Universidad Piloto de Colombia

Seguridad en la VPN´S

Ardila Castillo, Niguer

Niguer@8hotmail.com

Universidad Piloto de Colombia

Resumen- Las conexiones por redes LAN y WAN están reduciendo el costo y tiempo, para un mayor despliegue para las compañías, así centraliza toda su información y garantizando su disponibilidad, por medio de las VPN'S.

Significa una gran ventaja para las compañías que cuentan con múltiples sedes remotas, esto a conllevado a que se realicen ataques a estas infraestructuras, para acceder a la información confidencial.

La seguridad de las VPN’S se basa por medio software que cifra, certifica y autentica, contra firewalls para lograr hacer que la red sea impenetrable, pero esto solo es mitigable porque decir que la seguridad de una red está al 100 % es imposible.

Palabras claves — PPP, PPTP, protocolo, proxy, LAN, WAN,

router, SSL, TCP, IP, VPN, OSI, Modo túnel, L2TP, ISAKMP,

IPSEC, intranet, interred, internet, header, Gateway, Firewall,

ESP, DNS y Autenticación

Abstract- The connections through LAN and WAN networks

are reducing the cost and time, for a greater deployment for the

lines, thus centralizing all your information and guaranteeing its

availability, through the VPN's.

It means a great advantage for companies that have multiple

remote locations, this leads to attacks on these infrastructures, to

access confidential information.

VPN security is based on software that encrypts, certifies and

authenticates firewalls to make the Red Sea impenetrable, but

this is only mitigable because saying that the security of a

network is 100% is impossible.

Key words - PPP, PPTP, protocol, proxy, LAN, WAN, router,

SSL, TCP, IP, VPN, OSI, Tunnel mode, L2TP, ISAKMP,

IPSEC, intranet, interred, internet, header, gateway, Firewall,

ESP, DNS and Authentication.

I. INTRODUCCIÓN

Las conexiones por medio de VPN´S, han facilitado el acceso

a los recursos de la información de cualquier compañía, y

basándose en los pilares de la seguridad disponibilidad e

integridad.

En el pasado, cuando una empresa quería conectar su red a

máquinas en un control remoto ubicación se vieron obligados

a utilizar costosas líneas alquiladas para recibir lo que, por

hoy estándares, fue un desempeño menos que satisfactorio.

Con el despliegue generalizado de Internet y las tasas de

banda ancha cada vez mayores, la capacidad de conectar

recursos de red remotos usando Internet se volvió más

atractiva que la solución alquilada de alto costo.

Si bien el uso de recursos públicos hizo que el costo de la

conectividad remota sea sustancialmente menor. Sin embargo,

también presentaba un nuevo problema, a la seguridad. El uso

de una red pública para transmitir los datos privados abrió la

puerta a problemas de privacidad e integridad de datos, y una

forma de tratar con estos problemas es una red privada virtual

(VPN).

Probablemente la definición más simple para un VPN es una

red privada que en algún momento utiliza recursos públicos,

más comúnmente Internet. Es un sistema que permite

autenticación y cifrado de datos entre dos puntos finales. Esto

permite a las empresas mantener la seguridad y privacidad de

una red arrendada, mientras disfruta el costo y la velocidad

beneficios puestos a disposición por Internet.

Una vez que se crea el túnel VPN, diferentes tipos de usuarios

y recursos se puede acceder a través del túnel. Los

dispositivos móviles, como los PDA, pueden acceder a la

empresa servidores de correo electrónico para que puedan

mantenerse en contacto con clientes y socios comerciales;

servidor a servidor se puede compartir y los registros de

ventas se pueden cargar a la base de datos de la empresa sobre

la marcha.[20]

II. VPN SEGÚN SE CONECTIVIDAD

Las Redes Privadas Virtuales son conocidas a menudo como

conexiones VPN (Virtual Private Network). A través de una

red VPN los datos viajan cifrados y solamente podrán ser

descifrados por el destinatario y, por supuesto, por el emisor,

por lo cual todo el proceso resulta transparente para ambas

partes. De este modo no quedan expuestos a la captación

fraudulenta en su camino por la red.

La tecnología VPN permite la conexión a una red local desde

una localización remota, a través de otro tipo de red, como

por ejemplo internet. Una aplicación de ejemplo es la que se

da en muchas instituciones, donde solo son accesibles algunos

recursos desde equipos que se encuentran en su propia red

local por motivos de seguridad. Para permitir el acceso desde

fuera deberá crearse una conexión mediante VPN, lo que

«registrará» a nuestro equipo como perteneciente a la red

local y permitirá su acceso.

Para que todo el tráfico VPN pueda considerarse seguro, es

necesario que se garanticen cuatro principios básicos.[1]

Autenticación y autorización: Permite conocer en todo

momento que persona realiza las operaciones, para que tenga

Universidad Piloto de Colombia

las mismas garantías que si las realizara personalmente en la

empresa o institución.

No repudio: Garantiza que las tareas que se efectúen han sido

realizadas por la persona que se ha autenticado.

Integridad: Evita que los datos enviados o recibidos no

puedan ser modificados durante el trayecto ya sea por terceros

o fallos en la red.

Confidencialidad: Cifrar los datos enviados y recibidos para

que no sean entendibles si éstos son interceptados.[2]

Ilustración 1: conexión VPN.

Se caracteriza por que la mantiene un Proveedor Externo de

Acceso remoto (Ilustración 3) por medio de llamadas locales

o gratuitas y por Ubicuidad del acceso.

Una Instalación y soporte del Proveedor de servicio, Acceso

único al nodo central, tecnologías de acceso como: RT C,

ISDN, XDSL; movilidad IP que permite conectarse a usuarios

individuales a la Central a través de Internet o de otras redes

públicas con servicio seguro. Y una Seguridad reforzada por

el cliente. Sus beneficios son el ahorro económico para

reemplazar servidores RAS y conexiones de larga distancia

(dial-up) con conexiones ISP.

Ilustración 2: VPN de acceso remoto.

Una VPN de Intranet vincula la oficina remota o sucursal a la

red corporativa, a través de una red pública, mediante un

enlace dedicado al proveedor de servicio. La VPN goza de las

mismas cualidades que la red privada: seguridad, calidad de

servicio y disponibilidad, entre otras (Ilustración 3).

Una Intranet es una Red Privada a la cual tienen acceso

únicamente los dispositivos de una organización. Esos

dispositivos pueden conectarse directamente a la red cuando

están en la misma ubicación física, pero algunas veces es

necesario conectar a una red privada dispositivos que se

encuentran en otras ubicaciones en la misma ciudad, en el

mismo país, o en otro país.

Para esto se utilizan las conexiones de Red Privada Virtual, o

VPN, que usan protocolos que permiten el paso de la

información a través de los routers de la red pública de

manera encriptada (OpenVPN, L2TP/IPSec, SSTP,

GRE/IPSec, etc.)

Ilustración 3: VPN de acceso remoto.

Las VPN de extranet permiten un flujo selectivo de

información entre socios comerciales y clientes, con un

énfasis en control de acceso altamente granular y

autenticación fuerte. Por ejemplo, administradores de

seguridad puede otorgar privilegios de acceso específicos del

usuario a aplicaciones individuales que utilizan múltiples

parámetros, incluidos el origen y direcciones de destino,

grupo de usuarios de ID de usuario autenticado, tipo de

autenticación, tipo de aplicación (por ejemplo, FTP, Telnet),

tipo de cifrado, la ventana de día / hora e incluso por dominio.

