Una VPN es una red privada que se crea mediante el uso de tneles sobre una red pblica, usualmente

Internet. En lugar de utilizar conexiones fsicas dedicadas, una VPN utiliza conexiones virtuales enrutadas a travs de Internet, desde la organizacin hasta el sitio remoto. Las primeras VPNs eran estrictamente tneles IP, los cuales no incluan autenticacin o cifrado de los datos. Por ejemplo, Generic Routing Encapsulation (GRE) es un protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia variedad de protocolos de capa de red dentro de tneles IP. Esto crea un enlace virtual punto a punto entre routers Cisco en puntos remotos sobre una red IP. Las VPNs tienen muchos beneficios; Costos menores, Seguridad, Escalabilidad y Compatibilidad con tecnologa de banda ancha. Existen dos tipos bsicos de redes VPN: Sitio a sitio Acceso remoto Una VPN de sitio a sitio se crea cuando los dispositivos de conexin en ambos extremos de la conexin VPN conocen la configuracin VPN de antemano. La VPN permanece esttica y los hosts internos no tienen conocimiento de la existencia de la VPN. Una VPN de sitio a sitio es una extensin de una red WAN clsica. Las VPNs de sitio a sitio conectan redes completas entre s. Por ejemplo, pueden conectar redes de sucursales a la red de la oficina central de la compaa. Una VPN de acceso remoto se crea cuando la informacin de la VPN no se configura en forma esttica, sino que se permite que la informacin cambie en forma dinmica y puede ser habilitada o deshabilitada. Considere un trabajador a distancia que necesita acceder a datos corporativos a travs de Internet. Su conexin VPN puede no estar activa en todo momento. La VPN crea una red privada a travs de una infraestructura de red pblica, mientras mantiene la confidencialidad y la seguridad. Las VPN usan protocolos de

tunneling criptogrficos para brindar proteccin contra detectores de paquetes, autenticacin de emisores e integracin de mensajes.

IPSEC IPsec es un estndar IETF (RFC 2401-2412) que define cmo debe configurarse una VPN utilizando el protocolo de direccionamiento IP. IPsec no est asociado a ningn tipo de cifrado, autenticacin, algoritmos de seguridad o tecnologa de claves especficos. IPsec es un framework de estndares abiertos que define las reglas para comunicaciones seguras. IPsec se basa en algoritmos existentes para implementar el cifrado, la autenticacin y el intercambio de claves. El framework IPsec est formado por cinco bloques: El primero representa el protocolo Ipsec de seguridad . Las opciones incluyen ESP o AH. El segundo representa el tipo de confidencialidad implementada utilizando un algoritmo de cifrado como DES, 3DES, AES o SEAL. La opcin depende del nivel de seguridad requerido. El tercero representa la integridad, que puede implementarse utilizando MD5 o SHA. El cuarto representa cmo se establece la clave secreta compartida. Los dos mtodos posibles son pre-compartida y firma digital utilizando RSA. El ltimo representa el grupo de algoritmos DH. Existen cuatro algoritmos de intercambio de clave DH diferentes de los cuales es posible elegir: DH Group 1 (DH1), DH Group 2 (DH2), DH Group 5 (DH5) y DH Group 7 (DH7). El tipo de grupo seleccionado depende de las necesidades especficas.

IPsec puede asegurar un camino entre un par de gateways, un par de hosts o un gateway y un host. Utilizando el framework, IPsec provee las siguientes funciones esenciales de seguridad: Confidencialidad - IPsec asegura la confidencialidad mediante el uso de cifrado. Integridad - IPsec asegura que los datos llegan a destino sin modificaciones, utilizando algoritmos de hash como MD5 y SHA. Autenticacin - IPsec utiliza IKE (Internet Key Exchange) para autenticar a los usuarios y dispositivos que puedan llevar a cabo comunicaciones en forma independiente. IKE utiliza varios tipos de autenticacin, incluyendo nombre de usuario y contrasea, contrasea de un nico uso, biomtrica, claves precompartidas (PSKs) y certificados digitales. Intercambio seguro de claves - IPsec utiliza el algoritmo DH para proveer un mtodo de intercambio de claves pblicas entre los pares, para establecer una clave compartida secreta. Protocolos de seguridad IPSEC Authentication Header (AH) - AH, que es el protocolo IP 51, es el protocolo apropiado para utilizar cuando no se requiere o no se permite la confidencialidad. Asegura que el origen de los datos es R1 o R2 y verifica que los datos no han sido

modificados durante la transmisin. AH no provee confidencialidad de datos (cifrado) de los paquetes. Todo el texto se transporta sin cifrar. Si se utiliza nicamente el protocolo AH, se provee una proteccin dbil. Encapsulating Security Payload (ESP) - ESP, que es el protocolo IP 50, puede proveer confidencialidad y autenticacin. Proporciona confidencialidad ejecutando el cifrado de los paquetes IP. El cifrado de estos paquetes resguarda los datos y la identidad tanto del origen como del destino. ESP provee autenticacin para el paquete IP interno y el encabezado ESP. La autenticacin proporciona la autenticidad del origen de los datos y la integridad de los mismos Si se selecciona ESP como protocolo IPsec, debe tambin seleccionarse un algoritmo de cifrado. El algoritmo por defecto para IPsec es DES de 56 bits. Los productos Cisco tambin soportan el uso de 3DES, AES y SEAL, para un cifrado ms fuerte. ESP y AH pueden aplicarse a los paquetes IP de dos formas diferentes, en modo transporte y en modo tnel.