2. Interconexión de redes
Dos redes LAN separadas intercambian datos y existen dos
maneras para hacerlo:
Enlaces punto a punto.
Utilización de VPNs sobre Internet
3. Enlaces punto a punto
Alta velocidad, alta confiabilidad.
Calidad de servicio garantizada.
Costo muy elevado.
Requiere equipos especiales.
Ejemplos:
ATM
Frame Relay
5. Repaso de Frame Relay
Frame Relay fue originalmente desarrollado como una extensión de
Integrated Services Digital Network (ISDN).
Designado para habilitar el transporte de la tecnología conmutada por
circuitos en una red conmutada por paquetes.
Los switches de Frame Relay crean circuitos virtuales para conectar LANs
remotas a una WAN.
La red de Frame Relay existe entre la frontera de un dispositivo LAN
usualmente un router, y el switch del carrier.
6. Características de Frame Relay
Barato
Fácil configuración del equipo de usuario
Interface de trama de Circuito Virtual
Servicio público
Backbone privado
Disponible hasta 2 Mbps
Conmutación-paquetes, Orientado-conexión, Servicio WAN
Opera en la capa de enlace de datos de OSI
11. Redes Virtuales Privadas (VPN)
Las Redes Virtuales Privadas VPN’s
son un concepto de tecnología que
permite conectar varias LAN’s o
estaciones remotas entre sí, de
forma segura y confidencial, a través
de un medio inseguro como
INTERNET, mediante el uso de la
autenticación, encriptación y túneles
para las conexiones.”
12. ¿Que es una VPN?
Los paquetes de datos de
la red privada viajan por
medio de un "túnel"
definido en la red pública.
14. Beneficios de las VPN
Ahorro de costes directos
Reducción del tiempo de aprendizaje
Reducción de equipos
Reducción de soporte técnico necesario
Aumento de flexibilidad
Escalabilidad: extiende la red WAN a más usuarios
remotos
Soporta más conexiones y ancho de banda
Basadas en rendimiento, fiabilidad de conexión,
cantidad de información y no en tiempo de conexión
y en distancia
15. Escenarios típicos donde usar VPN
Branch Offices o delegaciones.
Empresas separadas geográficamente necesitan
compartir datos de forma segura
Extranets
Empresas diferentes necesitan hacer negocios de
forma segura
Usuarios móviles o road-warriorws
Personas que necesitan acceder a la red de la
empresa de forma segura desde cualquier parte
16. Tecnologias Anteriores
Redes Virtuales Privadas (VPN)
Tecnologias anteriores a
las VPN
Enlaces Dedicados Enlaces Conmutados
ATM Clear Channel Frame Relay
Digitales RSDIAnalógico
Acceso Remoto a
Redes
17. Tecnologías Anteriores a VPN
Enlaces Dedicados
Fueron la primera tecnología
WAN que se adoptó usando la
infraestructura de voz de los
distintos operadores de
telefonía.
Se necesitaban conexiones
físicas reales necesitando de un
proveedor en cada sitio
resultando en una solo línea de
comunicación entre dos partes.
18. FRAME RELAY•
Método de comunicación orientado a paquetes para
la conexión de sistemas informáticos.
• Frame Relay es un protocolo WAN de alto
rendimiento que trabaja en la capa física y de enlace
de datos del modelo de referencia OSI.
• Permite compartir dinámicamente el medio y por
ende el ancho de banda disponible.
• Ofrece un alto desempeño y una gran eficiencia de
transmisión.
• Ofrece un ancho de banda en el rango de 64 kbps 4
Mbps.
Tecnologías Anteriores a VPN
Enlaces Dedicados
19. •ATM
(Asynchronous Transfer Mode / Modo de
Transferencia Asíncrono) es un protocolo de
transporte de alta velocidad.
• Actualmente tiene mucho uso como red troncal
(Backbone).
• La velocidad de trabajo en ATM es 155 Mbps y
622 Mbps (4 canales a 155 Mbps).
Tecnologías Anteriores
Enlaces Dedicados
20. ATM ha sido definido para soportar de forma flexible, la
conmutación y transmisión de tráfico multimedia
comprendiendo datos, voz, imágenes y vídeo.
Tecnologías Anteriores a VPN
Enlaces Dedicados
21. ACCESO REMOTO)•
En este tipo de arquitecturas existe un RAS (Remote Access
Server) que actúa como una puerta de enlace entre el cliente
remoto y la red.
