INSTITUTO TECNOLGICO

DE ACAPULCO

INGENIERIA EN SISTEMAS COMPUTACIONALES









Profesor: Dr. De La Cruz Gmez Eduardo

Unidad III: Prctica VPN

Integrantes del Equipo:

Rodrguez Martnez Juan Manuel 09320873
Eduardo Ramrez Gmez 09320855
Jonathan E. Romero Jacobo 093208!
Ja"ro Manuel #ozano Mendoza 0932078



12 de Mayo de 2014






Admn. De la eguridad


2
2
$nd"ce de %onten"do
Introduccin ........................................................................................................................................ 3
Marco Terico ..................................................................................................................................... 4
Tipos de VPN ................................................................................................................................... 6
Protocolos de tnel ............................................................................................................................. 7
Protocolo de tnel punto a punto (PPTP) ....................................................................................... 7
Protocolo de tnel de capa dos (L2TP) ...........................................................................................
Protocolo IP!ec ............................................................................................................................... "
#l$orit%os de autenti&icacin ................................................................................................... '6
()*eti+o ............................................................................................................................................. '"
,esarrollo Pr-ctico ............................................................................................................................ 2.
/on&i$urando el ser+idor VPN ....................................................................................................... 2'
0esultados ......................................................................................................................................... 3"
/onclusiones ..................................................................................................................................... 4"
1i)lio$ra&2a ........................................................................................................................................ 3.








3
3
&ntroducc"n

4l t5r%ino Red 'r"(ada ("rtual (a)re+iado )*+)6 !e dice 7ue esta red es virtual por7ue conecta dos
redes 8&2sicas8 (redes de -rea local) a tra+5s de una cone9in poco &ia)le (Internet) : privada por7ue
slo los e7uipos 7ue pertenecen a una red de -rea local de uno de los lados de la VPN pueden 8+er8
los datos.

Por lo tanto6 el siste%a VPN )rinda una cone9in se$ura a un )a*o costo6 :a 7ue todo lo 7ue se
necesita es el ;ard<are de a%)os lados. !in e%)ar$o6 no $aranti=a una calidad de ser+icio
co%para)le con una l2nea dedicada6 :a 7ue la red &2sica es p)lica : por lo tanto no est- $aranti=ada.
>na red pri+ada +irtual se )asa en un protocolo deno%inado 'rotocolo de t,nel6 es decir6 un
protocolo 7ue ci&ra los datos 7ue se trans%iten desde un lado de la VPN ;acia el otro.


La pala)ra 8tnel8 se usa para si%)oli=ar el ;ec;o 7ue los datos est5n ci&rados desde el %o%ento
7ue entran a la VPN ;asta 7ue salen de ella :6 por lo tanto6 son inco%prensi)les para cual7uiera 7ue
no se encuentre en uno de los e9tre%os de la VPN6 co%o si los datos +ia*aran a tra+5s de un tnel.
4n unaVPN de dos e7uipos6 el cliente de VPN es la parte 7ue ci&ra : desci&ra los datos del lado del
usuario : el servidor VPN (co%n%ente lla%ado -er("dor de acce-o remoto) es el ele%ento 7ue
desci&ra los datos del lado de la or$ani=acin.

,e esta %anera6 cuando un usuario necesita acceder a la red pri+ada +irtual6 su solicitud se trans%ite
sin ci&rar al siste%a de pasarela6 7ue se conecta con la red re%ota %ediante la in&raestructura de
red p)lica co%o inter%ediaria? lue$o trans%ite la solicitud de %anera ci&rada. 4l e7uipo re%oto le
proporciona los datos al ser+idor VPN en su red : 5ste en+2a la respuesta ci&rada. /uando el cliente
de VPN del usuario reci)e los datos6 los desci&ra : &inal%ente los en+2a al usuario.
4l concepto de VPN ;a estado presente desde ;ace al$unos a@os en el %undo de la redes. #
%ediados de los .As6 $randes portadoras &ueron o&recidas co%o VPN para ser+icios de +o=6 de
%anera 7ue las co%pa@2as pod2an tener la apariencia de una red pri+ada de +o=6 %ientras
co%part2an los recursos de una red %uc;o %a:or. 4ste concepto se est- aplicando a;ora tanto para


4
4
+o= co%o para datos de la %is%a %anera. 4sencial%ente una VPN es una red de datos
aparente%ente pri+ada6 pero la cual utili=a los recursos de una red de in&or%acin %uc;o %a:or.
La Internet es la plata&or%a ideal para crear una VPN.
4n un principio e9ist2an dos tipos )-sicos de tecnolo$2as VPN6 las cuales &ueron la )ase de las VPN
;o: en d2aB VPN con&ia)les : VPN se$uras. Las VPN ;2)ridas6 sur$ieron co%o consecuencia de un
desarrollo tecnol$ico : de los a+ances de la Internet.
#ntes de 7ue la Internet se +ol+iera uni+ersal6 una VPN consist2a en uno o %-s circuitos rentados a
un pro+eedor de co%unicaciones. /ada circuito rentado actua)a co%o un ca)le independiente6 el
cual era %ane*ado por el cliente. La idea )-sica era 7ue el cliente usara el circuito de la %is%a
%anera en 7ue usa)a los ca)les &2sica%ente en su red local.
La pri+acidad con la 7ue conta)an estas VPN no era %-s 7ue la 7ue el pro+eedor del ser+icio de
co%unicacin le otor$a)a al cliente? nadie %-s pod2a usar el %is%o circuito. 4sto per%it2a a los
clientes tener su propia direccin IP : pol2ticas de se$uridad independientes. >n circuito rentado
corr2a so)re uno o %-s s<itc; de co%unicacin6 de los cuales6 cual7uiera pod2a ser co%pro%etido
por al$n operador 7ue tratara de %onitorear el tr-&ico de las l2neas. 4l cliente VPN ten2a 7ue con&iar
la inte$ridad de los circuitos : de la in&or%acin en el pro+eedor de ser+icio VPN? por este %oti+o
este tipo de redes era lla%ado VPN con&ia)le.
/on el paso del tie%po la Internet se +ol+i %-s popular co%o %edio de co%unicacin corporati+o6
: la se$uridad se +ol+i un tpico de %a:or i%portancia. /on el antecedente de las VPN con&ia)les6
se )uscaron i%ple%entaciones 7ue no a&ectaran la pri+acidad de la in&or%acin : 7ue inclu:eran la
inte$ridad de los datos en+iados. !e e%pe=aron a crear protocolos 7ue per%itieran la encriptacin
del tr-&ico en al$n e9tre%o de la red6 7ue se %o+iera a tra+5s de la Internet co%o cual7uier otra
in&or%acin6 para lue$o ser desci&rado cuando alcan=ara la red de la corporacin o al destinatario.
Marco Terico

>na red VPN (red pri+ada +irtual) es una red pri+ada construida dentro de una in&raestructura de
red p)lica6 co%o por e*e%plo Internet. Las e%presas pueden usar una red VPN para conectar de
%anera se$ura o&icinas : usuarios re%otos por %edio de un acceso a Internet econ%ico
su%inistrado por un tercero6 en lu$ar de a tra+5s de enlaces C#N dedicados o enlaces de acceso
tele&nico de lar$a distancia.
Las or$ani=aciones pueden usar una red VPN para reducir sus costes de anc;o de )anda de C#N6 a
la +e= 7ue au%entan las +elocidades de cone9in al usar la conecti+idad a Internet de anc;o de
)anda ele+ado6 tales co%o ,!L6 4t;ernet o ca)le.
>na red VPN proporciona el %-9i%o ni+el de se$uridad posi)le a tra+5s de !e$uridad IP ci&rada
(IPsec) o tneles VPN !ecure !ocDets La:er (!!L) : tecnolo$2as de autenticacin. 4stas redes


3
3
prote$en los datos 7ue se trans%iten por VPN de un acceso no autori=ado. Las e%presas pueden
apro+ec;ar la in&raestructura de Internet &-cil de apro+isionar de la VPN6 para a@adir r-pida%ente
nue+os e%pla=a%ientos : usuarios. Ta%)i5n pueden au%entar enor%e%ente el alcance de la red
VPN sin a%pliar la in&raestructura de &or%a si$ni&icati+a.

