1

REDES PRIVADAS VIRTUALES - VPN (Virtual Private Networks) • Introducción. • Tunelización. • Aplicaciones.

Introducción

El nuevo concepto de la RED de la empresa, conocida como INTRANET, se extiende sobre un área geográfica amplia, a veces un país o un continente.

No importa cuánto se exagere, una Intranet simplemente es tecnología de Internet puesta al servicio de una red privada.

En los últimos años las redes se han convertido en un factor crítico para cualquier

organización. Cada vez en mayor medida, transmiten información vital para la empresa, por lo tanto deben cumplir con atributos tales como:

• Seguridad • Fiabilidad • Alcance geográfico • Efectividad • Costos.

Las redes reducen en tiempo y dinero, eso significa una gran ventaja para las organizaciones

sobre todo las que tienen oficinas remotas. Esta situación incitó el crecimiento de Internet y sus servicios de información popular, normalmente conocida como World Wide Web.

Al final de logró el éxito que la comunidad había estado esperando durante años:

• Protocolos simples • Plataforma independiente • Comunicación más eficaz.

Pero también es cierto que han provocado curiosidad, espionaje, ataques a los servidores por

diversión o por intereses, de manera de obtener información confidencial. Por tal motivo la seguridad en las redes es de suma importancia, de allí que escuchemos hablar tanto sobre firewall y VPN Diferencia entre red pública y privada

Hasta ahora ha habido siempre una clara división entre red pública y privadas. Una red pública, como el sistema de telefonía pública y la Internet, es una gran colección de

dispositivos no relacionados que intercambian información entre si en forma más o menos libre. Las personas que acceden a la red pública pueden o no tener nada en común, y cualquier

persona dada en esa red sólo puede comunicarse con un pequeño fragmento de sus potenciales usuarios.

Una red privada está compuesta de computadoras de una sola organización que comparten la información específicamente entre sí.

En este caso existe la seguridad de que son los únicos que usan la red, y que la información

solo será entre ellos. En el peor de los casos, sólo podrá ser vista por otros usuarios del mismo grupo.

La típica Red del Área Local corporativa (LAN) o la Red de Área Extensa (WAN) es un

ejemplo de una red privada. La línea de separación entre la red privada y la pública siempre ha sido trazada por el router.

Alí puede colocarse un firewall para mantener alejado a los intrusos, o para impedir a los usuarios interiores acceder a la red pública

RED PUBLICA

FIREWALL

ROUTER

SERVIDOR

RED PRIVADA

INTERNET

Figura 18 ¿Por qué una Red Privada Virtual?

Hasta no hace mucho, LAN operaban en forma aisladas. Cada oficina podía tener su propia LAN. Luego apareció la necesidad de interconectar estas oficinas.

Tradicionalmente se comenzó con las líneas telefónicas arrendadas con velocidades variadas, lo que proveía una conexión segura y siempre disponible. Pero estas son prohibitivas cuando aumenta la distancia.

La conexión entre oficinas centrales y sucursales tienen las siguientes opciones:

• Acceso Dial-up vía Módem: Costosa y poco eficiente y poco seguras • Líneas Privadas: Redes creadas con recursos propios (limitada a áreas

geográficas pequeñas). Algunas wireless estarían incluidas en esta categoría. Son muy seguras. solo mueven tráfico de la empresa.

• Líneas Dedicadas: Alternativa a la anterior, sobre todo para grandes extensiones geográficas. Consiste en arrendar líneas a terceros, generalmente empresas que se dedican al servicio de comunicaciones. Son similares a las anteriores, solo circula tráfico de la empresa.

2

• Red Pública (Internet): Ofrecen una alternativa económica y de buena calidad de acceso, como así también buena velocidad. Son muy inseguras. La información viaja sin ninguna protección.

Las redes privadas virtuales (VPN), desdibujan la línea entre la red pública y la red

privada. Una VPN le permiten crear una red segura, sobre de una red pública, usando software,

hardware, o una combinación de los dos para crear un enlace seguro sobre la red pública. Esto se hace a través de la encriptación, autenticación, tunneling de paquetes, y firewalls.

OFICINA HOGAREÑA

USUARIO MÓVIL

COMPAÑÍA ASOCIADA(PARTNER)

OFICINA REMOTA

CASA CENTRAL

Figura 19 ¿Qué es una VPN?

Según la definición estándar proporcionada por el Internet Engineering Task Force (IETF), una VPN es:

"An emulation of [a] private Wide Area Network (WAN) using shared or public facilities,

such as the Internet or private backbones". "Una emulación de una Red WAN usando medios compartidos o públicos, como Internet o

backbones privados." En términos más simples, una VPN es una extensión de una Intranet privada a través una red

pública (Internet) que asegura conectividad segura y confiable entre dos extremos. La Intranet privada es extendida con la ayuda de "túneles lógicos" privados. Estos túneles permiten a los dos extremos intercambiar datos de una manera parecida a una comunicación punto a punto.

Resumiendo:

3

Una VPN es un una red privada que se extiende, mediante un proceso de encapsulación y encriptación de paquetes creando un seguro túnel privado de comunicación entre dos o más dispositivos a través de una red pública (por ejemplo Internet).

4

segura sobre Internet.

Una red privada virtual es una manera de simular una red privada sobre una red pública, como Internet. Se llama "virtual" porque depende del uso de conexiones virtuales, que son conexiones temporales sin presencia realmente física. Solo consisten en el encaminamiento de paquetes a través de los distintos dispositivos dentro de la Internet. Las conexiones virtuales seguras son creadas entre dos máquinas, una máquina y una red, o dos redes. Estos dispositivos pueden ser cualquier computadora ejecutando software VPN o un dispositivo especial como por ejemplo un router con facilidades VPN. Esto permite conectar la computadora hogareña a la red de la oficina, también permite que dos computadoras en diferentes ubicaciones se conecten en forma

Usando Internet para el acceso

remoto se ahorra mucho dinero. Se puede acceder de cualquier lugar donde el proveedor de servicio (ISP = Internet Service Provider) tenga un punto de presencia (POP = Point Of Presense).

Si se escoge un ISP nacional,

habrá muchas posibilidades que el acceso a la LAN sea solo una llamada local.

Figura 19: Modelo de conexión VPN

Pueden usarse redes privadas virtuales para extender el alcance de una Intranet. Dado que las Intranets son típicamente usadas para comunicar información propietaria, no es deseable que sea accesible desde Internet.

Puede haber casos, sin embargo, dónde se querrá compartir datos con usuarios remotos

conectados a su Intranet, y estos usuarios pueden usar Internet como medios de conexión. Una VPN les permitirá conectar seguramente a Intranet, sin temores de que la información sensible quede desprotegida.

Este tipo de conexión también se conoce como una "Extranet."

Podemos ver ahora como una VPN puede extender las funcionalidades de la Intranet. Bajo

este contexto no hay ninguna razón por qué los clientes o vendedores no puedan usar la Internet para acceder al servidor web que aloja la base de datos de clientes por cuanto puede proporcionar un enlace entre los usuarios móviles y el web server de la Intranet. Esto provee flexibilidad, y permite que cualquier servicio de la red pueda ser usado a través de la Internet. ¿Cómo opera una VPN?

A través de tecnología de tunelización, las VPN proveen medidas de seguridad y mecanismos para resguardar el pasaje de datos sensibles por un medio no seguro.

5

• Encriptación: Es el proceso de cambio de datos de manera que sólo puede leer el receptor apropiado.