Después de que un usuario haya establecido la conexión por
medio de una llamada, la línea telefónica es transparente para el
usuario, y este puede tener acceso a todos los recursos de la red
como si estuviera ante un equipo directamente conectado a ella.
• Este tipo de implementación fue el antecesor más próximo de las
VPNIP, sus deficiencias radican en los costos de las llamadas que
se deben efectuar, principalmente las de larga distancias y la falta
de confidencialidad en la transmisión de la información ya que no
soportan encriptación de datos.
Tecnologías Anteriores a VPN
Enlaces Conmutados
23. Redes Virtuales Privadas (VPN)
• El proceso de encriptación y desencriptación se
realiza a nivel físico.
• Se necesita equipos que permitan realizar esta
tarea de forma transparente.
• Por lo general los elementos utilizados son los
routers con VPN incorporada.
• Estos dispositivos llevan incorporado un
procesador y algoritmos de encriptación.
Implementación por Hardware
24. Redes Virtuales Privadas (VPN)
Implementación por Software
• Existe una gran variedad de Redes Privadas Virtuales
desarrolladas por software, donde elegir y que están
continuamente mejorando sus prestaciones.
• El número de usuarios de este tipo de red es mucho mayor
que el número de usuarios de VPNs realizadas por hardware,
con lo que la posibilidad de encontrar documentación y ayuda
para estos elementos es mayor.
• Pueden dar cobertura tanto a redes internas (intranet) como
redes externas.
• La seguridad puede cubrir de máquina a máquina, donde se
encuentren colocados los extremos de la VPN.
26. Redes Virtuales Privadas (VPN)
Fue la primera aplicación que se le dio a la emergente
tecnología de las VPNs.
• Esta solución nació de la necesidad de poder acceder
a la red corporativa desde cualquier ubicación, incluso
a nivel mundial.
• Con el Acceso Remoto VPN, los RAS corporativos
quedaron olvidados, pues su mantenimiento era
costoso y además las conexiones que tenían que hacer
los trabajadores de planta externa eran muy costosas.
ACCESO REMOTO
28. Redes Virtuales Privadas (VPN)
• En general, cuando se necesita concentrar tráfico en al menos un
nodo, es preferible usar tecnologías como Frame Relay pues solo se
necesita un último kilómetro por el cual viajan todos los PVCs
contratados con el proveedor de servicio; pero económicamente sigue
siendo igual de costosa porque las compañías que prestan el servicio
de interconexión Frame Relay cobran por PVC activado, así usen la
misma solución de último kilómetro.
• A parte del alto precio que tiene una solución Frame Relay o Clear
Channel, hay otros factores a tener en cuenta para decidir cambiar
este tipo de tecnologías a una solución usando VPNs, y son entre
otras, la seguridad, la eficiencia en el manejo del ancho de banda y la
amplia cobertura que ha logrado Internet.
INTRANET LAN TO LAN
30. Redes Virtuales Privadas (VPN)
EXTRANET
• Las empresas necesitan intercambiar información y
realizar transacciones no solamente entre sitios de su
misma organización sino también con otras compañías. Por
ejemplo, una empresa manufacturera quisiera permitirle a
los computadores de sus distribuidores accesar a su
sistema de control de inventarios.
• También dicha empresa quisiera poder accesar a la base
de datos de sus proveedores y poder ordenar fácil y
automáticamente cuando ellos necesiten materia prima.
Hoy en día todas las empresas están haciendo presencia en
la Internet y esto hace casi imperativo la comunicación con
las otras empresas por este medio.
32. Redes Virtuales Privadas (VPN)
• Es quizá el protocolo más sencillo de entunelamiento de paquetes.
• En general, usado por pequeñas empresas.
• Debido a la integración que hizo Microsoft en sus sistemas operativos, PPTP
tuvo gran acogida en el mercado mundial.
• PPTP se soporta sobre toda la funcionalidad que PPP le brinda a un acceso
conmutado para construir sus túneles a través de Internet.
• Es capaz de encapsular paquetes IP, IPX y NETBEUI.
• PPTP encapsula paquetes PPP usando una versión modificada del Protocolo
de Encapsulamiento Ruteado Genérico (GRE - Generic Routing Encapsulation)
PPTP PROTOCOLO DE TUNEL PUNTO A PUNTO
33. Redes Virtuales Privadas (VPN)
• L2TP fue creado como el sucesor de PPTP y L2F.