.na red )*+ e/t"ende la -egur"dad a lo- u-uar"o- remoto-.
Las redes VPN !!L : VPN IPsec se ;an con+ertido en soluciones de VPN principales para conectar
o&icinas re%otas6 usuarios re%otos : partners co%erciales6 :a 7ueB
Proporcionan co%unicaciones se$uras con derec;os de acceso espec2&icos para los usuarios
indi+iduales6 co%o por e*e%plo e%pleados6 contratistas o partners
Me*oran la producti+idad al e9tender la red e%presarial : sus aplicaciones
0educen los costes de las co%unicaciones : au%entan la &le9i)ilidad
Los dos tipos de VPN ci&radas sonB
)*+ &*0ec de -"t"o a -"t"o1 4sta alternati+a a Era%e 0ela: o a las redes C#N de l2nea al7uilada
per%ite a las e%presas lle+ar los recursos de la red a las sucursales6 las o&icinas instaladas en
casa : los sitios de partners co%erciales.
)*+ de acce-o remoto1 4sta %odalidad lle+a pr-ctica%ente cual7uier aplicacin de datos6 +o=
: +2deo al escritorio re%oto6 e%ulando el escritorio de la o&icina principal. >na VPN de acceso
re%oto puede instalarse utili=ando VPN !!L6 IPsec o a%)as6 dependiendo de los re7uisitos de
i%ple%entacin.

VENTAJAS DE UNA VPN:
!e$uridadB pro+ee encriptacin : encapsulacin de datos de %anera 7ue ;ace 7ue estos
+ia*en codi&icados : a tra+5s de un tnel.
/ostosB a;orran $randes su%as de dinero en l2neas dedicadas o enlaces &2sicos.
Me*or ad%inistracinB cada usuario 7ue se conecta puede tener un nu%ero de IP &i*o
asi$nado por el ad%inistrador6 lo 7ue &acilita al$unas tareas co%o por e*e%plo %andar
i%presiones re%ota%ente6 aun7ue ta%)i5n es posi)le asi$nar las direcciones IP
din-%ica%ente si as2 se re7uiere.
Eacilidad para los usuarios con poca e9periencia para conectarse a $randes redes
corporati+as trans&iriendo sus datos de &or%a se$ura.






6
6
Tipos de VPN

TUNNELING

Los &a%osos ata7ues de ;o%)re en %edio se )asa en 7ue si al$uien conecta su %-7uina a una red
: utilice un snni&er reci)ir- : podr- +er los pa7uetes de datos 7ue circulan por esta red6
e9poniendose a %odi&icaciones de datos6 dene$acin del ser+icio6 entre otras. !i al$uno de los
protocolos 7ue estan tra)a*ando en+2a sus pa7uetes en claro6 : contiene in&or%acin sensi)le6 dic;a
in&or%acin se +er- co%pro%etida.
tunnelin$ es una &or%a de e+itar este pro)le%a6 sin de*ar por ello de utili=ar todos a7uellos
protocolos 7ue care=can de %edios de ci&rado6 pues las co%unicaciones se ci&ran con un siste%a
7ue per%ita entenderse slo a las dos %-7uinas 7ue participan en el interca%)io de datos6 al no
poder desci&rar los datos6 cual7uiera 7ue intercepte desde una tercera %-7uina los pa7uetes6 no
podr- ;acer nada con ellos.
1-sica%ente6 esta t5cnica consiste en a)rir cone9iones entre dos %-7uinas por %edio de un
protocolo se$uro6 co%o puede ser !!F (!ecure !Fell)6 a tra+5s de las cuales reali=are%os las
trans&erencias inse$uras6 7ue pasar-n de este %odo a ser se$uras. !iendo la cone9in se$ura (en
este caso de ss;) el tnel por el cual se en+2an los datos para 7ue nadie %-s aparte de los
interlocutores 7ue se sitan a cada e9tre%o del tnel6 pueda +er dic;os datos. 4ste tipo de t5cnica
re7uiere de &or%a i%prescindi)le tener una cuenta de acceso se$uro en la %-7uina con la 7ue se
7uiere co%unicar los datos.
VPN sitio-a-sitio

4ste es7ue%a se utili=a para conectar o&icinas re%otas con la sede central de or$ani=acin. 4l e7uipo
central +pn6 7ue posee un +2nculo a Internet per%anente6 acepta las cone9iones +2a Internet
pro+enientes de los sitios : esta)lece el 8tnel8 +pn. Los ser+idores de las sucursales se conectan a
Internet utili=ando los ser+icios de su pro+eedor local de Internet6 t2pica%ente %ediante cone9iones
de )anda anc;a. 4sto per%ite eli%inar los costosos +2nculos punto a puntos tradicionales6 so)re
todo en las co%unicaciones internacionales.

VPN de acceso remoto

Muc;as e%presas ;an ree%pla=ado con esta tecnolo$2a VPN su in&raestructura 8dialGup86 donde el
cliente utili=a)a un %ode% para lla%ar a tra+5s de la 0ed Tele&nica /on%utada a un nodo del
Pro+eedor de !er+icios de Internet : este con un ser+idor PPP esta)lec2a un enlace %de%GaG
%de%6 7ue per%ite entonces 7ue se enrute a Internet.
4sta i%ple%entacin se trata de co%unicaciones donde los usuarios se conectan con la e%presa
desde sitios re%otos (o&icinas co%erciales6 casas6 ;oteles6 etc.) utili=ando Internet co%o %edio de


7
7
acceso. >na +e= autenticados tienen un ni+el de acceso %u: si%ilar al 7ue tienen en la red local de
la e%presa.

VPN Interna

>na aplicacin real%ente desconocida pero %u: til : potente consiste en esta)lecer redes pri+adas
+irtuales dentro de una %is%a red local. 4l o)*eti+o lti%o es aislar partes de la red : sus ser+icios
entre s26 au%entando la se$uridad. >na aplicacin %u: t2pica de este %odelo se utili=a para
au%entar la se$uridad en redes de acceso inal-%)rico6 separ-ndolas as2 de la red &2sica para e+itar
posi)les &u$as de in&or%acin o accesos no autori=ados.

Protocolos de tnel

Los principales protocolos de tnel sonB
PPTP (Protocolo de tnel punto a punto) es un protocolo de capa 2desarrollado por
Microso&t6 3/o%6 #scend6 >! 0o)otics : 4/I Tele%atics.
L2E (Reenvo de capa dos) es un protocolo de capa 2 desarrollado por /isco6 Nort;ern
Teleco% : !;i+a. #ctual%ente es casi o)soleto.
L2TP (Protocolo de tnel de capa dos)6 el resultado del tra)a*o del IETF (0E/ 266')6 inclu:e
todas las caracter2sticas de PPTP : L2F. 4s un protocolo de capa 2 )asado en PPP.
&*0ec es un protocolo de capa 3 creado por el I4TE 7ue puede en+iar datos ci&rados para
redes IP.