Una VPN extranet podría usar un modelo de sitio de usuario a

central, en el que una sola compañía comparte información

con la cadena de suministro y socios comerciales, o un

modelo de sitio a sitio, como el Automotive Network

Exchange.

Si usa el modelo de usuario a sitio, los criterios de evaluación

son similares a los VPN de acceso remoto con la excepción

que el escritorio del usuario no estará bajo el control del sitio

central. Porque la computadora del usuario de extranet es bajo

el control de su propia política de seguridad de la compañía,

puede haber un conflicto en la política de seguridad,

implementado en la computadora de los usuarios. En general,

los socios de extranet en el modelo de usuario a sitio deberán

trabajar juntos para llegar a un acuerdo sobre la

implementación de la política de seguridad en el escritorio del

usuario, problemas de instalación del cliente VPN, servicio de

asistencia, mantenimiento continuo si un socio exige el uso de

un cliente VPN en particular y responsabilidad problemas si

la negligencia de un socio lleva al compromiso de la red del

otro socio. El hardware las plataformas compatibles con el

cliente VPN de un proveedor también serán un problema que

requerirá una encuesta de posibles plataformas que utilizarán

los socios remotos de la extranet. En su mayor parte, el acceso

basado en la web a menudo se usa como software cliente de

elección en entornos de extranet, y SSL a menudo se elige

como protocolo de seguridad.

Esto simplifica enormemente los problemas de configuración

y mantenimiento que deberán ser confrontados. Con una VPN

extranet, realmente lo hace no importa si todos los

Universidad Piloto de Colombia

participantes usan el mismo ISP, suponiendo que se

proporcione una calidad de servicio aceptable por el ISP

elegido. Todo lo que se requiere es que cada miembro del

grupo tenga algún tipo de acceso a la Internet. El software o

equipo VPN en cada sitio debe configurarse con la dirección

IP del Equipo VPN en el sitio principal de la extranet.

(Ilustración 4).[14]

Ilustración 4: VPN extranet.

III. REQUERIMIENTOS BÁSICOS EN VPNS.

Por lo general, al implementar una solución de red remota,

una compañía necesita facilitar el acceso controlado a los

recursos corporativos e información. La solución debe

permitir la libertar de conectar a clientes remotos a la red

LAN, así como las oficinas remotas se conecten entre sí para

compartir recursos e información (conexión de LAN a LAN).

Además, la solución debe garantizar la privacidad e integridad

de datos cuando atraviesa el Internet público. Lo mismo se

aplica en el caso de datos sensibles que cruzan una Intranet

corporativa.

Por lo tanto, una solución de VPN debe proporcionar todo lo

siguiente:

Autenticación del Usuario. La solución deberá

verificar la identidad del usuario y restringir el

acceso a la VPN para que sólo permita a los usuarios

autorizados, además de proporcionar auditorias y

grabar la contabilidad para mostrar quien accedió a

qué información y cuando.

Manejo de Direcciones. La solución deberá asignar

una dirección al cliente en la red privada, y

asegurarse que estas direcciones privadas se

mantengan privadas.

Encriptación de Datos. Los datos que viajan en la red

pública no podrán ser leídos por clientes no

autorizados en la red.

Administración de Llaves. La solución debe generar y

renovar las llaves de encriptación para el cliente y

servidor.

Soporte de protocolo múltiple. La solución debe poder

manejar protocolos comunes utilizados en la red

pública. Como son IP, IPX y sucesivamente.

En Internet la solución de VPN basada en el Protocolo de

Punto-a-punto (PPTP, Point-to-Point Protocol) o la capa 2

Protocolo de Túnel, Layer 2 Tunneling Protocol) reúne todos

estos requisitos básicos, y se aprovecha de la amplia

disponibilidad de Internet a nivel mundial. Otras soluciones,

incluso el nuevo IP Protocolo de Seguridad (IPSec, Security

Protocol), reúnen algunos de estos requisitos.[5]

IV. BASES DE TÚNEL.

Mecanismos de seguridad del nivel de red.

Es el mecanismo de seguridad más robusto de todos. Una

VPN es una conexión que tiene la apariencia y muchas de las

ventajas de un enlace dedicado, pero trabaja sobre una red

pública. Para este propósito utiliza una técnica llamada en

tunelamiento (tunneling), de tal forma que los paquetes de

datos son enrutados por la red pública (Internet o alguna otra

red comercial), en un túnel privado que simula una conexión

punto a punto. Este recurso hace que por la misma red puedan

crearse muchos enlaces por diferentes túneles virtuales a

través de la misma infraestructura.[15]

Algunos ejemplos de tecnologías maduras incluyen:

PPTP. fue la solución de Microsoft para crear redes

privadas virtuales. Con su uso podemos disfrutar de

ventajas y/o facilidades como: la multitud de

protocolos que puede transportar. Con IPsec solo

podíamos encapsular tráfico de red IP unicast. Y tan

sólo usando como intermediario el protocolo GRE, y

con IPsec funcionando en modo transporte,

podíamos encapsular otros tipos de protocolos como

IPX o tráfico multicast. Esto se debe a que PPTP usa

PPP como protocolo de transporte. Este uso de PPP

además nos permite usar la compresión MPPC y la

autenticación de usuarios mediante PAR, CHAP y

MS-CHAP. IPsec usa Xauth, pero esta solución aún

no es un estándar; No es necesario instalar ningún

tipo de cliente añadido para poder conectarte a esa

red remota segura si es que tus terminales de cliente

(PC's) usan el sistema operativo Windows.[16]

LT2P. Permite que se encripte el tráfico IP, IPX o

NetBEUl y posterior se remitirá sobre cualquier

medio que de el soporte a la entrega de datagramas

punto a punto, como IP, X.25, Frame Relay, o ATM.

IPSec. El Modo de Túnel IPSec deja encriptar los

paquetes y después encapsularlos en una cabecera IP

para enviarse a través de una red corporativa IP o

una red pública IP como el Internet.[6]

V. PROTOCOLOS DE TÚNEL.

PPTP o Protocolo de Túnel Punto a Punto (del inglés, Point-

to-Point Tunneling Protocol es un protocolo de red que

permite comunicaciones seguras entre clientes remotos y

servidores, empleando redes públicas como Internet.

Universidad Piloto de Colombia

Para establecer un túnel, tanto el túnel del cliente y el túnel

del servidor deberán utilizar el mismo protocolo de Túnel. La

tecnología de Túnel se puede basar en el Protocolo de Túnel

de la capa 2 o 3 que corresponden al Modelo de Referencia

OSI.

En un principio fue ideado para las VPN de acceso remoto,

aunque también puede ser usado en las VPN de punto a

punto.

Es un túnel voluntario que se crea mediante una conexión

dial-up, que opera en la capa 2 del modelo OSI (capa de

enlace de datos).

PPTP es una extensión del protocolo PPP, cuyos paquetes se

encapsulan en otros IP, y que incorpora otros mensajes de

control para gestionar el túnel.

Este protocolo únicamente se encarga de la creación y gestión

del túnel, por lo que, tanto para el cifrado de los datos como

para la autenticación de los usuarios, cada fabricante puede

emplear los protocolos que considere oportuno, lo cual puede

ocasionarnos problemas de compatibilidad.

Una vez que la conexión de control se ha establecido, se crea

el túnel PPTP propiamente dicho, que será el encargado de

transmitir la información encapsulada entre los interlocutores

de la comunicación.

El transporte de los datos se realiza a través de tramas PPP

encapsuladas mediante Encapsulación Genérica para Ruteo o

GRE (del inglés, Generic Routing Encapsulation), el cual

realiza únicamente este proceso, por lo que requiere ser

combinado con otros protocolos que añadan mecanismos de

seguridad.