• Las dos compañias abanderadas de cada uno de estos protocolos,
Microsoft por PPTP y Cisco por L2F, acordaron trabajar en conjunto
para la creación de un único protocolo de capa 2 y lograr su
estandarización por parte de la IETF.
• Soporta multiprotocolo.
• Permite que un único túnel soporte más de una
conexión.
• El Entunelamiento no depende de IP y GRE.
•no cifra en principio el tráfico de datos de usuario, lo cual puede dar
problemas cuando sea importante mantener la confidencialidad de los
datos.
L2TP PROTOCOLO DE TUNEL CAPA 2
34. Redes Virtuales Privadas (VPN)
• IPSec es un conjunto de protocolos diseñados para proveer una
seguridad basada en criptografía robusta para IPv4 e IPv6, de hecho
IPSec está incluido en IPv6.
• Entre los servicios de seguridad definidos en IPSec se encuentran,
control de acceso, integridad de datos, autenticación del origen de los
datos, protección antirepetición y confidencialidad en los datos.
• Es un protocolo modular, ya que no depende de un algoritmo
criptográfico específico.
• Trabaja en la Capa 3 del Modelo OSI, es independiente tanto del nivel
de transporte como de la infraestructura de la red.
• Solo aplicable a IP (Protocolo de Internet).
IPSec PROTOCOLO DE SEGURIDAD INTERNET
36. Redes Virtuales Privadas (VPN)
Redes Virtuales Privadas sobre SSL
• Los objetivos iniciales de la primera generación de VPN-
SSL
fueron:
1- Facilitar el acceso a través de cortafuegos.
2- Ser una solución de acceso remoto que trabaje desde
cualquier lugar independientemente de los dispositivos
NAT.
• SSL-VPN cliente no necesita instalación y ofrece la
funcionalidad de un VPN clientes o Web VPN.
• Software mas utilizado en VPN-SSL :
- SSTP.
- OpenVPN.
- SSL-explorer.
SSL SECURE SOCKET LAYER
37. Redes Virtuales Privadas (VPN)
•El protocolo Secure Socket Tunneling Protocol (SSTP) de
Microsoft ,es por definición, un protocolo de capa de
aplicación que encapsula tráfico PPP por el canal SSL
del protocolo HTTPS.
• El uso de PPP habilita la compatibilidad con todos los
métodos de autenticación seguros, como EAP-TLS.
• El empleo de HTTPS significa que el tráfico pasa a través
del puerto TCP 443, un puerto que se suele usar para el
acceso web, eliminando así los problemas asociados con
las conexiones VPN basadas en PPTP o L2TP.
SSTP SECURE SOCKET TUNNELING PROTOCOL
38. Ventajas de la implementación por Hardware
• La instalación y la configuración son relativamentesencillas.
• No necesita personal especializado y su mantenimiento es mínimo.
• Un único elemento puede habilitar varias VPNs ubicadas en distintos sitios.
• El sistema es independiente de las máquinas conectadas a la red.
• No necesitamos máquinas dedicadas para realizar la VPN.
Redes Virtuales Privadas (VPN)
Inconvenientes de la implementación por Hardware
• El firmware de los sistemas es cerrado y se depende del fabricante
para poder cambiarlo.
• Los sistemas de encriptación suelen ser cerrados y el fabricante suele utilizar
un único tipo.
• En la mayoría de las ocasiones los elementos hardware de los extremos que
componen la red privada virtual, deben ser iguales o por lo menos del mismo
fabricante.
• La seguridad sólo se implementa desde los dos extremos de la VPN, siendo
inseguro el camino que recorre la información desde el ordenador hasta
eldispositivo VPN.
39. Redes Virtuales Privadas (VPN)
Ventajas de las implementaciones por software
• Existe una gran variedad de Redes Privadas Virtuales desarrolladas por
software, donde elegir y que están continuamente mejorando sus
prestaciones.
• El número de usuarios de este tipo de red es mucho mayor que el
número de usuarios de VPNs realizadas por hardware, con lo que
la posibilidad de encontrar documentación y ayuda para estos
elementos es mayor.
• Pueden dar cobertura tanto a redes internas (intranet) como redes
externas.
• La seguridad puede cubrir de máquina a máquina, donde se
encuentren colocados los extremos de la VPN.
41. Funcionamiento de una VPN
Las VPN pueden enlazar
oficinas corporativas con
los socios, con usuarios
móviles, con oficinas
remotas mediante los
protocolos como Internet,
IP, Ipsec, Frame Relay y
ATM
42. Tecnología de túnel
Las redes privadas
virtuales crean un túnel o
conducto de un sitio a
otro para transferir datos
a esto se le conoce como
encapsulación además los
paquetes van encriptados
de forma que los datos
son ilegibles para los
extraños.
43. Requerimientos básicos de una VPN
Por lo general cuando se desea implantar una VPN hay
que asegurarse que esta proporcione:
Identificación de usuario
Administración de direcciones
Codificación de datos
Administración de claves
Soporte a protocolos múltiples
Identificación de usuario
44. Requerimientos básicos de una VPN
La VPN debe ser capaz de verificar la identidad de los
usuarios y restringir el acceso a la VPN a aquellos
usuarios que no estén autorizados. Así mismo, debe
proporcionar registros estadísticos que muestren quien
acceso, que información y cuando.
Administración de direcciones
La VPN debe establecer una dirección del cliente en la
red privada y debe cerciorarse que las direcciones
privadas se conserven así.
45. Requerimientos básicos de una VPN
Codificación de datos
Los datos que se van a transmitir a traves de la red
pública deben ser previamente encriptados para que no
puedan ser leídos por clientes no autorizados de la red.
Administración de claves : La VPN debe generar y
renovar las claves de codificación para el cliente y el
servidor.
46. Requerimientos básicos de una VPN
Soporte a protocolos múltiples
La VPN debe ser capaz de manejar los protocolos
comunes que se utilizan en la red pública. Estos incluyen
el protocolo de internet(IP), el intercambio de paquete de
internet(IPX) entre otros.
47. Herramientas de una VPN
VPN Gateway
Software
Firewall
Router
VPN Gateway
Dispositivos con un software y hardware especial para proveer de
capacidad a la VPN.
Esta sobre una plataforma PC o Workstation, el software desempeña todas
las funciones de la VPN.
48. Ventajas de una VPN
Dentro de las ventajas más significativas podremos
mencionar la integridad, confidencialidad y seguridad de
los datos.
Reducción de costos.
Sencilla de usar.
Sencilla instalación del cliente en cualquier PC
Windows.
49. Ventajas de una VPN
Control de Acceso basado en políticas de la
organización
Herramientas de diagnostico remoto.
Los algoritmos de compresión optimizan el tráfico del
cliente.
Evita el alto costo de las actualizaciones y
mantenimiento a las PC´s remotas.
50. VPN en el Modelo OSI
1.Físico
2. Conexión
3. Red
4. Transporte
5. Sesión
SSL
IPSEC
PPTP
L2TP
Soluciones VPN
51. PPP
Diseñado para enviar datos a través de conexiones bajo
demanda o punto a punto.
Encapsula Paquetes IP
Cuatro fases en la negociación de la conexión:
1. Establecimiento de la conexión (LCP)
2. Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-
CHAPv2, EAP)
3. Control de devolución de llamada (CBCP)
4. Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
Fase de transmisión de Datos. Se encapsula los datos con una
cabecera PPP y se comprimen y cifran según lo acordado en
fase 1 y negociado en la fase 4
52. Protocolos de túnel
PPTP
Desarrollado por Microsoft, es un estándar de facto
Esta ampliamente implementado y existen varias implementaciones compatibles
Suficientemente seguro para casi todas las aplicaciones
L2TP
Estándar de la “Internet Engineering Task Force” (IETF)
Unión
Algunos problemas de interoperabilidad.
Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de
los requerimientos necesarios.
55. Intelligent Application Gateway
Client
High-Availability, Management,
Logging, Reporting, Multiple Portals
Authentication
Authorization
User
Experience
Tunneling
Security
Specific
Applications
Web
Client/Server
Java/Browser
Embedded
Exchange/
Outlook
OWA
SharePoint
/Portals
Citri
x
Generic
Applications
Application
Aware
Modules
SSL VPN
Gateway
Applications
Knowledge Centre
OWA …
………...
Citrix
……..
Sharepoint
. ………....
Devices
Knowledge Centre
PDA
…....
Linux
……..
Windows
. ………...
MAC
….....
ISO7799
Corporate Governance
SarbOx
Basel2
Policy &
Regulation
Awareness Centre
W
H
O
?
W
H
A
T?
W
H
ER
E?
C
O
M
PLIA
N
T?
56. Conclusiones
Las VPN representan una gran solución para las
empresas en cuanto a seguridad, confidencialidad e
integridad de los datos y prácticamente se ha vuelto un
tema importante en las organizaciones, debido a que
reduce significativamente el costo de la transferencia de
datos de un lugar a otro
57. Conclusiones
El único inconveniente que pudieran tener las VPN es
que primero se deben establecer correctamente las
políticas de seguridad y de acceso porque si esto no esta
bien definido pueden existir consecuencias serias.
Notas del editor
Point-to-Point Protocol (PPP) Because PPTP and L2TP depend heavily on the features originally specified for PPP, it is worth examining this protocol more closely. PPP was designed to send data across dial-up or dedicated point-to-point connections. For IP, PPP encapsulates IP packets within PPP frames, and then transmits the PPP-encapsulated packets across a point-to-point link. PPP was originally defined as the protocol to use between a dial-up client and a NAS. There are four distinct phases of negotiation in a PPP connection. Each of these four phases must complete successfully before the PPP connection is ready to transfer user data. Phase 1: PPP Link Establishment PPP uses the Link Control Protocol (LCP) to establish, maintain, and terminate the logical point-to-point connection. During Phase 1, basic communication options are selected. For example, authentication protocols are selected, but they are not actually implemented until the connection authentication phase (Phase 2). Similarly, during Phase 1, a decision is made as to whether the two peers will negotiate the use of compression and/or encryption. The actual choice of compression and encryption algorithms and other details occurs during Phase 4. Phase 2: User Authentication In the second phase, the client computer sends the user’s credentials to the remote access server. A secure authentication scheme provides protection against replay attacks and remote client impersonation. A replay attack occurs when a third party monitors a successful connection and uses captured packets to play back the remote client’s response so that it can gain an authenticated connection. Remote client impersonation occurs when a third party takes over an authenticated connection. The intruder waits until the connection has been authenticated and then traps the communication parameters, disconnects the authenticated user, and takes control of the authenticated connection. Phase 3: PPP Callback Control The Microsoft implementation of PPP includes an optional callback control phase. This phase uses the Callback Control Protocol (CBCP) immediately after the authentication phase. If configured for callback, both the remote client and NAS disconnect after authentication. The NAS then calls the remote client back at a specified phone number. This provides an additional level of security to dial-up connections. The NAS allows connections from remote clients physically residing at specific phone numbers only. Callback is only used for dial-up connections, not for VPN connections. Phase 4: Invoking Network Layer Protocol(s) Once the previous phases have been completed, PPP invokes the various network control protocols (NCPs) that were selected during the link establishment phase (Phase 1) to configure protocols used by the remote client. For example, during this phase, IPCP is used to assign a dynamic address to the PPP client. In the Microsoft implementation of PPP, the Compression Control Protocol (CCP) is used to negotiate both data compression (using MPPC) and data encryption (using MPPE). Data-Transfer Phase Once the four phases of PPP negotiation have been completed, PPP begins to forward data to and from the two peers. Each transmitted data packet is wrapped in a PPP header that is removed by the receiving system. If data compression was selected in phase 1 and negotiated in phase 4, data is compressed before transmission. If data encryption is selected and negotiated, data is encrypted before transmission. If both encryption and compression are negotiated, the data is compressed first, and then encrypted.
PPTP is a Microsoft-developed protocol that has become the de facto industry standard due to its wide deployment in Windows; PPTP clients ship with all versions of Windows since Microsoft® Windows® 95, with Mac OS X, and with most Linux distributions. PPTP supports a variety of authentication methods, which we’ll discuss later, and it encrypts connections in both directions using a randomly generated, and periodically changed, symmetric key. You may have heard from customers that PPTP is insecure; in fact, there were some vulnerabilities discovered in the NT 4.0 timeframe, but Microsoft moved quickly to fix them. A few non-Microsoft PPTP implementations on Linux still have a number of implementation flaws. Unlike PPTP, the Layer 2 Tunneling Protocol (L2TP) is a pure tunneling protocol. It doesn’t incorporate any authentication or encryption, which makes it unsuitable for use on its own. L2TP is almost always combined with the IPsec extensions for VPN functionality: this combination provides strong encryption and authentication, plus tunneling that can be used either to link two remote networks or a single remote client to a network (we’ll discuss these two modes in the IPsec module). For the remainder of this course, we’ll treat the L2TP+IPsec combination as though it were a single protocol.