• Autenticación: Es que el proceso que asegura que los datos se entregan al destinatario acertado. Además, asegura la integridad del mensaje y su fuente. En su forma más simple, exige un username y una contraseña.

• Autorización: Es el proceso de conceder o negar acceso a los recursos después de que el usuario se ha identificado con éxito y se ha autenticado.

Evolución de las VPN

Ahora que tienen una idea básica de lo que implica una VPN, veremos cómo evolucionó su tecnología.

Contrariamente a lo que la mayoría cree, el concepto de VPN tiene alrededor de 15 años y ha

sufrido varias generaciones hasta llegar a su última forma.

Las primeras VPN, conocidas como SDN (Software Defined Networks), fueron ofrecidas por AT&T en los ´80. SDN permitía construir WAN con enlaces dedicados o conmutados y basadas en bases de datos para clasificar intentos de acceso local o remoto. Basado en esta información, el paquete era ruteado a su destino a través de la infraestructura de la red pública conmutada.

La segunda generación surgió con la aparición de X.25 y la Red Digital de Servicios

Integrados (ISDN) a comienzos de los ´90. Estas dos tecnologías permitieron transmisión de paquete por la red pública. La idea de transmisiones económicas por una red pública ganó popularidad rápidamente. Pero como las tasas de transmisión no crecían a los niveles esperados, la segunda generación fue efímera.

Después de la segunda generación, el avance fue lento hasta la aparición de las tecnologías

Frame Relay (FR) ATM. La 3ra generación está basada en el concepto de conmutación virtual de circuitos en las cual los paquetes de datos no contienen las direcciones origen/destino, sino indicadores de los circuitos virtuales involucrados en la transacción origen/destino.

Ante las necesidades de e-commerce a mediados de los ´90, los requisitos del usuario estaban

mejor definidos. Las organizaciones necesitaban una solución fácil de implementar, escalar y administrar; globalmente accesible y capaz de proporcionar alto nivel de seguridad de extremo a extremo. La generación actual de VPN (las IP VPN) reúnen todos estos requisitos mediante el empleo de tecnología de tunelización. ¿Qué puede ofrecer una VPN?

• Extensión geográfica de la conectividad • Mejora de la seguridad • Reducción de costos operacionales respecto de la WAN tradicional • Reducción de tiempos y costos de transporte para usuarios remotos • Mejora de la productividad • Simplificación de la topología de la red • Oportunidades globales de networking • Soporte de telecomunicaciones a distancia • Compatibilidad de conexiones de banda ancha • Retorno de la inversión más rápido que la tradicional WAN

6

TUNELIZADO o TUNNELING Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a

esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños. Las VPN confían en el tunneling para crear la red privada a través de Internet. Ambos extremos, por donde ingresa y sale el paquete se llaman “interfaces de túnel”.

Tunneling es la técnica de encapsular un paquete de datos en un protocolo de tunelización,

como IPSec, PPTP, o L2TP. El paquete es finalmente encapsulando (“tunelizado”) generalmente en un paquete IP y enrutado al destino.

Dado que el paquete original puede ser de cualquier tipo, el tunneling soporta tráfico multi-

protocolo, incluido IP, PPP, ISDN, FR y ATM. El tunneling requiere de tres protocolos diferentes:

• De transporte (Carrier protocol): Usado por la red que transporta la información. • De encapsulamiento (Encapsulating protocol): Es el que empaqueta o envuelve a

los datos originales (GRE, IPSec, L2F, PPTP, L2TP). • Protocolo viajero (Passenger protocol): Protocolo original de los datos transportados

(IPX, NetBeui, IP)

Requerimientos básicos de una VPN

Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione: • Identificación de usuario: debe ser capaz de verificar la identidad de los usuarios y

restringir el acceso a aquellos que no estén autorizados. Así mismo, proporciona registros estadísticos que muestren quien accedió, cuando y que información utilizó.

• Administración de direcciones: debe establecer una dirección para el cliente en la red

privada y debe cerciorarse que las direcciones privadas se conserven así. • Codificación de datos: Los datos que a transmitir por la red pública deben ser

previamente encriptados para que no puedan ser leídos por usuarios no autorizados. • Administración de claves: debe generar y renovar las claves de codificación para el

cliente y el servidor. • Soporte a protocolos múltiples: debe ser capaz de manejar los protocolos comunes

que se utilizan en la red pública. Estos incluyen el protocolo de Internet (IP), el intercambio de paquete de Internet (IPX) entre otros.

Distintos tipos de TUNNELING

Los distintos tipos de túneles que se pueden implementar son; (ver figura 20)

• VPN extremo a extremo (Site-to-Site VPN) • VPN de acceso remoto

OFICINA HOGAREÑA

USUARIO MÓVIL

COMPAÑÍA ASOCIADA(PARTNER)

OFICINA REMOTA

CASA CENTRAL

INTRANET VPN* Bajo Costo* Tunneled con

cuantiosos servicios VPN tales como encriptación IPSec, y QoS que asegura rendimiento muy confiable

* Más económica frente a Frame Relay y líneas dedicadas

EXTRANET VPN* Extiende la WAN a

partners* Provee seguridad de

Capa 3 (L3)

VPN DE ACCESO REMOTO

* Muy segura* Escalable* Túnel encriptados a

través de redes públicas mediante software del cliente

* Ahorro mediante discado gratuito

Figura 20

VPN extremo a extremo (Site-to-Site VPN)

Permite conectar múltiples sitios fijos, sobre una red pública como la Internet a través de

equipos dedicados y gran escala de encriptación. (figura 21) El protocolo de encapsulamiento que generalmente proporciona la estructura para encapsular

el protocolo “viajero” para el transporte basado en IP, es el GRE (Generic Routing Encapsulation). De incluir información sobre qué tipo de paquete está encapsulando e información sobre la conexión entre el cliente y servidor.

En el modo túnel también se usa como protocolo de encapsulamiento IPSec, que opera tanto

en protocolos VPN site-to-site como de acceso remoto. IPSec debe ser soportado por ambas interfaces del túnel.

Figura 21: Tunneling extremo a extremo

7

Las “Site-to-site VPN” pueden ser de dos tipos:

• Basadas en Intranet: Se pueden conectar múltiples LAN remotas mediante una Intranet VPN de manera de crear una única red privada (P.ej. Conexión de distintas sucursales con casa central).

• Basadas en Extranet: Permite construir una conexión LAN a LAN mediante una Extranet, lo que permite que varias compañías trabajen en un ambiente compartido (P.ej. compañía con partners, proveedores o clientes)

VPN de acceso remoto

También conocida como Red dial-up Privada Virtual (VPDN: Virtual Private Dial-up

Network), consiste conexiones remotas de usuarios que necesitan conectarse a la LAN de la compañía desde varios sitios remotos

Típicamente, la corporación pasa los requerimientos a un ESP (Enterprise Service

Provider). Este prepara un servidor de acceso de red (NAS: Network Access Server) y les proporciona el software a los usuarios remotos mediante el empleo de tecnología de tunelización.

En una VPN de acceso remoto, normalmente se utilizan protocolo basados en PPP (Point-to-

Point Protocol). PPP es el portador para otros protocolos de IP que se comunican a través de la red. El tunneling por acceso remoto confía en PPP.

Los protocolos indicados en la figura 22, que son empleados por las VPN de acceso remoto,

usan la estructura básica de PPP:

200.1.1.20

ISP

ISP

199.1.1.6

199.1.1.10 Servidor de Túneles

Rango 199.1.1.245-254Túnel

199.1.1.24

Origen: 200.1.1.20 Destino: 199.1.1.10

Origen: 199.1.1.245

Destino: 199.1.1.69 POP (Point of Presence)

Red 200.1.1.0/24 Ping 199.1.1.69

Origen: 199.1.1.245

Destino: 199.1.1.69

Servidor con acceso restringido a usuariosde la red 199.1.1.0/24

Red 199.1.1.0/24

Figura 22: Funcionamiento de un túnel VPN para usuario remoto

Bloques Constructivos de una VPN Como muestra la figura 23, una solución basada en VPN esta formada por seis elementos

fundamentales (o bloques constructivos) que se detallan debajo. 8

Figura 23

• Hardware VPN: Incluye servidores de VPN, clientes y otros dispositivos de hardware

como las router, gateways y concentradores. • Software VPN: Incluye software de servidores clientes VPN y herramientas de

administración. • Infraestructura de seguridad de la organización: Incluye RADIO, TACACS, NAT

y soluciones basadas en AAA. Protegen la Intranet de muchos desastres. Es una combinación de los siguientes mecanismos:

Firewalss NAT Servidores de autenticación y bases de datos: RADIUS (Remote Access Dial-In User Services) y TACACS (Terminal Access Controller Access Control System), los más conocidos.

Arquitectura AAA: (Authentication, Authorization, Accounting) IPSec

• El proveedor de servicio que soporta la infraestructura: Incluye el switch de acceso

a la red y backbone Internet. • Las redes públicas: Incluyen Internet, PSTN (Public Switched Telephone Networks)

y las viejas POTS (Plain Old Telephone Services) • Túneles: pueden ser basados de PPTP, L2TP, L2F, etc.

Arquitecturas de VPN

Pueden realizarse de muchas maneras. Por ejemplo, si dependen de que extremo se

implementa, de los requisitos básicos de seguridad, disponibilidad, QoS y así sucesivamente, se pueden clasificar en tres categorías.

Si dependen de los requisitos de seguridad, pueden dividirse en cuatro categorías. Si dependen de la capa del modelo OSI en la cual funciona la infraestructura global de VPN,

puede ser dividido en dos grupos. Finalmente, dependiendo de la escala y la complejidad, pueden ser clasificadas en cinco

clases. 9

Arquitecturas de VPN basadas en seguridad

Las siguientes categorías de VPN ofrecen una mejora de la seguridad de las Intranet:

Router a router. Figura 24 Firewall a firewall. Figura 25 Iniciada por el cliente Dirigida: no hace uso de túneles bidireccionales. Se establece un túnel unidireccional entre los extremos. Los datos son encriptados a nivel de Capa de Sesión (L5) OSI. El protocolo usado es el SOCKS v5.

Figura 24

Figura 25

Arquitecturas VPN basadas en Capas

Dependen de la capa del modelo OSI en la cual funciona la VPN.

• VPN de Capa de Enlace (Link-layer VPN) • VPN de Capa de Red (Network-layer VPN)

10

11

Link-layer VPN Como lo sugiere el nombre, las VPN de Capa de Enlace usan conectividad de Capa 2. Las

transacciones están limitadas a la red local porque usan direcciones MAC; por consiguiente, las L2-VPN son funcionalmente similares a las redes privadas.

Basadas en tecnologías de Capa 2, tenemos cuatro tipos:

Conexiones virtuales Frame Relay: Usa conexiones virtuales en la que ambos extremos

usan clocking adaptativo durante la transmisión. La tasa se ajusta a la aplicación y señalización. Tecnología VPN barata y CIR garantizado.

Conexiones virtuales ATM: Similares a FR, pero usan infraestructura ATM. Son más rápidas y buena performance. Son más caras que FR.

Multi-protocolo sobre ATM (MPOA): Basadas en ATM, pero soportan múltiples protocolos dependientes de los routers localizados al borde de la red privada. No es popular porque ATM no es aceptable en una intranet híbrida con varias tecnologías de gestión de redes.

Multi-Protocol Label Switching (MPLS): Provee un medio eficaz para establecer VPN basadas en IP a través de backbones WAN ATM. El router construye la VPN en la tabla de enrutamiento. A cada ruta se le asigna una etiqueta que envía información de ruteo a cada router conectado. Durante la transmisión, el dispositivo MPLS que recibe estos paquetes IP los encapsula usando etiquetas MPLS. Es la etiqueta MPLS y no el IP Header el que se usa para rutear los paquetes a través de la WAN. En el borde de la Intranet, cuando el paquete está a punto de acceder a la infraestructura basada en IP, la etiqueta de MPLS es removida.

Network-layer VPN

Las VPN de Capa de Red, también conocidas como L3-VPN, usan la funcionalidad de la Capa de Red y pueden organizarse dos categorías:

Modelo Peer-VPN: En este modelo, la Capa de Red envía los paquetes en un camino basado en saltos (hop-to-hop). El camino a cada router es considerado como el camino a la red destino. Todos los router en el camino de tránsito son consideradas como pares.

Modelo Overlay VPN: Al contrario del modelo Peer-VPN, este modelo no calcula el camino a la red del destino en una base hop-to-hop. La infraestructura de internetworking usa como un "cut-through" al próximo router en el camino de tránsito. Las tecnologías VPN basadas en ATM, FR y VPN usando tunneling son algunos ejemplos del modelo Overlay VPN.

Las redes VPN Layer 3 también son conocidas como VPDN (Virtual Private Dial Networks)

y usan dos tecnologías de tunneling de Capa 2: PPTP y L2TP.

Tecnología de Tunneling Básica Como hemos visto, las tecnologías VPN descansan en el tunelizado (tunneling). Mientras se

atribuye la efectividad del costo de las VPN al uso de Internet, la seguridad que ofrecen las VPN es el resultado directo de la tunelización.

El túnel es el componente más significativo de la tecnología VPN. Permite crear redes virtuales por Internet y otras redes públicas. Esta red virtual no puede se accedida por usuarios extraños o computadoras que no son una parte de la Intranet de la organización.

Tunneling es la técnica de encapsular un paquete de datos dentro de un paquete de otro

formato. En otras palabras, el encabezado (header) del protocolo de tunneling se añade al paquete original. El paquete resultante se transfiere al destino a través de la infraestructura de red intermedia.

El aspecto más importante del tunneling es que el paquete original, también llamado “carga

útil” (payload), puede pertenecer a un protocolo no soportado por la red. En lugar de transferir el paquete original que no sería ruteable por la red el protocolo de tunneling subyacente anexa el encabezado para el paquete tunelizado (tunneled packet). Este “header” proporciona la información de asignación de ruta necesaria para la entrega exitosa del paquete.

El tunnelig es análogo al correo al enviar una carta. Luego de escribir la carta, la coloca en un

sobre. Este sobre lleva la dirección del destinatario y del remitente (direcciones origen y destino). Cuando envía esta carta, se entrega al destinatario según la dirección del sobre. El destinatario necesita abrir el sobre para leer la carta. En tecnología de tunnelizado, la carta es equivalente a la carga útil original y el sobre representa el paquete del protocolo ruteable que encapsula la carga útil. La dirección en el sobre representa la información de la asignación de ruta que se añade al paquete.

Cuando un paquete tunelizado es ruteado al destino, viaja por la red a través de un camino

lógico. Este camino lógico es llamado el “túnel”. Al recibir un paquete tunelizado, el destinatario devuelve el paquete a su formato original. La figura 26 muestra el proceso.

Figura 26

Componentes del Tunneling

Para establecer un túnel entre dos extremos, son necesarios cuatro componentes: La red designada (Target network): Es la red que contiene los recursos que necesitan los

clientes para el acceso remoto que inician la sesión VPN. (La red designada también es llamada la “red residente” (home network) en algunas VPN).

El nodo iniciador: Es el cliente remoto o servidor que inicia la sesión VPN. El nodo iniciador puede ser una parte de una red local o puede ser un usuario móvil usando una laptop.

12

Agente Local HA (Home Agent): La interface de software que reside en el nodo de acceso (router) de la red designada. Sin embargo, un nodo destino, como un servidor de acceso

13

dial-up, también puede soportar el HA. El HA recibe y autentica el requerimiento entrante para verificar que son confiables. Luego de la autenticación exitosa, el HA permite el establecimiento del túnel.

El Agente Externo FA (Foreign Agent). La interface de software que reside en el nodo del iniciador o el nodo de acceso a la red (router) a la cual pertenece el nodo iniciador. El nodo iniciador usa el FA para pedir una sesión VPN al HA de la red designada.

Funcionamiento de la Tecnología Túnel

Puede ser dividido en dos fases:

Fase I: El nodo iniciador (o cliente remoto) solicita una sesión VPN y es autenticado por el correspondiente HA.

Fase II: La transferencia de datos ocurre a través del túnel.

En la Fase I, se inicia una demanda de conexión y se negocian los parámetros de la sesión. Esta fase también se conoce como ”establecimiento del túnel” Si la demanda se acepta y se negocian los parámetros de la sesión con éxito, se establece un túnel ambos extremos. Esto ocurre de la siguiente manera:

1. El iniciador envía el pedido de conexión al FA de la red. 2. El FA autentica el pedido mediante validación de un “login” y “password” emitida por el

usuario. (El FA generalmente usa servicio RADIUS-Remote Access Dial-Up Services) para autenticar la identidad del nodo iniciador.

3. Si el login y password no son validos, el pedido de sesión VPN es rechazado. Si el FA autentica la identidad del iniciador positivamente, este envía el pedido al HA de la red designada (target network).

4. Si el pedido es aceptado por el, el FA envía en forma encriptada el login y password correspondientes.

5. El HA verifica la información suministrada. Si la verificación es exitosa, el HA envía al FA una “Respuesta Registrada” (Register Reply), junto al número de túnel, al FA.

6. Un túnel es establecido cuando el FA recibe el Register Reply y el número de túnel.

Si los dos extremos no usan el mismo protocolo de tunneling, son negociados los parámetros variables de configuración túnel, tales como encriptación, parámetros de compresión, y mecanismos de mantenimiento del túnel.

Con el establecimiento del túnel, la Fase I es considerada terminada y comienza la Fase II o

fase de transferencia de datos. Las transacciones en esta fase ocurren como sigue: 1. El iniciado comienza a enviar los paquetes de datos al FA. 2. El FA crea el encabezamiento de túnel (tunnel header) y lo agrega a cada paquete de

datos. Luego se agrega al paquete la información del encabezado del protocolo ruteable (negociado en la Fase I).

3. El FA remite el paquete de datos encriptado resultante al HA usando el número de túnel suministrado.

4. Al recibir la información encriptada, el HA despoja el encabezado del túnel y del protocolo ruteable, obteniendo el paquete en su formato original

5. Los datos originales se envían al nodo destino en la red. Las figuras 27 y 28 muestran las dos fases del tunneling.

Figura 27

Figura 28

Formato del Paquete Tunelizado (Tunneled Packet)

Como se ha descrito, antes de que se entregue a la red designada por el túnel, el paquete de datos original es el encriptado por el FA. Este paquete encriptado, se conoce como paquete tunelizado (Tunneled Packet). El formato de un paquete tunelizado se muestra en Figura 29.

Como puede verse, un paquete tunelizado o Tunneled Packet, consiste de tres partes:

Figura 29

14

• Encabezamiento del protocolo ruteable (Header routable protocol): Contienen las direcciones del origen (FA) y del destino (HA). Como habitualmente las transacciones son sobre Internet, este header generalmente es el estándar IP y contiene las IP addresses del FA y HA involucrados en la transacción.

• Encabezamiento del paquete de túnel (Tunnel packet header): Este header contiene los cinco campos siguientes:

Tipo de Protocolo. Indica el tipo del protocolo original del paquete de datos

(payload). Checksum. Contiene la suma de verificación usada para chequear si el contenido

del paquete se corrompió durante la transmisión. Esta información es opcional. La clave (Key). Es usada para identificar o autenticar el origen de los datos

(iniciador). Número de Secuencia. Contienen el número que indica la secuencia en la serie

de paquetes transmitidos. Asignación de ruta origen (Source routing). Contiene información adicional de

routing. Este campo es opcional. • Carga Útil (Payload). Es el paquete original enviado por el iniciador al FA. También

contiene el encabezado original.

Protocolos de Tunneling La tecnología de Tunneling hace uso de tres tipos de protocolos:

• Protocolo de Transporte (Carrier protocol): Este protocolo es usado para encaminar los paquetes tunelizados al destino pretendido a través de la red. El paquete tunelizado es encapsulado dentro del paquete de este protocolo. Dado que debe enrutar el paquete a través de redes heterogéneas, tales como Internet, este protocolo debe ser ampliamente soportado. Como resultado, si el túnel es creado a través de Internet, el protocolo de transporte predominantemente usado es IP. No obstante, en caso de intranet privada, los protocolos de enrutamiento nativos pueden también servir de protocolo de transporte.

• Protocolo de Encapsulamiento (Encapsulating protocol): Estos protocolos son usados para encapsular la carga útil original. Además, también es responsable de la creación, mantenimiento y terminación del túnel. Actualmente los más usados son PPTP, L2TP y IPSec

• Protocolo Pasajero (Passenger Protocol): Los datos originales que necesitan ser encapsulados para su transmisión a través del túnel pertenecen a este protocolo. PPP y SLIP son ejemplos de protocolos pasajeros.

La figura 30 muestra el formato de paquetes tunelizados.

Figura 30

15

Tipos de Túneles

Hay dos tipos de túneles usados durante una sesión VPN. Basados en la forma en la cual es

creado un túnel, este puede ser voluntario u obligatorio

Túneles Voluntarios También conocidos como túneles extremo a extremo (end-to-end tunnels), son creados a

pedido del usuario (cliente). Como resultado, el nodo iniciador actúa como punto final del túnel. Por consiguiente, se crea un túnel por separado para cada sesión de usuarios. Después de que la comunicación entre ambos extremos acaba, el túnel se termina.

La figura 31 muestra un túnel voluntario

Figura 31

En el caso de un cliente remoto que usa una conexión dial-up, el cliente necesita primero

establecer la conexión. Éste es un paso preliminar para establecer los túneles y no es parte del protocolo de establecimiento del túnel. Sólo después que la conexión dial-up se completa puede el iniciador establecer el túnel al nodo destino. La situación es menos compleja en el caso de un cliente que está conectado a la red en forma permanente a la red local. Por consiguiente, no necesita establecer una conexión dial-up. Túneles Obligatorios

A diferencia de los túneles voluntarios, solicitados por los clientes, los túneles obligatorios (o

compulsivos) se configuran en un dispositivo intermedio. El NAS (Network Attached Storages) o servidor dialup son tales dispositivos intermedios. Este tipo de tunneling es llamado (compulsory tunneling) porque el iniciador debe usar el túnel creado por el dispositivo del intermedio.

El dispositivo intermedio usado para preparar los túneles VPN es conocido por los diferentes

protocolos de tunelización. Por ejemplo, en la terminología L2TP un dispositivo intermedio se llama LAC (L2TP Access Concentrator). En la terminología PPTP el dispositivo es conocido como FEP (Front End Processor). Para IPSec, el dispositivo intermedio que prepara el túnel durante una sesión VPN normalmente se llama IP Security Gateway.

En el caso de tunneling compulsivo, como el mostrado en la figura 32, tanto el cliente remoto

como el cliente conectado a la LAN deben conectarse al dispositivo intermedio generalmente 16

localizado en POP del ISP. Después de que la conexión se establece con éxito, el dispositivo intermedio crea el túnel.

Figura 32

Dado que el nodo iniciador no participa en la creación o configuración del túnel, no actúa

como punto final del mismo. En este caso, el dispositivo intermedio responsable del túnel, actúa como punto final. Los túneles compulsivos pueden ser compartidos por múltiples comunicaciones. El túnel no termina hasta que la última comunicación se haya completado.

Algunos expertos definen dos tipos de túneles basados en el periodo de actividad, así tenemos

túneles estáticos y túneles dinámicos. Los estáticos permanecen activos hasta que son finalizados, sin tener en cuenta la transmisión de datos. Estos tipos de túneles son caros y se usan en VPN site-to-site. Los túneles dinámicos solo se activan, cuando se necesita transferir dato. Son más seguros que los estáticos. Protocolos de Tunneling de Capa 2

Estos protocolos de tunelización son fundamentales para construir VPNs y afianzar las

transmisiones. Algunos de los más conocidos funcionan en la Capa de Enlace de Datos del modelo OSI mostrado en la figura 32

Figura 32

17

18

Estos incluyen los protocolos PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding) y L2TP (Layer 2 Tunneling Protocol).

Antes de discutir sobre estos protocolos, es conveniente conocer al protocolo PPP (Point-to-

Point Protocol) esencial para todos los protocolos de tunelización de Capa 2 que usan PPP. Protocolo Punto a Punto (Point-to-Point Protocol - PPP)

PPP es un protocolo de encapsulamiento que facilita el transporte de tráfico de la red a través

de enlaces seriales punto a punto. La principal ventaja de PPP es que puede operar DTE o DCE incluso EIA/TIA-232-C (conocido como RS-232C) e ITU-T V.35. Otro punto a favor de PPP es que no restringe las proporciones de la transmisión. Durante la transmisión, las únicas restricciones basadas en la transmisión son impuestas por la interfase DCE/DTE usadas.

Finalmente, el único requisito de PPP es la disponibilidad de una conexión dúplex

(bidireccional) que puede ser síncrona o asíncrona y puede operar en modo switched o dedicado. Además de la encapsulación de IP y de los datos no IP y su transporte por los enlaces serie,

PPP también es responsable de las siguientes funciones: • Asignación y administración de direcciones IP en datagramas no IP. • Configuración y prueba de los enlaces establecidos. • Encapsulamiento asíncrono y síncrono de datagramas. • Detección de errores durante la transmisión. • Multiplexing de múltiples protocolos de Capa 2. • Negociación de parámetros de configuración opcionales, como la compresión de datos y

direccionamiento.

PPP realiza esta funcionalidad con el uso de tres normas. • Un estándar para encapsular paquetes de datos sobre enlaces punto a punto. Este estándar

de encapsulamiento de paquetes es similar al protocolo HDLC. Sin embargo hay algunas diferencias entre ambos.

• Un estándar para establecimiento, configuración y prueba de la conexión punto a punto con ayuda del protocolo LCP (Link Control Protocol)

• Un estándar para el establecimiento y configuración de varios protocolos de Capa de Red y detección de errores durante la transmisión en la forma del protocolo NCP (Network Control Protocol)

Point-to-Point Tunneling Protocol (PPTP)

PPTP es una solución propietaria que habilita la transferencia de datos segura entre un cliente

remoto y un servidor creando una VPN a través de una internetwork basada en IP. Desarrollado por el Consorcio PPTP (Microsoft Corporation, Ascend Communications, 3COM, US Robotics y ECI Telematics), PPTP ofrece VPN bajo demanda (on-demand VPN) a través de redes inseguras. PPTP no sólo facilita las transmisiones seguras por las redes públicas basadas en TCP/IP, sino también por las Intranet privadas.

Históricamente, dos fenómenos han jugado un papel mayor en el éxito de PPTP en

conexiones de largas distancias. Éstos incluyen:

• Uso de PSTN (Public Switched Telephone Networks). PPTP permite el uso de PSTN para la implementación de VPN. Como resultado, el proceso de desarrollar VPN es notablemente simple y el costo total es significativamente pequeño. La razón de esto es simple, la necesidad de soluciones de conectividad basadas en líneas arrendadas y dedicadas son totalmente eliminadas.

• Soporte para protocolos no IP. A pesar que da a entender que se trata de redes basadas en IP, también soporta otros protocolos de red, como TCP/IP, IPX, NetBEUI, y NetBIOS. Por consiguiente, PPTP ha demostrado ser exitoso en el desarrollo de VPN para LAN privada y para crear VPN a través de redes públicas.

Rol de PPP en Transacciones PPTP

PPTP es una extensión lógica de PPP ya que no cambia la tecnología PPP subyacente. Sólo

define una nueva manera de transportar tráfico PPP por las redes públicas no seguras. Realmente como PPP, PPTP tampoco soporta conexiones múltiples. PPTP soporta conexiones punto a punto. Además, PPP cumple las siguientes funciones en las transacciones basadas en PPTP:

• Establece y termina las conexiones físicas entre ambos extremos. • Autentica clientes de PPTP. • Encripta IPX, NetBEUI, NetBIOS, y datagramas TCP/IP dentro de datagramas PPP y

asegura el intercambio de datos entre las partes involucradas.

PPP es muy similar en transacciones L2F y L2TP

La figura 33 muestra el papel de PPP en las transacciones basadas en PPTP

Figura 33

Componentes de Transacciones PPTP

Cualquier transacción basada en PPTP implementa por lo menos, tres componentes, como se

muestra en la figura 34. Estos componentes de PPTP son:

19

• Un cliente PPTP • Un Servidor de Acceso de Red (NAS - Network Access Server) • Un servidor PPTP

Figura 34

Clientes PPTP

Un cliente PPTP es un nodo de la red que soporta PPTP y puede requerir otro nodo para una

sesión VPN. Si la conexión es solicitada desde un servidor remoto, el cliente PPTP debe usar los servicios NAS de un ISP. Para esto, el cliente debe conectarse a un módem que se usa para establecer una conexión PPP dial-up al ISP. El cliente PPTP también debe conectarse a un dispositivo VPN para que pueda tunelizar la demanda (y los datos subsecuentes, si la demanda se acepta) al dispositivo VPN en la red remota. El enlace al dispositivo VPN remoto usa la primera conexión dial-up al NAS del ISP para establecer un túnel por Internet u otra red.

A diferencia de los requerimientos remotos de sesiones VPN, las demandas para una sesión de

VPN a un servidor local no requieren una conexión al NAS del ISP. Tanto el cliente y el servidor están físicamente conectados a la misma red (LAN), haciendo una conexión al NAS del ISP innecesaria. El cliente, en este caso, sólo requiere una sesión dial-up con el dispositivo de VPN en el servidor.

Como los requisitos de asignación de ruta a los paquetes PPTP para una demanda remota y

una local son diferentes, se procesan los paquetes asociados con dos demandas diferentemente. Los paquetes PPTP se ubican en un servidor local en el medio físico conectado al adaptador de red del cliente PPTP. Recíprocamente, el paquete PPTP a un servidor remoto se rutea a través de los medios de comunicación físicos conectados a un dispositivo de la telecomunicaciones, como un router. La colocación de paquetes PPTP en los medios de red se ilustra en la figura 35. 20

PPTP Servers Los Servidores PPTP son nodos de la red que soportan PPTP y son capaces de satisfacer

demandas de servicio para sesiones VPN de otros nodos remotos o locales. Para responder a las demandas remotas, estos servidores deben soportar también capacidades de enrutamiento. Un Servidor de Acceso Remoto (RAS - Remote Access Server) y cualquier otro Sistema Operativo de Red (NOS) que soporte PPTP, como Windows NT Server 4.0, puede actuar como un servidor de PPTP.

Figura 35

PPTP Network Access Servers (NAS)

Los PPTP NAS se ubican en el sitio del ISP y proporcionan conectividad a Internet a clientes

que usan PPP. Como la probabilidad de que muchos clientes pidan una sesión VPN simultáneamente es alta, estos servidores deben ser capaces de soportar múltiples concurrencia de clientes. Los PPTP NAS debe ser capaz de manejar una amplia gama de clientes. Procesos PPTP

PPTP emplea tres procesos para afianzar la comunicación basada en PPTP sobre medios de

comunicación no seguros. Estos procesos son • Establecimiento de conexión basada en PPP • Control de conexión • Tunneling PPTP y transferencia de datos

Data Tunneling y Procesamiento PPTP Un paquete de datos PPTP experimenta múltiples etapas de encapsulamiento que incluyen lo

siguiente: 21

22

1. Encapsulamiento de datos. La información original (carga útil) es encriptada y

encapsulada dentro de una trama PPP. Se agrega un encabezado PPP a la trama. 2. Encapsulamiento de tramas PPP. La trama PPP resultante se encapsula dentro de un

paquete GRE (GRE - Generic Routing Encapsulation). El encabezado GRE tiene 4 byte. Un campo de Reconocimiento (Acknowledgement) y su correspondiente bit de reconocimiento que notifica sobre la presencia del campo Acknowledgement. Además, el campo Clave (KEY) en la trama GRE es reemplazado por un campo de 2 bytes de longitud llamado Longitud de Carga Util (payload length) y un campo de 2 byte de longitud llamado Call ID. El cliente PPTP pone este campo cuando crea el túnel PPTP.

3. Encapsulamiento de paquetes GRE. Luego, se agrega un encabezado IP a la trama PPP la cual es encapsulada dentro del paquete GRE. Este encabezado IP contiene las direcciones IP origen del cliente PPTP y la del servidor destino.

4. Encapsulamiento de Capa de Enlace de Datos. PPTP es un protocolo de tunneling de

Capa 2. Por consiguiente, el encabezado de Enlace de Datos y el trailer juegan un importante rol en el tunelizado de datos. Antes de ser puestos en el medio de transmisión, la Capa de Enlace de Datos agrega su propio encabezamiento y trailer al datagrama. Si el datagrama tiene que viajar a través de un túnel PPTP local, el datagrama se encapsula con tecnología de LAN (como Ethernet). Por otro lado, si el túnel se ha establecido a trabes de una WAN, el encabezado y trailer que se agregan al datagrama son invariablemente PPP.

GRE es un mecanismo de encapsulamiento simple y versátil, de propósitos generales para

datos IP. Generalmente es usado por los ISP para enviar información de routing dentro de la intranets.

Cuando los datos PPTP son transferidos con éxito al destino, este debe procesar el paquete

tunelizado para extraer los datos originales. El proceso de extracción de los datos PPTP es exactamente a la inversa del tunelizado de los datos PPTP.

Pros y Contras de PPTP

Las principales ventajas ofrecidas por PPTP son: • Es una solución para productos Microsoft los cuales se usan ampliamente. • Puede soportar protocolos no IP. • Es soportado por varias plataformas, como Unix, Linux y Macintosh. Otras plataformas

que no soportan PPTP también pueden beneficiarse de los servicios PPTP usando routers con capacidad PPTP.

Las aplicaciones PPTP también tienen desventajas, que incluyen: • Es una opción más débil. L2TP e IPSec son tecnologías más seguras. • Es dependiente de la plataforma • Requiere configuración extensiva en el servidor PPTP y en el cliente. • Aunque se usa como una solución VPN, se necesita configurar un Servidor de

Enrutamiento y de Acceso Remoto (RRAS - Routing and Remote Access Server), en el caso de soluciones “Dial-on-Demand routing”.

• La mayor desventaja asociada con PPTP es su débil mecanismo de seguridad debido a la encriptación simétrica en el cual la clave se deriva de la contraseña del usuario. Esto es más arriesgado porque las contraseñas se envían en formato en claro para la autenticación.

Layer 2 Forwarding (L2F)

Como se ha mencionado, los servicios dial-up tradicionales son realizados a través de Internet

y por consiguiente está basado en tecnología IP. Esto es por qué las soluciones populares de tunneling, tales como PPP y PPTP, han demostrado tener más éxito con la infraestructura IP que con otras tecnologías de gestión de redes, como ATM y Frame Relay. La seguridad era otro problema. A pesar de las demandas de Microsoft de transacciones seguras, PPTP está basado en el MS-CHAP que, no es muy seguro. Estos problemas hicieron a las organizaciones buscar soluciones alternativas que ofrecieran servicios dial-up multiprotocolo más seguros.

Cisco, junto con Nortel, fueron los principales proveedores que comenzaron a trabajar en una

solución que debía: • Habilitar transacciones seguras. • Proporcionar acceso a través de la infraestructura subyacente de Internet y otras redes

públicas. • Soportar una amplia gama de tecnologías de red, como ATM, FDDI, IPX, Net-BEUI y

Frame Relay. • La alternativa presentada por Cisco fue L2F. Además de cumplir los objetivos principales

expresados más arriba, L2F ofreció un mayor avance en la tecnología de acceso remoto: el tunelizado L2F puede soportar simultáneamente más de una sesión dentro del mismo túnel. En términos simples, más de un usuario remoto puede acceder a una intranet privada usando una sola conexión dial-up. L2F logra esto definiendo conexiones múltiples dentro de un túnel dónde cada conexión representa un solo stream PPP. Estos stream pueden originar un solo usuario remoto o múltiples usuarios. Dado que un túnel puede soportar múltiples conexiones simultáneamente, se requieren menos conexiones desde el sitio remoto al ISP. Esto reduce los costos.

La figura 36 muestra el tunneling L2F

Figura 36

23

Procesos L2F Cuando un cliente remoto inicia una conexión dial-up a un host ubicado en una intranet

privada, los siguientes procesos se ejecutan secuencialmente:

1. El usuario remoto comienza una conexión PPP a su ISP. Si el usuario remoto es parte de una LAN, puede emplear ISDN u otro medio de conectividad para conectar al ISP. Como alternativa, si el usuario no es parte de alguna intranet, necesitará usar servicios PSTN.

2. Si los NAS presentes en el POP del ISP acepta la demanda, la conexión PPP se establece entre el NAS y el usuario.

3. El usuario es autenticado por el ISP. Para este propósito es usado CHAP o PAP. 4. Si no existe ningún túnel a la entrada de la red destino, se comienza uno. 5. Después de establecido un túnel, se asigna una MID (Multiplex ID) única a la conexión.

Un mensaje de notificación se envía a la entrada del gateway de la red del host. Este mensaje notifica al gatgeway acerca de la demanda para la conexión del usuario remoto.

6. El gateway puede aceptar la demanda de conexión o puede rechazarla. Si la demanda se rechaza, se notifica al usuario sobre el fracaso de la demanda y la conexión dial-up finaliza. Por otro lado, si la demanda se acepta, el gateway envía al cliente remoto la notificación del establecimiento inicial. Esta respuesta puede incluir información de autenticación usada por el gateway para autenticar al usuario remoto.

7. Después de que el usuario es autenticado por el gateway de la red del host, se establece una interface virtual entre ambos extremos.

Si se usa CHAP para la autenticación del usuario, la respuesta incluye el desafío,

“username”, y “raw response” (respuesta en crudo). Para las autenticaciones basadas en PAP, la respuesta incluye “username”, y “password” en texto claro (sin encriptar).

La figura 37 muestra el proceso completo de establecimiento de un túnel L2F entre dos usuarios finales.

Figura 37

24

Tunelizado L2F Cuando un usuario remoto se autentica, se establece un túnel entre el NAS del ISP y el

gateway de la red del host remoto, como se muestra en la figura 38.

Figura 38

Después de haber establecido un túnel entre ambos extremos, pueden intercambiarse las

tramas de Capa de Enlace sobre el túnel como sigue: 1. El usuario remoto envía las tramas normales al NAS localizado en el ISP. 2. El POP toma la información de la Capa de Enlace de Datos y agrega el encabezado L2F y

trailer de la trama. La trama así encapsulada se envía a la red destino a través del túnel. 3. El gateway acepta estos paquetes tunelizados, extrae el encabezado y trailer L2F y envía

las tramas al nodo destino dentro de la intranet. 4. El nodo destino procesa las tramas recibidas como tramas no tunelizadas.

Los túneles L2F son también conocidos como "interfaces virtuales".

Cualquier respuesta del host destino sufre el proceso inverso. Es decir, el host envía una trama

normal de Capa de Enlace de Datos (Data Link) al gatgeway, el cual encapsula la trama en un paquete L2F, y lo remite al NAS localizado en el ISP. El NAS despoja la información de la trama L2F y agrega la información propia de la Capa de Enlace de el. La trama se remite entonces al usuario remoto.

Encriptación de Datos en L2F

L2F usa MPPE (Microsoft Point-to-Point Encryption) para propósitos básicos de

encriptación. Sin embargo, MPPE no es una apuesta segura contra las técnicas de hacking actuales. Como resultado, L2F también usa encriptación basada en el protocolo IPSec (IPSec - Internet Protocol Security) para asegurar la transmisión segura de los datos. IPSec usa dos protocolos para encriptación ESP (ESP - Encapsulating Security Payload) y AH (AH - Authentication Header). Además, para acentuar la clave de seguridad durante la fase de

25

26

intercambio de claves, IPSec usa un tercer protocolo llamado el Internet Llave Intercambio IKE (IKE - Internet Key Exchange).

La mayor ventaja de la tecnología de encriptación IPSec es que fuerza la autenticación de

cada paquete individualmente en lugar de la práctica común de autenticación del usuario. En los mecanismos de autenticación de usuario, en cada extremo se autentica al usuario sólo una vez al principio de la comunicación. Sin embargo, como podría esperarse, la estrategia de autenticación de paquetes es más lenta que la de autenticación de usuario e incurre en el sobrecargas (overheads) comparativamente grandes. No obstante, IPSec se recomienda como el protocolo de seguridad para todos los protocolos de tunelización VPN, sea PPTP, L2F o L2TP. Autenticación de Datos L2F

La autenticación L2F se cumple en dos niveles. El primer nivel de autenticación L2F ocurre

cuando un usuario remoto marca al POP del ISP. Aquí, el proceso de establecimiento del túnel sólo comienza después de que el usuario se ha autenticado. El segundo nivel de autenticación se hace en el gateway de la red del host que no establece un túnel entre ambos extremos (NAS y el mismo) hasta que autentique al usuario remoto.

Parecido a PPTP, L2F también usa servicios de seguridad soportados por PPP para la

autenticación. Como resultado, L2F usa PAP para autenticar un cliente remoto cuando una gateway L2F recibe una petición de conexión. L2F también usa los siguientes esquemas de autenticación para mejorar la seguridad de los datos:

• CHAP (Challenge Handshake Authentication Protocol). CHAP fue desarrollado para evitar enviar contraseñas en texto claro como es el caso de PAP. En CHAP, cuando un cliente es desafiado para su identificación, responde con un valor hashed secreto derivado del algoritmo de hashing MD5. Si es calculado el mismo valor de hash en el servidor que usa el mismo procedimiento del cliente, este es autenticado con éxito. Por consiguiente, no se intercambia ninguna contraseña en texto claro durante el proceso. Otro problema normalmente asociado con PAP es que los usuarios sólo se autentican una vez durante el proceso de comunicación. CHAP, sin embargo, puede forzar múltiples desafíos de autenticación durante una sesión lo que hace más a un hacker irrumpir en la comunicación.

• EAP (Extensible Authentication Protocol). A diferencia de los métodos PAP y CHAP

que se realizan en el momento de configuración del LCP, durante el establecimiento de la conexión PPP, EAP es realizado después de la fase LCP, cuando se ha efectuado la autenticación PPP. Por consiguiente, EAP permite un incremento en la autenticación porque aumenta el número de parámetros de conexión que pueden usarse opcionalmente como autenticación de la información.

L2F también usa SPAP (SPAP - Shiva Password Authentication Protocol) para la

autenticación. SPAP es un protocolo propietario que usa contraseñas encriptadas y puede soportar mejoras de funcionalidad, como intercambio de contraseñas y soporte de mecanismos de callback.

Además de los mecanismos de la autenticación mencionados, L2F emplea también RADIUS

(RADIUS - Remote Access Dial-In User Service) y TACACS (TACACS - Terminal Access Controller Access Control Service) como servicios de autenticación adicionales. Ambos autentican a usuarios que acceden el servidor de acceso remoto local, si el servidor de acceso

27

remoto no autentica a estos usuarios. La autenticación RADIUS y TACACS generalmente se lleva a cabo en el ISP y grande organizaciones.

Pros y Contras de L2F

Aunque L2F exige tratar con diferentes LCP y opciones de autenticación, es más extenso que

PPTP porque es una solución de envío de tramas de bajo nivel. También provee una mejor solución para las plataformas VPN que PPTP.

Las ventajas principales de llevar a cabo una solución basada en L2F incluyen lo siguiente: • Mejora en la seguridad de las transacciones • Independencia de la plataforma • Ninguna necesidad de arreglos especiales con el ISP • Soporta un amplio rango de tecnologías de networking como ATM, FDDI, IPX,

NetBEUI y Frame Relay.