Protocolo de tnel punto a punto (PPTP)

Puede tener acceso a una red pri+ada a tra+5s de Internet o de otra red p)lica %ediante una
cone9in de red pri+ada +irtual (VPN6 Virtual Private Network) con el Protocolo de tnel punto a
punto (PPTP6 Point-to-Point Tunneling Protocol).
PPTP per%ite la trans&erencia se$ura de datos desde un e7uipo re%oto a un ser+idor pri+ado al
crear una cone9in de red pri+ada +irtual a tra+5s de redes de datos )asadas en IP. PPTP acepta
redes pri+adas +irtuales )a*o de%anda : %ultiprotocolo a tra+5s de redes p)licas6 co%o Internet.
,esarrollado co%o una e9tensin del Protocolo punto a punto (PPP)6 PPTP a$re$a un nue+o ni+el
de se$uridad %e*orada : co%unicaciones %ultiprotocolo a tra+5s de Internet. !i se utili=a el nue+o
Protocolo de autenticacin e9tensi)le (4#P6 49tensi)le #ut;entication Protocol) con %5todos de
autenticacin se$uros co%o los certi&icados6 la trans&erencia de datos a tra+5s de una cone9in
VPN con PPTP es tan se$ura co%o en una L#N de un sitio corporati+o.






PPTP encapsula los protocolos IP o IPH en data$ra%as PPP. 4sto si$ni&ica 7ue puede e*ecutar de
&or%a re%ota aplicaciones 7ue dependen de protocolos de red espec2&icos. 4l ser+idor de tnel
e*ecuta todas las co%pro)aciones : +alidaciones de se$uridad6 : acti+a el ci&rado de los datos6 lo
7ue ;ace %uc;o %-s se$uro el en+2o de in&or%acin a tra+5s de redes no se$uras. Ta%)i5n se puede
utili=ar PPTP para esta)lecer cone9iones de L#N a L#N pri+adas.



PPTP re7uiere conecti+idad IP entre el e7uipo : el ser+idor. !i est- directa%ente conectado a una
L#N IP : puede tener acceso a un ser+idor6 puede esta)lecer un tnel PPTP en la L#N. !i +a a
esta)lecer un tnel a tra+5s de Internet : nor%al%ente tiene acceso a Internet a tra+5s de una
cone9in de acceso tele&nico con un I!P6 de)e conectarse a Internet antes de esta)lecer el tnel.


Protocolo de tnel de capa dos (L2TP)

Puede tener acceso a una red pri+ada a tra+5s de Internet o de otra red p)lica %ediante una
cone9in de red pri+ada +irtual (VPN) con el Protocolo de tnel de capa dos (L2TP). L2TP es un
protocolo est-ndar de tnel para Internet 7ue tiene casi la %is%a &uncionalidad 7ue el Protocolo de
tnel punto a punto (PPTP). La i%ple%entacin de L2TP en la &a%ilia de Cindo<s !er+er 2..3 se ;a
dise@ado para e*ecutarse de &or%a nati+a a tra+5s de redes IP. 4sta i%ple%entacin de L2TP no
ad%ite tneles nati+os a tra+5s de redes H.23 o Era%e 0ela:.
1as-ndose en las especi&icaciones de 0een+2o de capa dos (L2E6 IiJLa:er T<o Eor<ardin$IKiJ) : del
Protocolo de tnel punto a punto (PPTP6 IiJPointGtoGPoint Tunnelin$ ProtocolIKiJ)6 puede utili=ar
L2TP para con&i$urar tneles a tra+5s de redes inter%edias. #l i$ual 7ue PPTP6 L2TP encapsula las
tra%as del Protocolo punto a punto (PPP)6 7ue a su +e= encapsulan los protocolos IP o IPH6 con lo
7ue per%iten 7ue los usuarios e*ecuten de &or%a re%ota aplicaciones 7ue dependen de protocolos
de red espec2&icos.
/on L2TP6 el e7uipo 7ue e*ecuta un %ie%)ro de la &a%ilia Cindo<s !er+er 2..3 en el 7ue +a a iniciar
la sesin e*ecuta todas las co%pro)aciones : +alidaciones de se$uridad6 : acti+a el ci&rado de los
datos6 lo 7ue ;ace %uc;o %-s se$uro el en+2o de in&or%acin a tra+5s de redes no se$uras. !i se
utili=a la autenticacin : el ci&rado de !e$uridad de Protocolo Internet (IP!ec)6 la trans&erencia de


"
"
datos a tra+5s de una red pri+ada +irtual con L2TP es tan se$ura co%o en una red L#N de un sitio
corporati+o
Protocolo IPSec

IPsec (a)re+iatura de Internet Protocol securit:) es un con*unto de protocolos cu:a &uncin es
ase$urar las co%unicaciones so)re el Protocolo de Internet (IP) autenticando :Ko ci&rando cada
pa7uete IP en un &lu*o de datos. IPsec ta%)i5n inclu:e protocolos para el esta)leci%iento de cla+es
de ci&rado.
Los protocolos de IPsec actan en la capa de red6 la capa 3 del %odelo (!I.(tros protocolos de
se$uridad para Internet de uso e9tendido6 co%o !!L6 TL! : !!F operan de la capa de transporte
(capas (!I 4 a 7) ;acia arri)a. 4sto ;ace 7ue IPsec sea %-s &le9i)le6 :a 7ue puede ser utili=ado para
prote$er protocolos de la capa 46 inclu:endo T/P : >,P6 los protocolos de capa de transporte %-s
usados. IPsec tiene una +enta*a so)re !!L : otros %5todos 7ue operan en capas superiores. Para
7ue una aplicacin pueda usar IPsec no ;a: 7ue ;acer nin$n ca%)io6 %ientras 7ue para usar !!L :
otros protocolos de ni+eles superiores6 las aplicaciones tienen 7ue %odi&icar su cdi$o.
IPsec est- i%ple%entado por un con*unto de protocolos cripto$r-&icos para (') ase$urar el &lu*o de
pa7uetes6 (2) $aranti=ar la autenticacin %utua : (3) esta)lecer par-%etros cripto$r-&icos.
La ar7uitectura de se$uridad IP utili=a el concepto de asociacin de se$uridad (!#) co%o )ase para
construir &unciones de se$uridad en IP. >na asociacin de se$uridad es si%ple%ente el pa7uete de
al$orit%os : par-%etros (tales co%o las cla+es) 7ue se est- usando para ci&rar : autenticar un &lu*o
particular en una direccin. Por lo tanto6 en el tr-&ico nor%al )idireccional6 los &lu*os son ase$urados
por un par de asociaciones de se$uridad. La decisin &inal de los al$orit%os de ci&rado :
autenticacin (de una lista de&inida) le corresponde al ad%inistrador de IPsec.
Para decidir 7u5 proteccin se +a a proporcionar a un pa7uete saliente6 IPsec utili=a el 2ndice de
par-%etro de se$uridad (!PI)6 un 2ndice a la )ase de datos de asociaciones de se$uridad (!#,1)6
*unto con la direccin de destino de la ca)ecera del pa7uete6 7ue *untos identi&ican de &or%a nica
una asociacin de se$uridad para dic;o pa7uete. Para un pa7uete entrante se reali=a un
procedi%iento si%ilar? en este caso IPsec co$e las cla+es de +eri&icacin : desci&rado de la )ase de
datos de asociaciones de se$uridad.
4n el caso de %ulticast6 se proporciona una asociacin de se$uridad al $rupo6 : se duplica para todos
los receptores autori=ados del $rupo. Puede ;a)er %-s de una asociacin de se$uridad para un
$rupo6 utili=ando di&erentes !PIs6 : por ello per%itiendo %ltiples ni+eles : con*untos de se$uridad
dentro de un $rupo. ,e ;ec;o6 cada re%itente puede tener %ltiples asociaciones de se$uridad6
per%itiendo autenticacin6 :a 7ue un receptor slo puede sa)er 7ue al$uien 7ue conoce las cla+es
;a en+iado los datos. Fa: 7ue o)ser+ar 7ue el est-ndar pertinente no descri)e c%o se eli$e :
duplica la asociacin a tra+5s del $rupo? se asu%e 7ue un interesado responsa)le ;a)r- ;ec;o la
eleccin.


'.
'.

