN