Este documento describe dos protocolos de enrutamiento: OSPF y IGRP. OSPF es un protocolo jerárquico de enrutamiento interior que usa el algoritmo de Dijkstra para calcular la ruta más corta. IGRP es un protocolo propietario de Cisco que usa un método híbrido vector-distancia y estado de enlace para determinar la mejor ruta. También define los tipos básicos de VPN, incluidas las VPN de acceso remoto, punto a punto y túneles, y describe sus requisitos y métodos de cifrado y autent
Charla impartida por José "el abuelo" Parada de Microsoft Technet en el Asegúr@IT V que tuvo lugar en Zaragoza el 3 de Marzo de 2009 en las instalaciones del ITA.
Redes Privadas Virtuales y cómo configurar routers de TeltonikaMonolitic, S.A.
En esta nota de aplicación te explicamos en qué se basan las redes privadas virtuales y cómo configurar cualquier router de Teltonika (RUT500, RUT900, RUT950, etc...).
Contacta con nosotros para más información: info@monolitic.com
1. REPUBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA
INSTITUTO UNIVERSITARIO DE TECNOLOGÍA DE MARACAIBO
PROGRAMA NACIONAL DE FORMACIÓN EN INFORMÁTICA
MARACAIBO, ESTADO- ZULIA
Integrante:
Gerardo Inciarte CI: 19.309.469
Sección 341V
Maracaibo 10 de noviembre 2014
2. OSPF “Open Shortest Path First”
OSPF son las siglas de Open Shortest Path First (El camino más corto
primero), un protocolo de enrutamiento jerárquico de pasarela interior o IGP (Interior
Gateway Protocol), que usa el algoritmo SmoothWall Dijkstra enlace-estado (LSE -
Link State Algorithm) para calcular la ruta más idónea.
Su medida de métrica se denomina cost, y tiene en cuenta diversos parámetros
tales como el ancho de banda y la congestión de los enlaces. OSPF construye
además una base de datos enlace-estado (link-state database, LSDB) idéntica en
todos los enrutadores de la zona.
OSPF puede operar con seguridad usando MD5 para autentificar sus puntos antes
de realizar nuevas rutas y antes de aceptar avisos de enlace-estado.
OSPF es probablemente el protocolo IGP más utilizado en redes grandes; IS-IS,
otro protocolo de enrutamiento dinámico de enlace-estado, es más común en
grandes proveedores de servicios. Como sucesor natural de RIP, acepta VLSM y
CIDR desde su inicio. A lo largo del tiempo, se han ido creando nuevas versiones,
como OSPFv3 que soporta IPv6 o las extensiones multidifusión para OSPF
(MOSPF), aunque no están demasiado extendidas. OSPF puede "etiquetar" rutas y
propagar esas etiquetas por otras rutas.
Una red OSPF se puede descomponer en regiones (áreas) más pequeñas. Hay un
área especial llamada área backbone que forma la parte central de la red a la que
se encuentran conectadas el resto de áreas de la misma. Las rutas entre las
diferentes áreas circulan siempre por el backbone, por lo tanto todas las áreas
deben conectar con el backbone. Si no es posible hacer una conexión directa con
el backbone, se puede hacer un enlace virtual entre redes.
IGRP “Interior Gateway Routing Protocol”
IGRP (Interior Gateway Routing Protocol, o Protocolo de enrutamiento de gateway
interior) es un protocolo propietario patentado y desarrollado por CISCO que se
emplea con el protocolo TCP/IP según el modelo (OSI) Internet. La versión original
del IP fue diseñada y desplegada con éxito en 1986. Se utiliza comúnmente como
IGP para intercambiar datos dentro de un Sistema Autónomo, pero también se ha
utilizado extensivamente como Exterior Gateway Protocol (EGP) para el
enrutamiento inter-dominio.
IGRP es un protocolo de enrutamiento basado en la tecnología vector-distancia,
aunque también tiene en cuenta el estado del enlace. Utiliza una métrica compuesta
para determinar la mejor ruta basándose en el ancho de banda, el retardo, la
confiabilidad y la carga del enlace. El concepto es que cada router no necesita saber
todas las relaciones de ruta/enlace para la red entera. Cada router publica destinos
con una distancia correspondiente. Cada router que recibe la información, ajusta la
distancia y la propaga a los routers vecinos. La información de la distancia en IGRP
se manifiesta de acuerdo a la métrica. Esto permite configurar adecuadamente el
equipo para alcanzar las trayectorias óptimas.