El Protocolo de Túnel de Capa 2 (L2TP, del inglés Leyer 2

Tunneling Protocol) nació con el objetivo de ofrecer

conexiones seguras a través de Internet por las que realizar

transmisiones de información.

Desarrollado por un grupo de trabajo de IETF (especificado

en el estándar RFC 2661), ha ganado gran peso dentro del

ámbito de las redes privadas virtuales, convirtiéndose en uno

de los protocolos de referencia utilizados en estas tecnologías,

tanto en VPN de acceso remoto como en las de punto a punto.

Este protocolo encapsula tramas PPP para que puedan ser

transmitidas mediante redes IP, X.25, Frame Relay o ATM.

Debido a esta característica, puede ser empleado en la

creación de túneles para VPN a través de Internet, ofreciendo

en ellos un plus de seguridad al disponer de opciones de

compresión y/o cifrado de los datos cuando van a ser

enviados. También puede ser combinado con el protocolo

IPSec (que veremos a continuación) cuando los túneles

trabajan con paquetes ll), dando lugar a una configuración

denominada L2TP/lPSec, la cual garantiza un nivel de

protección de la información muy alto en las comunicaciones.

Además, L2TP tiene implementadas varias opciones de

autenticación de usuarios (CHAP, MS-CHAP, MS•CHAPv2,

EAP), permitiendo el uso de certificados digitales en estos

procesos para aumentar más su seguridad.

Es el extremo del túnel L2TP que unirá los clientes remotos a

un LNS para intercambiar información entre ellos, mediante

una conexión local o con un enlace PPP.

Este equipo deberá tener los elementos de conexión a la red, o

un sistema de terminación PPP que gestione el protocolo

L2TP.Los túneles de este protocolo pueden ser usados sobre

redes IP, como es el caso de Internet. El transporte de los

mensajes, tanto los de control como las tramas encapsuladas

de datos, se realiza mediante UDP.[17]

El protocolo de capa 2 corresponde al Nivel de Enlace de

Datos, y usa frames como su unidad de intercambio. PPTP,

L2TP y L2F son de capa 2.

Estos protocolos encapsulan el paquete en un PPP que será

enviado por la interred. El protocolo de capa 3 corresponde al

Nivel de Red y utilizan paquetes. IPSec e IP sobre IP son de

capa 3. Estos protocolos encapsulan los paquetes IP en una

cabecera IP adicional antes de enviarlos por una interred IP.

Para los protocolos de Túnel de capa 2 como PPTP y L2TP,

un túnel es similar a una sesión; los dos puntos finales del

túnel deben aceptar el túnel y negociar variables de la

configuración, tal como asignación de dirección o los

parámetros de encriptación o de compresión. En ambos casos

los datos transferidos atraviesan el túnel enviado usando un

protocolo de datagrama. El protocolo de mantenimiento del

túnel es usado como un mecanismo para administrar el túnel.

El túnel debe ser creado, mantenido y después terminado.

Para los protocolos de Túnel de capa 3 generalmente supone

todas las cuestiones de configuración son manejadas fuera de

banda, a menudo por procesos manuales. Para estos procesos,

no hay fase de mantenimiento de túnel.

Una vez que el túnel se establece, los datos del túnel pueden

ser enviados. El túnel cliente o servidor utilizan un protocolo

de transferencia de datos del túnel a fin de preparar los datos

para la transferencia.[7]

A. Protocolos y requerimientos básicos de túnel.

Se basan en el protocolo de PPP, el protocolo de Nivel 2

(PPTP y L2TP) heredan un conjunto de características útiles.

Estas características, y sus contrapartes de capa 3 cubren los

requerimientos de VPN básicos:[7]

Autenticación de Usuario. Los protocolos de túnel de

nivel 2 heredan al usuario la autenticación de

esquemas PPP, incluso los métodos de EAP. Los

esquemas de túnel de capa 3 asumen que los puntos

finales (endpoints) son conocidos (y autenticados)

antes que el túnel se establezca.

Soporte de tarjeta de señales. Usando EAP, el

protocolo de túnel de capa 2 soporta una amplia

variedad de métodos de autenticación, y las

Universidad Piloto de Colombia

contraseñas de "una sola vez", calculadoras

criptográficas, y tarjetas inteligentes. Los protocolos

de túnel de Nivel 3 usan métodos similares.

Asignación de Dirección Dinámica. El túnel de nivel 2

apoya la asignación dinámica de direcciones del

cliente basados en el Protocolo de Control de la Red

(NCP, Network Control Protocol) del mecanismo de

la negociación. Los esquemas de túnel de capa 3

asumen que una dirección ya ha sido asignada

anteriormente para inicializar el túnel.

Compresión de Datos. Los protocolos de túnel capa 2

soportan esquemas basados en esquemas de

compresión PPP. El IETF está investigando

mecanismos similares para los protocolos de túnel

capa 3.

Encriptación de Datos. Los protocolos de túnel de capa

2 soportan mecanismos basados en la encriptación de

datos PPP. Los protocolos de túnel capa 3 pueden

usan métodos similares.

Administración de llaves. MPPE, un protocolo de capa

2, se basa en las claves iniciales generadas durante la

autenticación del usuario, y luego la renueva

periódicamente. IPSec, explícitamente negocia una

llave común durante el intercambio de ISAKMP, y

también la renueva periódicamente.

Soporte de protocolo múltiple. Los protocolos de túnel

de capa 2 soportan múltiples cargas de protocolos, lo

cual hace sencillo para los clientes del túnel acceso a

la red de la corporación usando IP, IPX, NetBEUl, y

más. Los protocolos de túnel de capa 3 como el

modo de túnel IPSec, soporta solo tarjetas de redes

que usan el protocolo de IP.

B. Tipos de túnel.

Diversos proveedores que venden servidores de acceso de

marcación han implementado la capacidad para crear un túnel

en nombre del cliente de marcación. La computadora o el

dispositivo de red que proporciona el túnel para la

computadora del cliente se conoce como Procesador Frontal

(FEP) en PPTP, Concentrador de Acceso L2TP en L2TP, o

un Gateway de seguridad en IP en IPSec. FEP describe esta

función sin tomar en cuenta el protocolo de túnel.

FEP debe tener instalado el protocolo de túnel apropiado y ser

capaz de establecer el túnel cuando se conecte la computadora

cliente Ilustración 5. FEP puede establecer túneles a través de

Internet a un servidor de túnel conectado a la red privada de la

corporación, y así logra fortalecer las llamadas de diversas

zonas geográficas en una sola conexión a Internet en la red

corporativa.[7]

Ilustración 5: Túnel obligatorio.

Esta configuración se conoce como Túnel Obligatorio, debido

a que el cliente está obligado a usar el túnel creado por el

FEP. Una vez la conexión inicial está hecha, todo el tráfico de

la red para y del cliente es enviado automáticamente a través

del túnel. Con túneles obligatorios, la computadora del cliente

hace una simple conexión PPP, y cuando un cliente marca al

NAS, un túnel es creado y todo el tráfico es automáticamente

enrutado a través del túnel. El FEP puede ser configurado

para hacer un túnel a todos los clientes de marcación hacia un

servidor específico del túnel. Además, el FEP podría hacer

túneles individuales de clientes basados en el nombre o

destino del usuario.

Un túnel entre el FEP y servidor del túnel puede ser

compartido por múltiples clientes de marcación. Cuando un

segundo cliente marca al FEP para alcanzar un destino para el

cual un túnel ya existe, no hay ninguna necesidad de crear una

nueva instancia del túnel entre el FEP y servidor del túnel.

El tráfico de datos para el nuevo cliente es llevado sobre un

túnel existente y puede haber múltiples clientes en un solo

túnel, pero el túnel no es terminado hasta que el último

usuario se desconecta del túnel.

Un servidor de acceso de marcación VPN capaz configura y

crea un túnel obligatorio. Con un túnel obligatorio, la

computadora del usuario no es un punto terminal del túnel.

Otro dispositivo, el servidor de acceso remoto, entre la

computadora del usuario y el servidor del túnel es el punto

terminal del túnel y actúa como el cliente del túnel.

Un túnel voluntario ocurre cuando una estación de trabajo o

ruteador de servidor utiliza el software del cliente del túnel,

para crear una conexión virtual al servidor del túnel objetivo.

Para esto, el protocolo de túnel apropiado debe ser instalado

en la computadora del cliente. Para los túneles voluntarios se

requiere una conexión IP (a través de una LAN o por

marcación).

En una situación de marcación (dial-up), el cliente debe

establecer una conexión de marcación antes que el cliente

pueda establecer un túnel.

En una PC conectada a una LAN, el cliente ya tiene una

conexión a la interred que puede proporcionar enrutamiento a

los paquetes encapsuladas al servidor del túnel LAN

escogido.

Es un concepto erróneo común que las VPN requieran una

conexión de marcación. Solo se requiere una red IP. Algunos

clientes (PCs de casa) usan conexiones de marcación a

Universidad Piloto de Colombia

Internet para establecer transporte IP. Éste es un paso

preliminar en la preparación para crear un túnel, y no es parte

del protocolo del túnel mismo. [7]

VI. PROTOCOLO DE PUNTO A PUNTO (PPP).

El protocolo punto a punto (PPP, «Point to Point Protocol»)

permite transportar datagramas de múltiples protocolos sobre

enlaces punto a punto que proporcionan comunicación

simultánea en ambos sentidos y en los cuales los paquetes se

entregan en orden.

Componentes del protocolo:

Un método para encapsular datagramas: Las unidades de

transmisión de nivel de red, o datagramas, se trocean en

paquetes, que son las unidades básicas de encapsulado. A

cada uno de estos paquetes se le añade una cabecera que

contiene un identificador del tipo de paquete, dando lugar a

una trama, que constituye la unidad de transmisión en el nivel

de enlace de datos y que es denominada trama PPP.

1. Un protocolo de control del enlace (LCP, «Link Control

Protocol»). Este protocolo se utiliza para realizar las

siguientes funciones:

— poner de acuerdo con las dos partes sobre las opciones de

formatos de encapsulado (por ejemplo, para determinar el

tamaño máximo de los paquetes);

— detectar problemas de configuración entre las partes; y,

opcionalmente,

— autenticar a las partes,

— testear el funcionamiento del enlace.

2. Una familia de protocolos de control del nivel de red

(NCP, «Network Control Protocol») para establecer y

configurar diferentes protocolos de nivel de red.

En concreto, dentro de esta familia de protocolos, el protocolo

de control IP (IPCP, «Internet Protocol Control Protocol») es

el responsable de configurar, habilitar e inhabilitar los

módulos del protocolo IP en ambos extremos del enlace.

Adicionalmente, el protocolo IPCP también puede utilizarse

para asignar la dirección IP a una de las partes

(habitualmente, a la que accede remotamente desde el enlace

punto a punto establecido sobre la red de acceso externa). [8]

Como consecuencia de lo anterior, a través del enlace punto a

punto circulan, encapsulados en tramas PPP, paquetes

correspondientes a cada uno de los distintos niveles del

protocolo:

a) Paquetes de red conteniendo información de usuario (por

ejemplo, datagramas IP). Sobre un mismo enlace, además, es

posible multiplexar paquetes de diferentes

protocolos de red.

b) Paquetes de los protocolos de control del nivel de red

(NCP).

c) Paquetes del protocolo de control del enlace (LCP).

d) Por último, paquetes de red que, por su bajo volumen de

tráfico no requiere ningún protocolo de control asociado.[8]

PPP es un protocolo de capa 2, diseñado para enviar datos a

través de conexiones de marcación o de Punto a Punto

dedicadas. PPP encapsula paquetes IP, IPX, y NetBEUl

dentro de frames de PPP, luego transmite los paquetes PPP

encapsulados a través de un enlace punto a punto. PPP se usa

entre un cliente telefónico y un NAS. [8]

Hay cuatro fases distintas de negociación en una sesión

telefónica PPP, y deben completarse exitosamente antes que

la conexión PPP esté lista para

transferir los datos del usuario.

Fase 1: Establecer un enlace PPP. PPP usa el

Protocolo de Control de Enlace (LCP, Link Control

Protocol) para establecer, mantener, y terminar la

conexión física. En la fase inicial de LCP, se

seleccionan opciones de comunicaciones básicas.

Durante la Fase 1, se seleccionan los protocolos de

autenticación, pero no se llevan a cabo hasta la fase

de autenticación de conexión (Fase 2). De manera

similar, durante una decisión LCP se toma una

decisión acerca de que si dos iguales negociarán el

uso de compresión y/o encriptación. La elección real

de algoritmos de compresión / encriptación y otros

detalles ocurre durante la Fase 4.

Fase 2: Autenticar al usuario. La PC cliente presenta

las credenciales del usuario al servidor de acceso

remoto. Un esquema de autenticación seguro

proporciona protección contra ataques de repetición

y personificación de clientes remotos.

Muchas de las implementaciones de PPP proporcionan

métodos de autenticación limitados como PAP, CHAP y

MSCHAP. [8]

PAP es un esquema simple y claro de autenticación de texto,

este esquema de autenticación no es seguro porque una

tercera parte pudiera capturar el nombre del usuario y

contraseña y podría usarlo para conseguirle acceso

subsecuente al NAS y a todos los recursos proporcionados

por el NAS. PAP no proporciona ninguna protección contra el

ataque de reproducción o la personificación del cliente remoto

una vez que se compone la contraseña del usuario.[9]

CHAP (Ilustración 6) es un mecanismo de autenticación

encriptado que evita la transmisión de contraseñas reales en la

conexión. El NAS envía una petición (challenge) que consiste

en una ID de sesión y una cadena de petición arbitraria, para

el cliente remoto. El cliente remoto debe usar el algoritmo de

control unidireccional MD5 para devolver el nombre del

usuario y una encriptación de la petición, la sesión ID, y la

contraseña del cliente. El nombre del usuario se envía sin

digerir (unhashed).

CHAP es una mejora sobre PAP en cuanto a que no envía la

contraseña del texto claro sobre el enlace. Y la contraseña se

usa para crear un hash encriptado para la petición original.

CHAP protege contra los ataques de reproducción empleando

una cadena de petición arbitraria para cada intento de

Universidad Piloto de Colombia

autenticación. CHAP protege contra la personificación del

cliente remoto de manera impredecible enviando

repetidamente peticiones al cliente remoto por todas partes

durante la conexión.[9]

Ilustración 6: Proceso CHAP.

MS-CHAP es un mecanismo de autenticación de encriptación

muy similar al CHAP. Este diseño manipula una verificación

del MD4 de la contraseña, proporciona un nivel adicional de

seguridad, porque permite al servidor guardar contraseñas

verificadas en lugar de las contraseñas del texto transparentes.

El MS-CHAP proporciona códigos adicionales de error,

códigos de contraseñas ya expiradas y mensajes adicionales

de cliente-servidor encriptadas que permite a los usuarios

cambiar sus contraseñas. [9]

Durante la fase 2 de la configuración del enlace de PPP, el

NAS recopila los datos de autenticación y luego valida los

datos contra su propia base de datos del usuario o contra un

servidor central de base de datos de autenticación.

Fase 3: Control de Retorno de PPP. En esta fase se

utiliza el Protocolo de Control de Retorno de

Llamada (CBCP) inmediatamente después de la fase

de autenticación. Esto proporciona un nivel adicional

de seguridad para las redes de marcación. NAS

permite conexiones de clientes remotos que residen

físicamente sólo en números telefónicos específicos.

Fase 4: Invocación de Protocolos de Nivel de Red.

Una vez que las fases anteriores se han completado,

PPP invoca varios Protocolos de Control de Red

(NCP) que son seleccionados durante la fase de

establecimiento de enlace (Fase 1) para configurar

protocolos usados por el cliente remoto.

Fase de transferencia de datos. Una vez se han

completado las cuatro fases de negociación, PPP

empieza a transmitir datos hacia y desde las dos

partes. Cada paquete de datos transmitido se

encapsula en un encabezado de PPP que es

eliminado por el sistema receptor. Si la compresión

de datos se seleccionó en la fase I y se negoció en la

fase 4 los datos serán comprimidos antes de la

transmisión. Pero si se seleccionó y se negoció de

manera similar la encriptación de datos, los datos

(opcionalmente comprimidos) se encriptarán antes

de la transmisión.

VII. PROTOCOLO DE TÚNEL DE PUNTO A PUNTO.

La desventaja de PPTP es que su seguridad es más débil que

la seguridad que nos permite IPsec. En el funcionamiento de

PPTP entran en juego tres entidades: PAC, PNS y el cliente

remoto.

PAC: Es el terminador del túnel seguro que se encuentra en el

lado del cliente remoto. Su función es encriptar y desencriptar

la información que viaja por el túnel PPTP para que de esta

forma se pueda liberar al cliente de esta carga. En la

actualidad las funciones de LAC y cliente remoto pueden ser

desarrolladas por el equipo del cliente.

PNS: Es la puerta de enlace segura que termina el otro

extremo del túnel PPTP y lo conecta con la red privada a la

que el cliente remoto quiere conectarse. También realiza las

funciones de encriptación y autenticación del PAC y del

cliente remoto.

Cliente remoto: Es un usuario de la red privada pero

localizado físicamente fuera de ella. Este puede o bien,

utilizar el PAC para conectarse a al PNS y por consiguiente a

la red remota, 0 funcionar sin necesidad del PAC. Este cliente

está corriendo Windows en su equipo.

Para poder iniciarse y mantenerse el túnel PPTP se requiere

de dos conexiones. Una TCP de control y la propia conexión

segura que utiliza una versión especial de GRE que encapsula

el tráfico PPP.

Para crear el túnel, el LAC o el PNS inicia una conexión TCP

con puerto Origen y destino 1723. Esta conexión de control se

mantiene activa durante todo el tiempo que dure la conexión

segura. Si se terminase esta conexión, también acabaría con

ella la conexión segura. Esta conexión de control además de

solicitar el inicio de la conexión, la mantiene mediante unos

ecos. Cuando se quiere terminar la conexión segura también

se solicita su cierre desde esta conexión de control.

Una vez se ha acordado el inicio de la conexión, empieza la

negociación PPP. PPP pasa por cuatro etapas antes de estar

operativo. La primera es LCP, en esta etapa el PAC y el PNS

negocian el tipo de autenticación que van a usar, la activación

de la compresión o el uso del "call back".

Cuando la fase LCP ha terminado con éxito, la conexión toma

el estado de "open" y se inicia la fase de autenticación. PPP

soporta cuatro tipos de autenticación: PAP, CHAP, MS-

CHAPv1 y MS-CHAPv2. La autenticación PAP es la más

básica y menos segura. En este modo el PAC y el PNS se

envían en texto plano su nombre de usuario y contraseña.

Estos mismos, usando sus bases de datos locales, o mediante

un servidor AAA externo, comprueban si la password enviada

es correcta para ese usuario. Tanto el PAC como el PNS

tienen que conocer previamente el nombre de usuario y

contraseña de los posibles usuarios válidos. El modo de

autenticación CHAP es más seguro. Cando el PNS (o el PAC)

recibe una llamada de petición, envía al causante de esa

llamada un paquete que contiene su identificativo y un

número creado aleatoriamente, a esto se le llama "desafío". La

entidad que realizó la llamada lee del paquete desafío el

identificativo del creador de este, y así busca la password que

Universidad Piloto de Colombia

necesita usar para loguearse con él. Una vez encontrada, la

hace pasar por una función MD5 junto con el número

aleatorio recibido. Añade a esta información su nombre de

usuario y se lo devuelve al remitente. El remitente (y lanzador

del desafío) realiza los mismos pasos y compara el hash MD5,

que han de ser iguales. Como puede observarse este método

es mucho más seguro debido a que las contraseña ni siquiera

viajan por la red. MS-CHAP es una modificación de este

último método. Este nos permite usar usuarios creados en un

"Active Directory". Además, durante el proceso de

autenticación se crea una contraseña que se podrá usar para

encriptar el tráfico mediante MPPE. Esta contraseña va

cambiando a lo largo de la vida de la conexión. Es más, no

podemos encriptar el tráfico que circula por la VPN PPTP si

no usamos este tipo de autenticación.

La tercera etapa es Call back, que permite, una vez

autenticadas las entidades de la conexión, cortar la

comunicación para que el PNS llame al PAC y continuar la

comunicación. Esto se da porque PPP es un protocolo

pensado inicialmente para usarse en redes que requerían

marcación, como RTB o ISDN. Con esto se aseguraba que era

el verdadero PAC y no un farsante el que estaba tratando de

conectarse, porque el PNS iba a marcar el número del PAC

que el poseía en su agenda y así continuar con la sesión.

La última etapa es NCP. En esta etapa se negocian los

parámetros del protocolo de capa 3 (red) que se va a

transportar dentro de PPP. Como el protocolo más usado es

IP, Se inicia IPCP. En él se negocia por ejemplo la dirección

IP que se le va a asignar al cliente remoto. Cando esta cuarta

etapa termina satisfactoriamente, adquiere el estado de

"Open" y entonces ya puede empezar la comunicación del

cliente final con la red segura.[18]

Ilustración 7: Proceso CHAP.

VIII. TRANSMISIÓN DE NIVEL 2.

El protocolo de reenvío de capa 2 (L2F) fue desarrollado por

Cisco aproximadamente al mismo tiempo que PPTP. L2F no

se usó ampliamente en el mercado de consumo debido a su

requerimiento de hardware L2F. A diferencia de PPTP, donde

está instalado el software de cliente VPN e iniciado desde el

cliente, L2F no requiere ningún software de cliente VPN. Una

conexión L2F está destinada a ser realizada por hardware

L2F. Este hardware está diseñado para estar en el ISP. Un

cliente haría una conexión PPP típica con el ISP. El ISP

iniciará la conexión del túnel L2F en el puerto UDP 1701 al

servidor L2F en la sede corporativa. Esto requiere

coordinación entre el ISP y la red corporativa trabajo. L2F se

basa en la autenticación PPP para pasar al servidor de

autenticación corporativo. [11]

IX. PROTOCOLO DE LA CAPA 2 DE TÚNEL.

El protocolo L2TP se creó a partir de la combinación de dos

Otros protocolos: el Protocolo de túnel punto a punto (PPTP),

que especifica la tunelización de PPP; y el protocolo de

reenvío de capa 2 (L2F), que especifica el túnel de PPP y

SLIP. Tanto PPTP como L2F fueron diseñados en el modelo

de operación que desde entonces se conoce como túnel

obligatorio, y ambos protocolos todavía se usan hoy en día. El

objetivo de ambos protocolos era permitir la separación de lo

físico hardware de conexión (módems) desde el software de

control comunicación a través de las conexiones físicas (es

decir, PPP o SLIP).

Muchos de los aspectos arquitectónicos de PPTP y L2F son

similares porque ambos protocolos comienzan con el modelo

de túnel obligatorio el funcionamiento general de PPTP, L2F

y L2TP es, por lo tanto, muy similar.

aunque los detalles de sus mecanismos pueden diferir. Por

ejemplo, todos tres especifican el uso de un canal de control.

En PPTP, el canal de control está sobre una conexión TCP, y

el procesamiento de datos está sobre una conexión GRE, en

L2F el canal de control se diferencia del tráfico de datos

dentro del encabezado específico de L2F y sin comunicación

particular Se presupone el método, aunque para las redes IP

L2F opera sobre UDP L2TP hereda el diseño de su canal de

control más de L2F que de PPTP; sobre redes IP L2TP opera

sobre UDP. Los tres los protocolos especifican mecanismos

para recibir llamadas entrantes y realizar llamadas salientes.

Aunque L2F y PPTP se desarrollaron en el modelo de túnel

obligatorio, PPTP también se implementa como software de

cliente permitiendo el modo de operación de túnel

voluntario.[11]

L2TP encapsula datos de aplicación, datagramas de

protocolos LAN e información de tramas punto a punto

dentro de un paquete que, además contiene una cabecera de

entrega, una cabecera IP y una cabecera GRE (Generic

Routing Encapsulación). La cabecera de entrega mantiene la

información de tramas para el medio a través del cual se

establece el túnel. La cabecera IP contiene las direcciones IP

de fuente y destino. GRE incluye extensiones como la de

señalización de llamada, que añaden inteligencia de

conexión.[19]

L2TP no encripta los datos como parte de su administración

de túnel, es capaz de transportar numerosos protocolos de

Nivel IP, IPX, NetBEUl, etc. L2TP ha sido definido para el

uso sobre varios paquetes de media incluyendo PPP, X.25,

Universidad Piloto de Colombia

Frame Relay, y ATM. Muchas implementaciones se enfocan

al uso de UDP sobre IP. [11]

La Ilustración 8 muestra cómo un paquete L2TP se forma

antes de la transmisión. Se muestra a un cliente remoto que

crea un túnel a través de una interred. La capa final de la

trama muestra la encapsulación para el cliente (Controlador

de Dispositivo PPP). La encapsulación asume L2TP sobre IP.

Ilustración 8: Paquetes L2TP.

A. Elementos de una red L2TP.

Para formar un túnel, L2TP emplea dos funciones básicas:

LAC (Concentrador de acceso L2TP) y LNS (Servidor de red

L2TP). LAC realiza funciones de servidor de línea para el

cliente (ilustración 9), mientras que LNS actúa como servidor

de red en el lado del servidor (Ilustración 10). [11]

Por ejemplo, si L2TP reside en el LAC de un punto de

presencia del operador, LAC iniciará un túnel cuando el

usuario remoto active una conexión PPP con un proveedor de

servicios Internet. Después de realizar la autenticación inicial,

LAC acepta la llamada y añade las diferentes cabeceras

comentadas a la carga útil de PPP, y establece un túnel hacia

el dispositivo de terminación LNS del extremo de la red

corporativa. El LNS puede ser un Servidor de Acceso

Remoto, un Conmutador VPN especializado o un router

convencional.

Ilustración 9: LAC.

Ilustración 10: LNC.

En este caso, el host contiene el software cliente LAC que ya

ha sido conectada al Internet público. Una conexión PPP

virtual es creada y el software LAC cliente del L2TP local

crea un túnel al LNS (ilustración 11). Este tipo de túneles

voluntarios están demostrando ser el tipo más popular de

túnel. [11]

Un computador de un usuario o del cliente puede emitir una

solicitud VPN para configurar y crear un túnel voluntario. En

este caso, la computadora del usuario es un punto terminal del

túnel y actúa como un cliente del túnel. Un host que corre

L2TP puede participar en túnel para la LAN sin usar una LAC

separada.

Una Sesión L2TP es creada entre el LAC y LNS cuando una

conexión PPP extremo a extremo es establecida entre el

sistema remoto y el LNS. (ilustración 11) Los datagramas

relacionados para la conexión PPP son enviados sobre un

túnel Una vez establecido el túnel, entre LAC y LNC.

Una vez establecido el túnel, un servicio de nombres de

seguridad o el servicio de nombres y la seguridad integrada en

Windows NT, se autentifica las identidades del usuario y del

punto final. LNS acepta el túnel y establece una interfaz

virtual para el paquete PPP. A las tramas entrantes se les

elimina la información de cabecera de L2TP y se les procesa

como si fueran tramas PPP normales. Entonces se asigna a la

sesión una dirección IP corporativa local. (Ilustración 12).

Ilustración 11: Túnel Voluntario.

Ilustración 12: Sesión L2TP.

En el Proceso L2TP usa PPP para crear una conexión de

marcación entre el cliente y el RAS. Estableciendo una

conexión física, y se realiza una primera autenticación, se

crean datagramas PPP y se termina la conexión. Cuando se

usa L2TP para establecer un túnel, primero se encapsulan

paquetes PPP para usar sobre un medio de transmisión, se

Intercambian mensajes de control para instalar y mantener un

túnel. Se crea una llamada ID y/o un identificador de túnel

para cada sesión y se incluye en la cabecera de L2TP. [11]

Universidad Piloto de Colombia

L2TP junto con IPSec provee la funcionalidad y la protección

que le hace falta, en la autenticación de paquete a paquete

cuando salen de los túneles abiertos haciéndolos vulnerables a

ataques como fisgoneos, modificación de datos y secuestro de

sesiones. L2TP incluye un túnel identificador para cada túnel

individual y así puede ser identificado desde una sola fuente

(Ilustración 13). [11]

Ilustración 13: Proceso L2TP.

PPP define un mecanismo de encapsulación para

transportación de paquetes de multi protocolos a través del

Nivel 2 con enlaces de punto a punto. Un beneficio obvio de

cada separación es que en lugar de requerir la conexión de

capa 2 terminada del NAS (requiere un cargo de larga

distancia) la conexión quizá termine con un circuito

concentrador local, el cual extiende la sesión lógica PPP

sobre una infraestructura compartida, el cual es un Circuito

Frame Relay o de Internet. Desde la perspectiva del usuario

no hay una diferencia funcional entre el circuito de capa 2

terminado en un NAS directamente o usando L2TP [11]

.

Fase I. Un ISP autentifica una llamada a un número

telefónico, el número llamado, o nombre de usuario

para determinar o no, si el servicio L2TP [3]

es

requerido.

Fase 2. El Servidor de la red corporativa decide o no,

aceptar la llamada, basada en CHAP, PAP, EAP u

otra información de autenticación desde el ISP.

Fase 3. Después la llamada es aceptada, el servidor de

red puede inicializar otra fase de autenticación para

el nivel PPP.

C. PPTP y L2TP.

Tanto PPTP y L2TP usan PPP para mantener un nivel inicial

de los datos, y luego incluir encabezados adicionales para

transportarse a través de la interred. Ambos protocolos son

similares, pero existen diferencias. [11]

PPTP requiere que la interred sea de tipo IP, y L2TP requiere

que los medios de comunicación del túnel proporcionen una

conectividad de punto a punto orientada a paquetes. Se puede

utilizar L2TP sobre IP (uso de UDP), Circuitos Virtuales

Permanentes (Pvcs), Circuitos Virtuales X.25 (VCs), o ATM

VCS. PPTP sólo puede soportar un sencillo túnel entre los

puntos terminales.

L2TP permite el uso de múltiples túneles entre los puntos

terminales y se pueden crear diferentes túneles para diferentes

calidades de servicio. Proporciona la compresión de

encabezados. Cuando la compresión se habilita L2TP opera

con 4 bytes adicionales, y PPTP con 6 bytes. L2TP

proporciona la autenticación de túnel, mientras PPTP no lo

hace. [11]

Cuando se utiliza cualquier protocolo sobre IPSec, se

proporciona la autenticación del túnel por IPSec.

X. PROTOCOLO DE SEGURIDAD DE INTERNET.

IPsec es una colección de múltiples protocolos relacionados.

Es usado como una solución completa de protocolo VPN o

simplemente como un esquema de encriptación para L2TP o

PPTP. IPsec es un protocolo de túnel de capa 3. Válido para

IPv4 como IPv6, permite definir los protocolos de seguridad,

los algoritmos criptográficos y las claves manejadas entre los

sistemas que se comunican.

IPSec soporta la transferencia protegida de información a

través de una interred IP, y define el formato del paquete para

un IP sobre un modo de túnel IP, generalmente llamado como

Modo de túnel IPSec. Un túnel IPSec consiste en un cliente

del túnel y servidor del túnel, ambos configurados para usar

los túneles IPSec y un mecanismo de encriptación negociado.

El modo de túnel IPSec usa el método de seguridad negociado

para encapsular y encriptar los paquetes IP, para una

transferencia segura por una interred IP privada o pública. Así

el paquete encriptado se encapsula con un encabezado IP de

texto y se envía en la interred para la entrega al servidor del

túnel. Al recibir este datagrama, el servidor del túnel procesa

y descarta el encabezado IP de texto y luego desencripta su

contenido, para recuperar del paquete el paquete original IP.

Enseguida se procesa el paquete de Paquete de IP de manera

normal y se enruta a su destino en la red designada.[12]

El Modo de Túnel IPSec soporta solamente tráfico IP,

funciona al fondo de la pila IP. Es controlado por una política

de seguridad que establece los mecanismos de encriptación y

del túnel disponible en orden preferencial, así como los

métodos de autenticación disponibles.

Una de las características más importantes de IPSec es su

compatibilidad con las redes IP actuales. IPSec puede

dividirse básicamente en mecanismos de gestión de claves,

mecanismo de creación de asociaciones seguras y algoritmos

criptográficos para autenticación y cifrado. Estos servicios

son provistos de IP de nivel 2 y ofrecen protección para IP y

para los protocolos de niveles superiores.

Los protocolos de seguridad definen la información que se ha

de añadir a la cabecera de un paquete IP para proporcionar los

servicios de seguridad requeridos (AH y ESP).

La gestión de claves puede ser manual o automática. La

gestión automática de claves se realiza mediante IKE (Interna/

Key Exchange). Los mecanismos criptográficos que emplea

IPSec son el intercambio de claves basado en el algoritmo

Diffie-Hellman, criptografía de clave público, algoritmos

Universidad Piloto de Colombia

simétricos de cifrado de datos (DES, IDEA...), algoritmos

hash con clave (HMAC), y otros más tradicionales (MD5 y

SHA), para proporcionar autenticación de paquetes, y manejo

de certificados digitales. [12]

IPSec combina estos mecanismos criptográficos para ofrecer

confidencialidad, integridad y autenticidad a los datagramas

IP. IPSec no define los algoritmos específicos a utilizar, sino

que proporciona un mecanismo para que las entidades

negocien aquellos que emplearán en su comunicación.

A. Cabeceras IPSec

IPSec hace uso de dos cabeceras: la cabecera de

Autenticación (AH, Autenticación Header) para autenticar

usuarios y la Carga de Encripción Segura (ESP, Encryption

Security Paquete) para proveer confidencialidad. Esas nuevas

cabeceras se colocan después de la cabecera IP y antes de la

de nivel de transporte.[12]

La autenticación permite un sistema final o dispositivo de red

para autenticar a usuarios y filtros correspondientes. Ayuda en

la prevención de los ataques de redes basadas en la

suplantación de identidad o reproducción. La autenticación se

realiza basándose en un secreto compartido.

Algunas formas son: criptografía de clave pública, firma

digital, MPPE (protocolo que sirve para encriptar los datos de

las transmisiones), MSCHAP v1. y v2. (sirve para establecer

la conexión segura y el intercambio de las claves),

IPIP(protocolo de encapsulamiento de IP sobre tramas IP, y

sirve para hacer el túnel que se marca como uno de los

requisitos de VPN), IP-GRE (protocolo de encapsulamiento

de otros protocolos sobre IP, útil en el que se tienen redes de

otro tipo además de IP y funcionar con una VPN), y SOCKS

(proporciona otra alternativa a los protocolos de VPN se aloja

en el Nivel de Sesión de OSI, permite a los administradores

limitar el tráfico VPN). [12]

B. Modos de IPSec.

Las especificaciones IPSec en perfil de AH y ESP son

aplicadas de dos maneras llamados Modos:

El Modo de Transporte. La protección es permitida

para el Nivel de Transporte para el paquete y

porciones seleccionadas de la cabecera IP. Este

modo es utilizado entre los dispositivos finales de

una comunicación que cumplen el estándar IPSec.

Empleado en ambos hosts o en la configuración de

Gateway. La dirección fuente y destino IP pueden ser

abiertas para algunas formas de ataque. [13]

El Modo de Túnel. La protección es permitida para el

paquete original IP, para la pre-espera de la cabecera

original IP con una nueva. Este modo permite que un

dispositivo actúe como proxy IPSec en beneficio de

máquinas que no soporten el estándar.[13]

IPSec requiere varias combinaciones de Transporte y Modos

de Túnel para maximizar la seguridad. El aplicar AH o ESP

en Modo de Túnel para autenticar/encriptar el dato original

IP, y/o el aplicar AH o ESP en Modo de Transporte para

proteger la recién cabecera generada. En Modo de transporte

IPSec usa IP tipo 51 para AH y usa IP tipo 50 para ESP. [12]

Los dos sistemas comunicantes deben estar de acuerdo en los

algoritmos que se usarán, así como en la clave de sesión que

han de compartir. Una vez realizado este proceso se ha creado

una asociación segura (SA) entre las dos entidades. Durante

este proceso se crea un túnel seguro entre los dos sistemas y

se negocia la SA para IPSec.

C. Administración de Comunicaciones Seguras.

Los servicios de seguridad que provee IPSec dependen de

valores secretos compartidos o llaves que pueden ser

implementadas antes de asegurar las comunicaciones que

pueden tomar. Las dos partes deben tener reglas bien

definidas para intercambiar información. Estas reglas son

definidas con una Asociación Segura (SA) que pertenece a los

parámetros requeridos para la autenticación y encripción en

ambos modos de transporte y túnel.