Modos de funcionamiento

Modo Transporte
4n %odo transporte6 slo la car$a til (los datos 7ue se trans&ieren) del pa7uete IP es ci&rada :Ko
autenticada. 4l enruta%iento per%anece intacto6 :a 7ue no se %odi&ica ni se ci&ra la ca)ecera IP?
sin e%)ar$o6 cuando se utili=a la ca)ecera de autenticacin (#F)6 las direcciones IP no pueden ser
traducidas6 :a 7ue eso in+alidar2a el ;as;. Las capas de transporte : aplicacin est-n sie%pre
ase$uradas por un ;as;6 de &or%a 7ue no pueden ser %odi&icadas de nin$una %anera (por e*e%plo
traduciendo los n%eros de puerto T/P : >,P). 4l %odo transporte se utili=a para co%unicaciones
ordenador a ordenador.
>na &or%a de encapsular %ensa*es IPsec para atra+esar N#T ;a sido de&inido por 0E/s 7ue
descri)en el %ecanis%o de N#TGT
4l propsito de este %odo es esta)lecer una co%unicacin se$ura punto a punto6 entre dos ;osts :
so)re un canal inse$uro. 4ste e*e%plo ilustra estoB

Modo Tne!
4n el %odo tnel6 todo el pa7uete IP (datos %-s ca)eceras del %ensa*e) es ci&rado :Ko autenticado.
,e)e ser entonces encapsulado en un nue+o pa7uete IP para 7ue &uncione el enruta%iento. 4l %odo
tnel se utili=a para co%unicaciones red a red (tneles se$uros entre routers6 p.e. para VPNs) o
co%unicaciones ordenador a red u ordenador a ordenador so)re Internet. 4l propsito de este
%odo es esta)lecer una co%unicacin se$ura entre dos redes re%otas so)re un canal inse$uro. 4ste
e*e%plo ilustra estoB


''
''

"a#ecera IP
La ca)ecera del pa7uete IP es la si$uienteB
,ndeB
(er 4s la +ersin del protocolo IP. IPsec se %onta so)re IP+4.
hlen Lon$itud de la ca)ecera6 en pala)ras de 32 )its. !u +alor %2ni%o es de 3 para una ca)ecera
correcta6 : el %-9i%o de '3. 4l ta%a@o de la ca)ecera nunca inclu:e el ta%a@o del pa:load o
de la ca)ecera si$uiente.
230 Indica una serie de par-%etros so)re la calidad de ser+icio deseada durante el tr-nsito por
una red. #l$unas redes o&recen prioridades de ser+icios6 considerando deter%inado tipo de
pa7uetes L%-s i%portantesM 7ue otros (en particular estas redes solo ad%iten los pa7uetes con
prioridad alta en %o%entos de so)recar$a).
'4t len 4s el ta%a@o total6 en octetos6 del data$ra%a6 inclu:endo el ta%a@o de la ca)ecera : el
de los datos. 4l ta%a@o %-9i%o de los data$ra%as usados nor%al%ente es de 376 octetos (64
de ca)eceras : 3'2 de datos). >na %-7uina no de)er2a en+2ar data$ra%as %a:ores a no ser 7ue
ten$a la certe=a de 7ue +an a ser aceptados por la %-7uina destino.
4n caso de &ra$%entacin este ca%po contendr- el ta%a@o del &ra$%ento6 no el del data$ra%a
ori$inal.
&5 Indica el identi&icador del &ra$%ento actual en caso de 7ue el pa7uete estu+iera &ra$%entado
6gl- #ctual%ente utili=ado slo para especi&icar +alores relati+os a la &ra$%entacin de
pa7uetesB
)it .B 0eser+ado? de)e ser .
)it 'B . N ,i+isi)le6 ' N No ,i+isi)le (,E)
)it 2B . N Olti%o Era$%ento6 ' N Era$%ento Inter%edio (le si$uen %-s &ra$%entos) (ME)
La indicacin de 7ue un pa7uete es indi+isi)le de)e ser tenida en cuenta )a*o cual7uier
circunstancia. !i el pa7uete necesitara ser &ra$%entado6 no se en+iar-.
6rag o66-et 4n pa7uetes &ra$%entados indica la posicin6 en unidades de 64 )its6 7ue ocupa el
pa7uete actual dentro del data$ra%a ori$inal. 4l pri%er pa7uete de una serie de &ra$%entos
contendr- en este ca%po el +alor ..
22# Indica el %-9i%o n%ero de enrutadores 7ue un pa7uete puede atra+esar. /ada +e= 7ue
al$n nodo procesa este pa7uete dis%inu:e su +alor en uno por cada router 7ue pase. /uando
lle$ue a ser .6 el pa7uete no ser- reen+iado.
'roto Indica el protocolo de si$uiente ni+el utili=ado en la parte de datos del data$ra%a. Los
%-s utili=ados sonB



'2
'2
%od"go 5e-cr"'c"n
' I/MP P Internet /ontrol Messa$e Protocol
2 IQMP P Internet Qroup Mana$e%ent Protocol
4 IP en IP (una encapsulacin IP)
6 T/P P Trans%ission /ontrol Protocol
'7 >,P P >ser ,ata$ra% Protocol
4' IP+6 P ne9tG$eneration T/PKIP
47 Q04 P Qeneric 0outer 4ncapsulation (usado por PPTP)
3. IPsecB 4!P P 4ncapsulatin$ !ecurit: Pa:load
3' IPsecB #F P #ut;entication Feader










"a#ecera IPsec A$ %aut&entication on!'(
#F est- diri$ido a $aranti=ar inte$ridad sin cone9in : autenticacin de los datos de ori$en de los
data$ra%as IP. Para ello6 calcula un Fas; Messa$e #ut;entication /ode (FM#/) a tra+5s de al$n
al$orit%o ;as; operando so)re una cla+e secreta6 el contenido del pa7uete IP : las partes
in%uta)les del data$ra%a. 4ste proceso restrin$e la posi)ilidad de e%plear N#T6 7ue puede ser
i%ple%entada con N#T trans+ersal. Por otro lado6 #F puede prote$er opcional%ente contra
ata7ues de repeticin utili=ando la t5cnica de +entana desli=ante : descartando pa7uetes +ie*os. #F
prote$e la car$a til IP : todos los ca%pos de la ca)ecera de un data$ra%a IP e9cepto los ca%pos


'3
'3
%utantes6 es decir6 a7uellos 7ue pueden ser alterados en el tr-nsito. 4n IP+46 los ca%pos de la
ca)ecera IP %utantes (: por lo tanto no autenticados) inclu:en T(!6 Ela$s6 (&&set de &ra$%entos6
TTL : su%a de +eri&icacin de la ca)ecera. #F opera directa%ente por enci%a de IP6 utili=ando el
protocolo IP n%ero 3'. >na ca)ecera #F %ide 32 )its6 ;e a7u2 un dia$ra%a de c%o se or$ani=anB
R ne/t hdr Identi&ica cu-l es el si$uiente protocolo6 es decir6 cual es el protocolo 7ue ser-
autenti&icado6 cu-l es el pa:load.
78 len 4l ta%a@o del pa7uete #F.
RE0ER)E5 0eser+ado para &uturas aplicaciones.
,e)e estar a .
0ecur"t9 'arameter- "nde/ :0*&; Indica los
para%etros de se$uridad6 7ue en co%)inacin con
los par-%etros IP6 identi&ican la asociacin de
se$uridad del pa7uete
0e<uence +umber 4s un n%ero creciente usado
para pre+enir ata7ues por repeticin. 4l n%ero
est- incluido en los datos encriptados6 as2 7ue
cual7uier alteracin ser- detectada
7uthent"cat"on 5ata /ontiene el +alor de identi&icacin de inte$ridad. Puede contener
relleno.!e calcula so)re el pa7uete entero6 incluidas la %a:or2a de las ca)eceras. 4l 7ue reci)e
calcula otra +e= el ;as;6 : si este no coincide6 el pa7uete se tira.


A$ en Modo Transporte

La %anera %-s &-cil de entender el %odo transporte es 7ue prote$e el interca%)io de in&or%acin
entre dos usuarios &inales. La proteccin puede ser autenti&icacin o encriptacin (o las dos)6 pero
no se ;ace usando un tunel (para eso est- el %odo tnel). No es una +pn6 es una si%ple cone9in
se$ura entre dos usuarios &inales. 4n #F en Modo Transporte6 el pa7uete IP es %odi&icado
li$era%ente para incluir una nue+a ca)ecera 78 entre la ca)ecera IP : la in&or%acin trans%itida
(T/P6 >,P6 etc) : despu5s se re7uiere un proceso Lde arrastreM 7ue interconecta las distintas
ca)eceras entre ellas. 4ste proceso Lde arrastreM se necesita para 7ue el pa7uete ori$inal IP sea
reconstituido cuando lle$ue a su destino? cuando las ca)eceras IPsec ;an sido +alidadas en el
receptor6 se despo*an las ca)eceras IPsec : la car$a a trans%itir (T/P6 >,P6 etc) es $uardada
nue+a%ente en la ca)ecera IP.
/uando el pa7uete lle$a a su si$uiente destino : pasa el test de autenticidad6 la ca)ecera #F es
7uitada : el ca%po 'roto=78 es ree%pla=ado con el si$uiente protocolo de la car$a trans%itida
(T/P6 >,P6 etc). 4sto pone al data$ra%a es su estado ori$inal6 : puede ser en+iado al proceso
ori$inal.




'4
'4













A$ en Modo Tne!

4l %odo tnel es el %-s co%n para dar una &uncionalidad de VPN6 donde un pa7uete IP es
encapsulado dentro de otro : en+iado a su destino. I$ual 7ue en el %odo transporte6 el pa7uete es
LselladoM con un I/V para autenti&icar al 7ue en+ia la in&or%acin para pre+enir %odi&icaciones
durante el tr-nsito. Pero a di&erencia del %odo de transporte6 el %odo tnel encapsula todo el
pa7uete IP6 no slo la car$a util (T/P6 >,P6 etc). 4sto ;ace 7ue el destinatario del pa7uete sea uno
di&erente al destinatario ori$inal. 4sto a:uda a la &or%acin de un tnel. /uando un pa7uete en
%odo tnel lle$a a su destino6 pasa el %is%o proceso de autenti&icacin i$ual 7ue cual7uier pa7uete
#FGIPsec. 4ste proceso ;ace 7ue se despo*e de sus ca)eceras IP : #F6 lue$o nos 7ueda el data$ra%a
ori$inal6 7ue es enrutado %ediante un proceso nor%al. La %a:oria de las i%ple%entaciones trata
el &inal del tnel co%o una inter&a= de red +irtual Ge9acta%ente i$ual 7ue una 4t;ernet o local;ost G
: el tr-&ico entrante : saliente de 5l est- su*eto a todas las decisiones nor%ales de enruta%iento. 4l
pa7uete reconstituido puede ser entre$ado a la %-7uina local o enrutado donde sea (dependiendo
de la direccin IP encontrada en el pa7uete encapsulado)6 pero de nin$una %anera +uel+e a estar
su*eto a las proteccin de IPsec. 4sta &inali=a al &inal del tnel. # partir de all2 es tratado co%o un
data$ra%a IP nor%al. Tal co%o el %odo de transporte es usado estricta%ente para ase$urar
cone9iones de e9tre%o a e9tre%o entre dos ordenadores6 el %odo tnel es usado nor%al%ente
entre pasarelas (routers6 &ire<alls o dispositi+os VPN) para pro+eer una 0ed Pri+ada Virtual (VPN)




'3
'3














)Transporte o Tne!*

/uriosa%ente6 no ;a: un ca%po e9pl2cito LModoM en IPsec 7ue distin$a entre el %odo de transporte
: el %odo tnel. Lo 7ue los distin$ue es el ca%po Rsi$uiente ca)ecera (ne9t ;ead)R en la ca)ecera
#F. /uando el +alor de Lsi$uiente ca)eceraM es IP6 si$ni&ica 7ue este pa7uete encapsula un
data$ra%a IP entero (inclu:endo los ca%pos de destino : ori$en IP 7ue nos per%iten sa)er dnde
+a el pa7uete 7ue +a encapsulado despu5s de la desencapsulacin. #s2 se co%porta el %odo tnel.
(tro +alor cual7uiera (T/P6 >,P6 I/MP6 etc) si$ni&ica 7ue esta%os usando el %odo transporte : se
trata de una cone9in se$ura e9tre%o a e9tre%o. 4l ni+el superior de un data$ra%a IP es
estructurado de la %is%a %anera6 sin tener en cuenta el %odo6 : los routers in%ediatos tratan todo
tipo de tr-&ico IPsecK#F de la %is%a %anera 7ue el tr-&ico nor%al6 sin una inspeccin %-s pro&unda.
Fa: 7ue darse cuenta 7ue un ;ost G en contraposicin a una pasarela G es necesario 7ue soporte los
dos %odos6 de transporte : tnel6 pero en una cone9in ;ostGtoG;ost parece super&luo usar el %odo
tnel. #de%-s6 una pasarela (router6 &ire<all6 etc.) tiene 7ue tener soporte nica%ente para %odo
tnel6 sin e%)ar$o tener soporte para el %odo transporte es til slo cuando la pasarela se
considera co%o destino ella %is%a6 co%o en caso de &unciones de ad%inistracin de red.


'6
'6

Algoritmos de autentificacin

#F lle+a un ca%po (Inte$rit: /;ecD Value) para co%pro)ar la inte$ridad del pa7uete : 7ue nadie lo
;a %anipulado durante el tra:ecto. 4l +alor de ese ca%po est- dado por al$orit%os de encriptacin
tales co%o M,3 o !F#G'. M-s 7ue usar un c;ecDsu% con+encional6 el cual podr2a no pro+eer una
securidad real contra una %anipulacin intencional6 esta usa una Fas;ed Messa$e #ut;entication
/ode (FM#/)6 7ue incorpora una cla+e secreta %ienstras se crea el ;as;. #un7ue un atacante puede
recalcular un ;as; &-cil%ente6 sin la cla+e secreta no ser2a capa= de crear el I/V apropiado.






Fuel$a decir 7ue IPsec no de6"ne n" obl"ga
como debe hacer-e la autent"6"cac"n6 si%ple%ente o&rece un %arco de
se$uridad
en la
7ue los dos ;osts 7ue reali=an la co%unicacin se ponen de acuerdo so)re 7u5 siste%a usar.
Pueden usarse &ir%as di$itales o &unciones de encriptacin6 pero es o)li$atorio 7ue ambo- lo-
conozcan 9 -e'an cmo u-arlo-.

NAT ' A$
#F da una proteccin %u: &uerte a los pa7uetes por7ue cu)re todas las partes 7ue se consideran
in%uta)les. Pero esta proteccin tiene un costeB #F es inco%pati)le con N#T (Net<orD #ddress
Translation). N#T se usa para tra=ar un ran$o de direcciones pri+adas ('"2.'6.'.H) de un con*unto
(nor%al%ente %-s pe7ue@o) de direcciones p)licas6 para reducir la de%anda de direcciones IP
p)licas. 4n este proceso6 la ca)ecera IP se %odi&ica Lal +ueloM por el dispositi+o N#T para ca%)iar
las direcciones IP de ori$en : destino. /uando es ca%)iada la direccin de ori$en de la ca)ecera IP6
se &uer=a a recalcular el c;ecDsu% de la ca)ecera. 4sto se tiene 7ue ;acer a parte6 por7ue el
dispositi+o N#T es co%o un La$u*eroM en el ca%ino del ori$en al destino6 : esta situacin re7uiere


'7
'7
decre%entar el ca%po TTL (Ti%e to Li+e). ,ado 7ue el ca%po TTL : el c;ecDsu% de la ca)ecera
sie%pre son %odi&icados Lal +ueloM6 #F sa)e 7ue tiene 7ue e9cluirlos de su proteccin6 pero no
tiene 7ue e9cluir a las direcciones IP. 4stas est-n incluidas en el constrol de inte$ridad6 : cual7uier
ca%)io en las direcciones ip de ori$en : destino +a a ;acer 7ue el control de inte$ridad &alle cuando
lle$ue al destinatario. ,ado 7ue el +alor del control de inte$ridad contiene una lla+e secreta 7ue -lo
la -aben el ho-t or"gen 9 el ho-t de-t"no6 el dispositi+o N#T no puede recalcular el I/V. Las %is%as
se aplican ta%)i5n al P#T (Port #ddress Translation)6 el cual tra=a %ltiples direcciones IP en una
en una sola direccin IP e9terna. No solo se %odi&ican las direcciones IP Lal +ueloM6 sino ade%-s los
n%eros de los puertos >,P : T/P (a +eces ;asta la car$a lil 7ue se trans&iere. 4sto re7uiere un
siste%a %-s so&isticado por parte del dispositi+o N#T6 : unas %odi&icaciones %-s e9tensas en todo
el data$ra%a IP.
Por esta ra=n6#F G en el %odo Tnel o Transporte G es total%ente inco%pati)le con N#T : slo se
puede e%plear #F cuando las redes de ori$en : destino son alcan=a)les sin traduccin. Fa: 7ue
decir 7ue esta di&icultad no se aplica al 4!P6 :a 7ue su autenti&icacin : encriptacin no incorpora la
ca)ecera IP %odi&icada por N#T. #n asi6 N#T ta%)i5n i%pone al$unos desa&2os incluso en 4!P
(e9plicado %-s adelante). N#T traduce las direcciones IP al +uelo6 pero ta%)i5n $uarda un re$istro
de 7ue cone9iones si$uen el ca%ino traducido : as2 poder en+iar las respuestas al ori$en de %anera
correcta. /uando se usa T/P o >,P6 esto se ;ace %ediante los n%eros de los puertos (7ue pueden
ser reescritos al +uelo o no)6 pero IPsec no da nin$una inter&a= para ;acer esto.

ESP %Encapsu!atin+ Securit' Pa'!oad(

#@adir encriptacion ;ace 7ue 4!P sea un poco %-s co%plicado6 :a 7ue la
encapsulacin rodea a la car$a til es al$o %-s 7ue precederla con #FB
4!P inclu:e ca)ecera : ca%pos para dar soporte a la encriptacion : a una
autenti&icacin opcional. #de%-s6 pro+ee los %odos de transporte :
tnel6 los cuales nos son :a &a%iliares. Las 0E/s de IPsec no insisten
de%asiado en un siste%a particular de encriptacin6 pero
nor%al%ente se utili=a ,4!6 tripleG,4!6 #4! o 1lo<&is; para ase$urar
la car$a til de Lo*os indiscretosM. 4l al$orit%o usado para una
cone9in en particular es de&inido por la !ecurit: #ssociation (!#)6 :
esta !# inclu:e no slo la el al$orit%o6 ta%)i5n la lla+e usada. #
di&erencia de #F6 7ue da una pe7ue@a ca)ecera antes de la car$a til6
4!P rodea la car$a til con su proteccin. Los par-%etros de se$uridad
Inde9 : !e7uence Nu%)er tienen el %is%o propsito 7ue en #F6 pero nos
encontra%os co%o relleno en la cola del pa7uete el ca%po Lsi$uiente
ca%poM : el opcional L#ut;entication dataM.


'
'
4s posi)le usar 4!P sin nin$una encriptacin (usar el al$orit%o N>LL)6 sin e%)ar$o estructura el
pa7uete de la %is%a &or%a. No nos da nin$una con&idencialidad a los datos 7ue esta%os
trans%itiendo6 : slo tiene sentido usarlo con una la autenti&icacin 4!P. No tiene sentido usar 4!P
sin encriptacin o autenti&icacin (a no ser 7ue este%os si%ple%ente pro)ando el protocolo). 4l
relleno sir+e para poder usar al$orit%os de encriptacin orientados a )lo7ues6 dado 7ue tene%os
7ue crear una car$a a encriptar 7ue ten$a un ta%a@o %ltiplo de su ta%a@o de )lo7ue. 4l ta%a@o
del relleno +iene dado por el ca%po 'ad len. 4l ca%po ne/t hdr nos da el tipo (IP6 T/P6 >,P6etc) de
la car$a til6 aun7ue esto sea usado co%o un punto para +ol+er ;acia atras en el pa7uete para +er
7ue ;a: en el #F. #de%-s de la encriptacin6 4!P puede pro+eer autenti&icacin con la %is%a FM#/
de #F. # di&erencia de #F6 esta autent"6"ca -lo la cabecera E0* 9 la carca ,t"l encr"'tada6 no todo
el pa7uete IP. !orprendente%ente6 esto no ;ace 7ue la se$uridad de la autenti&icacin %-s d5)il6
pero nos da al$unos )ene&icios i%portantes. /uando un &orastero e9a%ina un pa7uete IP 7ue
contiene datos 4!P6 es pr-ctica%ente i%posi)le adi+inar 7u5 es lo 7ue tiene dentro6 e9cepto por los
datos encontrados en la ca)ecera IP (siendo interesantes las direcciones IP de ori$en : destino). 4l
atacante +a a sa)er casi se$uro 7ue son datos 4!P (est- en la ca)ecera 7ue son datos 4!P)6 pero no
+a a sa)er de 7u5 tipo es la car$a til. Incluso la presencia de #ut;entication ,ata no puede ser
deter%ina sola%ente con %irar al pa7uete. 4sta resolucin est- ;ec;a por la !ecurit: Para%eters
Inde96 7ue ;ace re&erencia al con*unto de par-%etros pre co%partidos para esta cone9in.
ESP en Modo Transporte

#l i$ual 7ue en #F6 el %odo transporte encapsula *usta%ente la car$a la car$a til del data$ra%a :
est- dise@ado *usta%ente para co%unicaciones e9tre%oGaGe9tre%o. La ca)ecera IP ori$inal se de*a
(e9cepto por el ca%po ca%)iado Protocol)6 : esto ;ace G ade%-s de otras cosas G 7ue las direcciones
IP de ori$en : destino se 7uedan co%o est-n.

ESP en Modo Tne!

4l 4!P en %odo Tnel encapsula el data$ra%a IP entero : lo encripta. Pro+eer una cone9in
encriptada en %odo tnel es dar una &or%a %u: cercana a co%o se crea una VPN6 : es lo 7ue se nos
+iene a la ca)e=a a la %a:or2a cuando pensa%os acerca de IPsec. #de%-s de esto6 tene%os 7ue
a@adir autenti&icacin. 4sta parte se trata en la si$uiente seccin. # di&erencia de #F6 donde un
&orastero puede +er &-cil%ente 7ue es lo 7ue sse trans%ite en %odo Tnel o Transporte6 usando
4!P eso no ocurre? esa in&or%acin no est- disponi)le para el &orastero. 4l caso es 7ue en el %odo
tnel (poniendo ne9tNIP)6 el data$ra%a IP entero ori$inal es parte de la car$a til encriptada6 : no
ser- +isi)le para nadie 7ue no pueda des encriptar el pa7uete.




'"
'"
"onstru'endo una VPN rea!
/on la e9plicacin de #F : 4!P a;ora so%os capaces de ;a)ilitar la encriptacin : la autenti&icacin
para construir una VPN real. 4l o)*eti+o de la VPN es *untar dos redes se$uras a tra+5s de una red
inse$ura6 tal co%o ser2a tirar un ca)le 4t;ernet %u: $rande entre las dos redes se$uras. 4s una
tecnolo$2a %u: usada para *untar por e*e%plo &iliales de co%pa@2as con la sede central de la
co%pa@2a6 dando a los usuarios acceso a recursos 7ue no pueden caer en %anos inde)idas6 tales
co%o docu%entos secretos. /lara%ente6 una red VPN se$ura re7uiere las dos cosasB autenti&icacin
: encriptacin. !a)e%os 7ue la nica %anera de conse$uir encriptacin es 4!P6 pero 4!P : #F
pueden pro+eer autenti&icacinB Scu-l de las dos usarT. La solucin o)+ia de en+ol+er 4!P dentro de
#F es t5cnica%ente posi)le6 pero en la pr-ctica no es %u: usada por las li%itaciones de #F respecto
al N#T. >sar #FU4!P puede ;acer 7ue no poda%os atra+esar el dispositi+o N#T. 4n ca%)io6
4!PU#ut; es usado en %odo Tnel para encapsular co%pleta%ente el tr-&ico a tra+5s de una red no
se$ura6 prote$iendo este tr-&ico con encriptacin : autenti&icacin.
4l tr-&ico prote$ido de esta %anera produce in&or%acin intil para un intruso6 :a 7ue los dos ;osts
7ue se co%unican est-n conectados a tra+5s de una VPN. 4sta in&or%acin puede a:udar al atacante
a entender 7ue los dos ;osts se co%unican por un canal se$uro6 pero nunca re+ela el contenido del
tr-&ico. Incluso el tipo de tr-&ico encapsulado en el protocolo (T/P6 >,P o I/MP) est- oculto para las
personas de &uera. Lo particular%ente )onito de este %odo de operacin es 7ue los usuarios &inales
no sa)en nada de la VPN o las %edidas de se$uridad to%adas. ,esde 7ue una VPN est-
i%ple%entada por una pasarela6 este trata la VPN co%o otra inter&a=6 : enruta el tr-&ico 7ue +a a
otra parte co%o nor%al%ente lo ;ar2a. 4ste pa7ueteGenGpa7uete puede ser anidado a %-s ni+elesB
Fost # : Fost 1 pueden esta)lecer su propia cone9in autenticada (+2a #F) : co%unicarse so)re una
VPN. 4sto pondr2a un pa7uete #F dentro de un pa7uete con una co)ertura 4!PU#ut;.
!"eti#o

4l o)*eti+o de este la)oratorio esB
Ea%iliari=arse con las redes pri+adas +irtuales : esta)lecer una con&i$uracin de
conecti+idad VPN en la plata&or%a Cindo<s 9 o en un !.( Linu9 9.

$ard,are ' soft,are a uti!i-ar
M2ni%o 2 47uipos de /%puto.
#nali=ador de protocolos (!ni&&er).
(pcional una %-7uina +irtual



2.
2.
Tareas a desarro!!ar
,ocu%entar el proceso de cone9in de los nodos re%otos.
Monitorear la operacin : los enca)e=ados 4t;ernet con un anali=ador de protocolos.
Monitorear la operacin : los enca)e=ados VPN con un anali=ador de protocolos.
$esarrollo Pr%ctico

#ntes 7ue e%pece%os a con&i$urar nuestro ser+idor VPN6 tene%os 7ue instalar al$unas &unciones
7ue nos o&rece Cindo<s ser+er 2...
Nos diri$i%os al #sistente para a$re$ar &unciones GJ seleccionar &unciones de !er+idor :
selecciona%os las si$uientes opcionesB
#$re$ar la &uncin !er+icios de ,o%inio de #cti+e ,irector:B esta &uncin nos +a per%itir
a$re$ar los usuarios 7ue ;ar-n uso del VPN.
!er+idor ,N!B esta &uncin se a$re$a por de&ault cuando a$re$a%os la &uncin !er+icios de
,o%inio de #cti+e ,irector:.
!er+icios de acceso directi+as de redesB esta &uncin nos per%itir- a$re$ar : con&i$urar el
ser+idor VPN.
()ser+e la si$uiente i%a$enB













2'
2'

&onfigurando el ser#idor VPN

>na +e= 7ue tene%os lo necesario instalado acede%os a la si$uiente rutaB
&n"c"o herram"enta- 7dm. Enrutam"ento 9 acce-o remoto. # continuacin se a)rir-B donde
dare%os clic derec;o en el no%)re del ser+idor /on&. V ;a). 4nr. V #cc. 0e%oto.



22
22
# continuacin selecciona%os la opcin con6"gurac"n 'er-onal"zada : da%os clic en si$uiente6
o)ser+e la i%a$en si$uienteB
4n la +entana 7ue nos saldra selecciona%os la opcion 7cce-o )*+
4n la +entana 7ue aparece ;ace%os clic en &inali=ar : nos pedir- 7ue inicie%os el ser+icio 7ue
esta%os con&i$urando. Lo inicia%os : nue+a%ente ;ace%os clic en &inali=ar.


23
23


/on&i$urar el inter+alo de direcciona%iento IP+4B a7u2 tene%os 7ue especi&icar el ran$o de
direcciones IP 7ue le asi$nare%os a los e7uipos 7ue +an a ser uso de la VPN. Para lo$rar lo anterior
;acer clic derec;o so)re el no%)re del ser+idor Propiedades IP+4



24
24
#;ora nuestro ser+idor est- listo6 co%o se o)ser+a en la i%a$enB




A+re+ar usuarios de Acti.e Director'
Para a$re$ar un usuario accede%os a la si$uiente rutaB "n"c"o 8erram"enta- 7dm. .-uar"o- 9
e<u"'o de 7ct"(e 5"rector9. 4stando dentro >suarios : e7uipo de #cti+e ,irector:6 desple$a%os el
no%)re del ,o%inoB se$uridad.co%6 : ;ace%os clic derec;o so)re >sers Nue+o >suario.


23
23

0ellena%os los ca%pos re7ueridos de la +entana 7ue nos saldr-6 o)ser+e la si$uiente i%a$enB

#si$na%os una contrase@a al nue+o usuario. 4n la +entana 7ue nos aparecer- despu5s solo le da%os
clic en &inali=ar.


26
26

Para 7ue el usuario 7ue aca)a%os de crear pueda acceder al ser+icio VPN tene%os 7ue con&i$urarlo
pre+ia%ente de la si$uiente %aneraB ;acer clic derec;o so)re el no%)re del usuario Propiedades.
4n la +entana 7ue aparece seleccionar la pesta@a Marcado. V acti+ar la opcin Per%itir acceso. V
clic en aceptar.

Procedimiento para esta#!ecer !a conecti.idad !/+ica de !a red0 ' !a
!i#eraci/n de !a cone1i/n2


27
27

"onfi+uraci/n de! c!iente VPN
>na +e= 7ue :a tene%os con&i$urado nuestro ser+idor VPN en el Cindo<s ser+er 2..
procedere%os a ;acer la con&i$uracin para 7ue un cliente pueda conectarse a este ser+idor desde
un e7uipo re%oto. 4n este caso ;are%os dic;a con&i$uracin en un e7uipo con Cindo<s 7.
Para co%en=ar de)e%os entrar a centro de redes : recursos co%partidos. Para ;acer eso pode%os
se$uir esta ruta a)ri%os el Panel de control 0edes e Internet /entro de redes : recursos
co%partidos. V nos aparecer- una +entana co%o la si$uienteB ,a%os clic a con&i$urar una nue+a
cone9in o red.