A pesar de las ventajas arriba mencionadas, existen algunas desventajas asociadas con L2F:

• Las soluciones basadas en L2F requieren extensa configuración y soporte. • La solución de una aplicación basada en L2F es muy dependiente del ISP. Si el ISP no

soporta L2F, la aplicación no es posible. • L2F no provee control de flujo. Como resultado, si el túnel se congestiona, los paquetes

de datos pueden serán descartados arbitrariamente. Esto causa la retransmisión de los datos haciendo más lenta la velocidad de las transacciones.

• Debido al gran overheads asociado con la autenticación y encriptación L2F, las transacciones transportadas por los túneles L2F son lentas comparadas con PPTP.

Con el desarrollo de L2F, había dos tecnologías de tunneling, PPTP y L2F, compitiendo por

el control del mercado de VPN. Estos dos protocolos eran incompatibles. IETF decidió acabar con la confusión combinando los rasgos de ambas tecnologías para producir un protocolo que se usaría como un estándar en las soluciones VPN. El protocolo de Tunneling de Capa 2 (L2TP - Layer 2 Tunneling Protocol) era el resultado de este mandato. Layer 2 Tunneling Protocol (L2TP)

Desarrollado por IETF y apoyado los gigantes de la industria, como Cisco, Microsoft, 3COM,

y Ascend, L2TP es una combinación de protocolos VPN anteriores, PPTP y L2F. De hecho, acopla las mejores características de ambos. L2TP proporciona solución de acceso remoto flexible, escalable y rentable L2F y la conectividad point-to-point rápida de PPTP.

La clave se los beneficios ofrecidos por L2TP, son: • Soporta múltiples protocolos y tecnologías de networking como IP, ATM, FR, y PPP. • Provee acceso a Internet y otras redes públicas, como PSTN. • No requiere software extra, como drivers adicionales o soportes del sistema operativo. • Permite a los usuarios con IP privadas acceder a la red remota a través de la red pública. • La autenticación y autorización de L2TP es ejecutada por los gateway de la red. Por

consiguiente, los ISP no necesitan mantener una Base de Datos de autenticación o de derechos de acceso para los usuarios remotos.

La principal característica de L2TP es establecer túneles PPP que, a diferencia de PPTP, no

son terminados por el ISP cercano. Estos túneles se extienden en el gateway destino), como se muestra en la Figura 39.

Figura 39: El Túnel L2TP Cuando las tramas PPP se envían a través del túnel L2TP, se encapsulan como mensajes UDP

(UDP – User Datagram Protocol). Componentes L2TP

Las transacciones basadas en L2TP básicamente emplean tres componentes, un Servidor de

Acceso de Red (NAS - Network Access Server), un Concentrador de Acceso L2TP (LAC - L2TP Access Concentrator), y un servidor de Red L2TP (LNS - L2TP Network Server). Network Access Server (NAS)

Los NAS L2TP son dispositivos de acceso punto a punto que proporcionan la conectividad a

Internet bajo demanda a usuarios remotos dial-up que discan (a través de líneas PSTN o ISDN) usando conexiones PPP. Los NAS son responsables de autenticar a los usuarios remotos a los ISP y determinar si realmente se requiere una conexión dial-up virtual. Igual a los NAS PPTP, las NAS L2TP se localizan en el ISP y actúan como clientes en el proceso de establecimiento de túneles L2TP. Los NAS pueden responder y soportar múltiples conexiones para un amplio rango de clientes que solicitan conexiones simultáneamente y puede soportar una amplia gama de clientes (Microsoft, Unix, Linux, VAX-VMS, y más). L2TP Access Concentrators

El papel de los LAC en la tecnología de tunelización L2TP es establecer un túnel a través de

las redes públicas (como PSTN, ISDN o Internet) para el servidor LNS del extremo del gateway de red del host. De esta manera, los LAC sirven como el punto de la terminación del medio de comunicación físico entre el cliente y el LNS de la red.

28

29

La cosa más importante a acordarse de los LAC es que generalmente se localizan en el ISP. Sin embargo, el usuario remoto también puede actuar como LAC en el caso de tunelizado L2TP voluntario. L2TP Network Server

Los LNS, como se ha mencionado anteriormente, se localiza en el extremo del gateway de la

red. Por consiguiente, ellos son usados para terminar la conexión L2TP del extremo del gateway de la misma manera como el LAC termina el túnel en el extremo del cliente. Cuando un LNS recibe una demanda para una conexión virtual de un LAC, establece el túnel y autentica al usuario que comenzó la demanda de conexión. Si el LNS acepta la demanda de conexión, crea la interface virtual.

L2TP Modo Túnel

L2TP soporta túneles de dos modos, el modo compulsivo (compulsory tunnel mode) y el

modo voluntario (voluntary tunnel mode). Estos túneles juegan un papel importante en la transmisión segura de datos de un extremo a otro. Seguridad L2TP

L2TP usa métodos de autenticación de usuarios PPP. Los esquemas de autenticación L2TP

son: • PAP y SPAP • EAP • CHAP

Además de los mecanismos de autenticación mencionados, L2TP también usa IPSec para

autenticar los paquetes de datos individuales. Aunque esto reduce la velocidad de transacciones considerablemente, mientras se use IPSec para la autenticación del paquete, asegura que hackers y crackers no tengan chances con los túneles y datos.

Encriptación de Datos en L2TP

L2TP usa a menudo ECP para la encriptación. ECP (Encryption Control Protocol) soporta el

protocolo de encriptación y se usa para negociar los algoritmos de encriptación como DES, después de que el enlace establecido. Por consiguiente, ECP ofrece capacidades de encriptación avanzada además de construir mecanismos de encriptación soportados por PPP. Sin embargo, la desventaja principal asociada con ECP es que las claves, una vez intercambiadas entre los dos extremos, no se refrescan periódicamente. Esto aumenta la posibilidad de que un hacker pueda descubrir las claves en sesiones prolongadas Pros y Contras de L2TP

Las principales ventajas ofrecidas por L2TP son: • L2TP es una solución genérica. En otras palabras, es una plataforma independiente, que

soporta varias tecnologías de networking. Además, puede soportar transmisiones a través de enlaces WAN no IP sin necesidad de IP.

30

• El tunneling L2TP es transparente al ISP así como a l usuario remoto. Además, no necesita configuración adicional del usuario o del ISP.

• L2TP permite controlar la autenticación de usuarios en lugar del ISP. • L2TP provee control de flujo y como resultado los paquetes de datos pueden ser

descartados arbitrariamente si el túnel está congestionado. Esto hace que las transacciones basadas en L2TP sean más rápidas que las basadas en L2F.

• L2TP permite a los usuarios con dirección es IP no registradas (o privadas) el acceso a la red de la empresa a través de la red pública.

• L2TP ofrece mejoras en la seguridad debido al uso de encriptación de carga útil basada en IPSec durante el tunneling, y a la capacidad de implementación de autenticación de paquetes IPSec.

La implementación de L2TP también tiene sus desventajas. Las más importantes son: • L2TP es más lenta que PPTP o L2F debido al uso de autenticación IPSec de cada paquete

recibido. • Aunque PPTP se usa como una solución para construir VPN, un servidor RRAS (RRAS -

Routing and Remote Access Server) necesita extensa configuración.

Puede referirse a la RFC 2661 para la información detallada sobre L2TP. Esta RFC está disponible en http://www.armware.dk/RFC/rfc/rfc2661.html.