D. Asociación de Seguridad.

Una SA, es una manera de relación entre un remitente y un

destinatario que permite servicios de seguridad para el tráfico

que porta en él. Si se requiere seguridad bidireccional, un SA

es requerido para cada dirección. Los servicios de seguridad

son permitidos para un SA usar AH o ESP, pero no ambas.

Un SA se identifica por tres parámetros:

Parámetro de SPI. Una serie de bits permiten que una

estación receptora para seleccionar el apropiado SA

con el cual se procesa el paquete.

Dirección de destino IP. Es la dirección de destino IP

de un punto final del SA.

Protocolo identificador de Seguridad. Indica si el SA

es para AH o ESP.

Una SA es una relación que existe entre dos estaciones.

Cuando las estaciones accedan a estos atributos, se hace

referencia al SPI que sirve como un punto a SA. Estas

entidades pueden ser cualquier host o pasarela. Las

conexiones pueden existir entre dos pasarelas. Estas

conexiones pueden existir en dos modos (transporte o túnel). [13]

En el Modo de Transporte, la SA es una conexión que existe

entre dos hosts. En este Modo si se usa AH la protección

permite todos los protocolos por encima del nivel IP, y el

seleccionar partes de la cabecera IP. Al usar ESP se provee

protección sólo para estos protocolos por encima del nivel IP.

En Modo de Túnel, una nueva cabecera IP exterior es

agregada a los datos para ser transmitidos entre dos

estaciones. La cabecera IP externa especifica la pasarela

responsable para procesar el tráfico, mientras la cabecera

interna especifica el destino final. Cuando se emplea AH, la

Universidad Piloto de Colombia

protección es permitida sobre todos los protocolos de Nivel

IP y también selecciona partes de la cabecera IP Cuando se

usa ESP solo la cabecera IP interna es protegida. [13]

Cuando el final es una conexión gateway, las conexiones

deben ser en Modo de Túnel. Tantas conexiones entre dos

pasarelas o entre un host y un gateway existen en modo de

túnel. La excepción de la regla es, si el gateway es el destino

final de los datos en caso de que el gateway esté actuando

como un host. En este caso se empleará el Modo de

Transporte.

REFERENCIAS

[1]https://books.google.com.co/books?id=Mgvm3AYIT64C

&pg=PA150&dq=tipos+de+vpn&hl=es&sa=X&ved=0ahUK

EwjL7YOuh_zjAhULy1kKHR8TD0EQ6AEIPTAD#v=onep

age&q=tipos%20de%20vpn&f=false

[2] https://grsolutions.net/conexion-vpn-gr-solutions/

[3]http://www.eyesoft.es/redes-privadas-virtuales--vpn----

intranet.html

[4] https://invidgroup.com/es/que-es-una-extranet/

[5]https://es.scribd.com/document/225698801/Requisitos-

Para-Establecer-Una-VPN

[6] http://www.dte.us.es/personal/mcromero/docs/ip/tema-

seguridad-IP.pdf

[7] https://ostec.blog/es/generico/protocolos-comunicacion-

vpn

[8]https://books.google.com.co/books?id=yTSoYCiXYAAC

&pg=PA219&dq=protocolo+ppp&hl=es&sa=X&ved=0ahU

KEwif1M67kPzjAhVCnFkKHTcMCUAQ6AEIKTAA#v=on

epage&q&f=false

[9]https://books.google.com.co/books?id=BOUCXWWFHX

kC&q=pap+chap+ms-chap&dq=pap+chap+ms-

chap&hl=es&sa=X&ved=0ahUKEwjioeCmlPzjAhUx01kKH

cVQBrEQ6AEIZjAH

[10]https://books.google.com.co/books?id=dW5mCwAAQB

AJ&printsec=frontcover&dq=pptp+vpn&hl=es&sa=X&ved=

0ahUKEwiE3suylfzjAhVFj1kKHVl3B3QQ6AEIOzAC#v=o

nepage&q=pptp%20vpn&f=false

[11]https://www.textoscientificos.com/redes/redes-

virtuales/tuneles/l2f

[12]https://books.google.com.co/books?id=So-

fDwAAQBAJ&pg=PA503&dq=protocolo+ipsec&hl=es&sa=

X&ved=0ahUKEwj_2dWlmPzjAhXywVkKHXpMChIQ6AE

IOzAD#v=onepage&q=protocolo%20ipsec&f=false

[13]https://books.google.com.co/books?id=WI-

fDwAAQBAJ&pg=PA123&dq=modos+de+ipsec&hl=es&sa

=X&ved=0ahUKEwiUlYrrmPzjAhUqx1kKHb1tBG8Q6AEI

MTAB#v=onepage&q=modos%20de%20ipsec&f=false

[14]https://books.google.com.co/books?id=96BbTjHBpOQC

&pg=PA482&dq=vpn+extranet&hl=es&sa=X&ved=0ahUK

EwiHsKy9o5zkAhWr1lkKHUrdBlUQ6AEINDAB#v=onepa

ge&q=vpn%20extranet&f=false

[15]https://books.google.com.co/books?id=k3JuVG2D9lMC

&pg=PA76&dq=Tunneling+o+Bases+de+T%C3%BAnel&hl

=es&sa=X&ved=0ahUKEwi847bsp5zkAhXjuFkKHWUKD8

AQ6AEINzAC#v=onepage&q=Tunneling%20o%20Bases%

20de%20T%C3%BAnel&f=false

[16]https://books.google.com.co/books?id=dW5mCwAAQB

AJ&pg=PA3&dq=%E2%80%A2%09PPTP&hl=es&sa=X&v

ed=0ahUKEwij3d6-

rJzkAhXq1FkKHTgtCiwQ6AEILDAA#v=onepage&q=%E2

%80%A2%09PPTP&f=false

[17]https://books.google.com.co/books?id=lo6fDwAAQBAJ

&pg=PA130&dq=protocolo+de+tunel&hl=es&sa=X&ved=0

ahUKEwjd-

aGSr5zkAhURxVkKHZeACRwQ6AEILzAB#v=onepage&q

=protocolo%20de%20tunel&f=false

[18]https://books.google.com.co/books?id=dW5mCwAAQB

AJ&pg=PA3&dq=PPTP&hl=es&sa=X&ved=0ahUKEwicr5_

YuJzkAhVQ11kKHT_jCj4Q6AEILDAA#v=onepage&q&f=

false

[19]https://books.google.com.co/books?id=ydKQ4YKc_xsC

&pg=PA31&dq=L2TP&hl=es&sa=X&ved=0ahUKEwi7gb7l

vpzkAhUktlkKHbmNCUEQ6AEIMjAB#v=onepage&q&f=f

alse

[20]https://books.google.com.co/books?id=5OYf6u5vzFsC&

pg=PR13&dq=vpn&hl=es&sa=X&ved=0ahUKEwiz_NrF_J7

kAhURpFkKHb-

PDhMQ6AEILDAA#v=onepage&q=vpn&f=false

Niguer Ardila, nació en Bogotá el

8 de Noviembre de 1987, tiene el

título de Ingeniero de sistemas de

la Universidad Libre de Colombia,

tiene certificaciones como el

CCNA, CCNP, NSE 1, NSE 2,

NSE 3, NSE 4, HP Flex

Networking y SAP

NETWEAVER.

Del 2015 al 2019 se desempeñó como administrador de

seguridad IT, en la empresa de logística Blu Logistics y

desde el mes de marzo de 2019 es especialista de

Universidad Piloto de Colombia

seguridad informática en la empresa SONDA, proyecto

ICBF.