3. IGRP es un protocolo con clase, lo que significa que no pueden manipularse las
máscaras de red (utiliza las máscaras por defecto de cada Clase)
IGRP es un protocolo que actualmente no se soporta en sistema operativo de
CISCO (IOS).
Que es vpn
Según el portal web http://es.wikipedia.org/wiki, Una red privada virtual, RPV,
o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red
que permite una extensión segura de la red local (LAN) sobre una red pública o no
controlada como Internet. Permite que la computadora en la red envíe y reciba datos
sobre redes compartidas o públicas como si fuera una red privada con toda la
funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza
estableciendo una conexión virtual punto a punto mediante el uso de conexiones
dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de
una empresa utilizando como vínculo Internet, permitir a los miembros del equipo
de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario
pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un
hotel. Todo ello utilizando la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area
network (WAN) entre los sitios pero al usuario le parece como si fuera un enlace
privado— de allí la designación "virtual private network".
Requisitos básicos
Identificación de usuario: las VPN deben verificar la identidad de los usuarios
y restringir su acceso a aquellos que no se encuentren autorizados.
Cifrado de datos: los datos que se van a transmitir a través de la red pública
(Internet), antes deben ser cifrados, para que así no puedan ser leídos si son
interceptados. Esta tarea se realiza con algoritmos de cifrado como DES o
3DES que sólo pueden ser leídos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves de cifrado para
los usuarios.
Nuevo algoritmo de seguridad SEAL.
4. Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto:
Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores
que se conectan con la empresa desde sitios remotos (oficinas comerciales,
domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo
de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen
en la red local de la empresa. Muchas empresas han reemplazado con esta
tecnología su infraestructura dial-up (módems y líneas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta
las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los
servidores de las sucursales se conectan a Internet utilizando los servicios de su
proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto
permite eliminar los costosos vínculos punto a punto tradicional (realizados
comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en
las comunicaciones internacionales. Es más común el siguiente punto, también
llamado tecnología de túnel o tunneling.
Tunneling:
La técnica de tunneling consiste en encapsular un protocolo de red sobre otro
(protocolo de red encapsulador) creando un túnel dentro de una red de
computadoras. El establecimiento de dicho túnel se implementa incluyendo una
PDU (unidades de datos de protocolo) determinada dentro de otra PDU con el
objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una
interpretación intermedia de la PDU encapsulada. De esta manera se encaminan
los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro
el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y
el protocolo de comunicación empleado, que entre otros, podría ser SSH.
5. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que
se esté tratando, como por ejemplo la comunicación de islas en escenarios
multicast, la redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la
redirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un
nodo-móvil no se encuentra en su red base, necesita que su home-agent realice
ciertas funciones en su puesto, entre las que se encuentra la de capturar el tráfico
dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráfico se realiza
usando un mecanismo de tunneling, ya que es necesario que los paquetes
conserven su estructura y contenido originales (dirección IP de origen y destino,
puertos, etc.) cuando sean recibidos por el nodo-móvil.
VPN over LAN:
Este esquema es el menos difundido pero uno de los más poderosos para utilizar
dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de
utilizar Internet como medio de conexión, emplea la misma red de área local (LAN)
de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad
lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes
inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de
sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional
más el agregado del cifrado, haciendo posible que sólo el personal de recursos
humanos habilitado pueda acceder a la información.
Otro ejemplo es la conexión a redes Wi-Fi haciendo uso de túneles cifrados IPSec
o SSL que además de pasar por los métodos de autenticación tradicionales (WEP,
WPA, direcciones MAC, etc.) agregan las credenciales de seguridad del túnel VPN
creado en la LAN interna o externa.
6. Tipos de conexión
Conexión de acceso remoto
Una conexión de acceso remoto es realizada por un cliente o un usuario de una
computadora que se conecta a una red privada, los paquetes enviados a través de
la conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al
servidor de acceso remoto, y el servidor se autentifica ante el cliente.
Conexión VPN router a router
Una conexión VPN router a router es realizada por un router, y este a su vez se
conecta a una red privada. En este tipo de conexión, los paquetes enviados desde
cualquier router no se originan en los routers. El router que realiza la llamada se
autentifica ante el router que responde y este a su vez se autentifica ante el router
que realiza la llamada y también sirve para la intranet.
Conexión VPN firewall a firewall
Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez
se conecta a una red privada. En este tipo de conexión, los paquetes son enviados
desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica
ante el que responde y éste a su vez se autentifica ante el llamante.
Según el portal web de cisco www.cisco.com, Una red VPN (red privada virtual) es
una red privada construida dentro de una infraestructura de red pública, como por
ejemplo Internet. Las empresas pueden usar una red VPN para conectar de manera
segura oficinas y usuarios remotos por medio de un acceso a Internet económico
suministrado por un tercero, en lugar de a través de enlaces WAN dedicados o
enlaces de acceso telefónico de larga distancia.
Las organizaciones pueden usar una red VPN para reducir sus costes de ancho de
banda de WAN, a la vez que aumentan las velocidades de conexión al usar la
conectividad a Internet de ancho de banda elevado, tales como DSL, Ethernet o
cable.
Una red VPN proporciona el máximo nivel de seguridad posible a través de
Seguridad IP cifrada (IPsec) o túneles VPN Secure Sockets Layer (SSL) y
tecnologías de autenticación. Estas redes protegen los datos que se transmiten por
VPN de un acceso no autorizado. Las empresas pueden aprovechar la
infraestructura de Internet fácil de aprovisionar de la VPN, para añadir rápidamente
nuevos emplazamientos y usuarios. También pueden aumentar enormemente el
alcance de la red VPN sin ampliar la infraestructura de forma significativa.
7. Una red VPN extiende la seguridad a los usuarios remotos.
Las redes VPN SSL y VPN IPsec se han convertido en soluciones de VPN
principales para conectar oficinas remotas, usuarios remotos y partners
comerciales, ya que:
Proporcionan comunicaciones seguras con derechos de acceso específicos
para los usuarios individuales, como por ejemplo empleados, contratistas o
partners
Mejoran la productividad al extender la red empresarial y sus aplicaciones
Reducen los costes de las comunicaciones y aumentan la flexibilidad
Los dos tipos de VPN cifradas son:
VPN IPSec de sitio a sitio: Esta alternativa a Frame Relay o a las redes WAN
de línea alquilada permite a las empresas llevar los recursos de la red a las
sucursales, las oficinas instaladas en casa y los sitios de partners
comerciales.
VPN de acceso remoto: Esta modalidad lleva prácticamente cualquier
aplicación de datos, voz y vídeo al escritorio remoto, emulando el escritorio
de la oficina principal. Una VPN de acceso remoto puede instalarse utilizando
VPN SSL, IPsec o ambas, dependiendo de los requisitos de implementación.
Una VPN (Virtual Private Network) conecta hosts de una red a otra red. Virtualmente
se genera un túnel atravesando Internet, permitiendo la comunicación entre ambas
redes, con la misma seguridad disponible en una red privada.
Cuando un túnel se genera los hosts de un extremo pueden establecer contacto
directo con los hosts del otro extremo.
Una vez establecido el túnel, la seguridad es similar a la encontrada en una red
privada (LAN), esto se logra gracias a la encriptacion y autentificación. Los hosts se
ven entre ellos como si estuvieran detrás de un mismo router.
8. El objetivo de crear clientes VPN es el de brindarle a una persona que esta fuera de
su red corporativa (LAN, por ejemplo la red de su trabajo), una conexión segura
para acceder a los recursos privados de su red.
RedLocal --- ISP ===Internet=== ISP --- Computadora (Cliente)
Para tener en cuenta:
Las IP de la red privada donde está el router y la IP de la red privada donde se
encuentra el cliente deberán ser distintas.
Puede suceder que los ISPs cierren algunos puertos, impidiendo de esta manera la
creación de túneles VPN.
Gateway To Gateway
En este caso se conectarán 2 redes a través de sus router.
Una condición que deberán cumplir es que las IP de cada LAN deben ser distintas.
Para comenzar la configuración del túnel deberemos tener conocimiento de:
Las IP Publica (WAN) de cada red ó su domino.
La IP de cada red (LAN) y que hosts queremos unir con este túnel.
RedLocal(1) --- ISP ===Internet=== ISP -- RedLocal(2)
Si hay problemas de conexión en el tunel:
Verificar que no exista un 2NAT, recordar que la IP WAN de los routers debe ser
PUBLICA.
Actualizar el Firware a la última versión disponible.
Que los ISPs no esten cerrando puertos necesarios para la creación de VPNs (esto
debería hablarlo el cliente con sus ISPs).