>na +e= dentro de)e%os ele$ir una opcin de cone9in6 es decir6 c%o +a%os a conectarnos6
ele$i%os conectar-e a un >rea de traba?o 7ue es la asi$nada para crear cone9iones VPN : da%os
clic en si$uiente



2
2










4n el
si$uiente paso el asistente pre$untara si desea%os crear una nue+a cone9in o usar una :a e9istente
en este caso acti+a%os la casilla de No6 crear una nue(a cone/"n : da%os clic en si$uiente.
Posterior%ente indica%os con un clic 7ue desea%os conectarnos %ediante una VPN (Virtual Pri+ate
Net<orD) o 0ed Pri+ada Virtual en espa@ol


2"
2"

4l asistente tratara de indicarnos 7ue nos conecte%os a internet pero co%o ese no es el o)*eti+o de
esta pr-ctica lo 7ue ;are%os ser- acti+ar la casilla de ,ecidir %-s tarde : da%os clic en si$uiente
#;ora escri)i%os la direccin IP a la 7ue +a%os a conectarnos6 en este caso es la direccin IP del
ser+idor VPN pre+ia%ente con&i$urado6 pero en la realidad esta es una direccin 7ue tu pro+eedor
de ser+icios VPN de)e indicarte. /o%o no%)re de destino pode%os escri)ir lo 7ue sea : la casilla
de con&i$urar para conectarse %-s tarde de)e estar acti+ada. ,a%os clic en si$uiente.


3.
3.


Lo si$uiente es con&i$urar con 7ue usuario entrare%os a la red6 de)e ser un usuario pre+ia%ente
creado en el do%inio del ser+idor VPN en el !er+er 2...






3'
3'
#;ora la cone9in esta creada : lista para usarseB



32
32
#ntes de conectarnos a la red nos con+iene ir a las
propiedades de la cone9in VPN : especi&icar en la
pesta@a de se$uridad el tipo de VPN 7ue
7uere%os6 en este caso el Protocolo de Tnel de
Punto a Punto PPTP 7ue es el %-s reco%endado
para estas cone9iones VPN por su se$uridad.










Procede%os a conectarnos a la red para eso da%os clic al icono de redes en la )arra de tareas
selecciona%os nuestra cone9in VPN : da%os clic en conectar. ,e)e aparecer una +entana co%o la
si$uiente6 donde de)e%os de introducir nuestro no%)re de usuario6 contrase@a : do%inio.



33
33
4n estas i%-$enes pode%os o)ser+ar 7ue la cone9in VPN se esta)leci de %anera correcta





34
34
4n esta otra i%a$en to%ada desde el ser+idor VPN. !e %uestra co%o el re$istro 7ue $enero la
cone9in del cliente VPN6 e&ecti+a%ente nos con&ir%a dic;a cone9in e9itosa
Procedimiento para esta#!ecer !a conecti.idad f3sica de !a red
'. Face%os clic en &n"c"o clic con el )otn secundario en E<u"'o *ro'"edade-.
2. 4n %on6"gurac"n de nombre@ dom"n"o 9 gru'o de traba?o del e<u"'o6 ;a$a clic en %amb"ar
la con6"gurac"n. !e a)rir- el cuadro de di-lo$o *ro'"edade- del -"-tema.
3. ,a%os clic en ca%)iar


33
33

4. !e a)rir- el cuadro de dialo$o camb"o- en el dom"n"o o el nombre del e<u"'o
3. 4n +ombre del e<u"'o6 en M"embro del6 selecciona%os 5om"n"o :6 a continuacin6
escri)i%os el no%)re del do%inio al 7ue 7uiere unirse. 4n este caso el no%)re del
do%inio es se$uridad.


36
36

!e a)rir- el cuadro de di-lo$o 0egur"dad de A"ndoB-.
6. 4n %amb"o- en el dom"n"o o el nombre del e<u"'o6 en +ombre de u-uar"o escri)a el
no%)re del usuario : en %ontra-eCa escri)a la contrase@a? a continuacin6 ;a$a clic en
7ce'tar. !e a)rir- el cuadro de di-lo$o %amb"o- en el dom"n"o o el nombre del e<u"'o : le
dar- la )ien+enida al do%inio. Fa$a clic en 7ce'tar









37
37
7. 4n el cuadro de di-lo$o *ro'"edade- del -"-tema6 en la pesta@a +ombre del e<u"'o6 ;a$a
clic en %errar. !e a)rir- el cuadro de di-lo$o M"cro-o6t A"ndoB- : %ostrar- un %ensa*e
7ue le indicar- nue+a%ente 7ue de)e reiniciar el e7uipo para aplicar los ca%)ios. Fa$a
clic en Re"n"c"ar ahora












3
3
. >na +e= 7ue se reinicie el e7uipo in$resare%os con el no%)re del nue+o usuario.















3"
3"
'esultados

4n la si$uiente i%a$en pode%os o)ser+ar el cliente 7ue est- conectado a la VPN : nos %uestra
al$unos datosB
No%)re del usuario : al do%inio 7ue pertenece dic;o usuario.
4l tie%po de la cone9in.



Monitorear !a operaci/n ' !os enca#e-ados Et&ernet con un ana!i-ador
de protoco!os2
4t;ernet6 al 7ue ta%)i5n se conoce co%o I444 .2.36 es el est-ndar %-s popular para las
L#N6 usa el %5todo de trans%isin de datos lla%ado #cceso %ltiple con deteccin de
portadora : deteccin de colisiones (/!M#K/,). #ntes de 7ue un nodo en+2e al$n dato a
tra+5s de una red 4t;ernet6 pri%ero escuc;a : se da cuenta si al$n otro nodo est-
trans&iriendo in&or%acin? de no ser as26 el nodo trans&erir- la in&or%acin a tra+5s de la
red. Todos los otros nodos escuc;ar-n : el nodo seleccionado reci)ir- la in&or%acin. 4n
caso de 7ue dos nodos traten de en+iar datos por la red al %is%o tie%po6 cada nodo se
dar- cuenta de la colisin : esperar- una cantidad de tie%po aleatoria antes de +ol+er a
;acer el en+2o. /ada pa7uete en+iado contiene la direccin de la estacin destino6 la
direccin de la estacin de en+2o : una secuencia +aria)le de )its 7ue representa el %ensa*e
trans%itido.


4.
4.
La tra%a de 4t;ernet es de una lon$itud +aria)le pero no es %enor a 64 ):tes ni re)asa los
'3' ):tes (enca)e=ado6 datos : /0/)6 cada tra%a contiene un ca%po con la in&or%acin
de la direccin de destino. 4n la &i$ura '.' se %uestra una tra%a 4t;ernet. #de%-s de la
in&or%acin 7ue identi&ica la &uente : el destino6 cada tra%a trans%itida contiene un
pre-%)ulo6 un ca%po tipo6 un ca%po de datos : un ca%po para +eri&icacin por
redundancia c2clica (/0/G /:clic0edundanc: /;ecD). 4l pre-%)ulo consiste en 64 )its 7ue
alternan ceros : unos para a:udar a la sincroni=acin de los nodos de recepcin. 4l /0/ de
32 )its a:uda a la inter&a= a detectar los errores de trans%isinB el e%isor calcula el /0/
co%o una &uncin de los datos en la tra%a : el receptor calcula de nue+o el /0/ para
+eri&icar 7ue el pa7uete se reci)a intacto.



Protoco!os T"P4IP
4n &or%a $eneral6 el con*unto de protocolos T/PKIP tiene correspondencia con el %odelo de
co%unicaciones de red de&inido por I!( (International (r$ani=ation &or !tandardi=ation)6 este
%odelo se deno%ina %odelo de re&erencia de intercone9in de siste%as a)iertos ((!I). 4l %odelo
(!I descri)e un siste%a ideal de redes 7ue per%ite esta)lecer una co%unicacin entre procesos de
capas distintas : &-ciles de identi&icar.





4'
4'

Encapsu!ado


42
42
Las aplicaciones 7ue se desarrollan con T/PKIP6 nor%al%ente utili=an un con*unto de protocolos
para lle+ar a ca)o la co%unicacin. La su%a de las capas de este con*unto de protocolos se conoce
co%o stacDde protocolo. ,e esta &or%a6 cuando una aplicacin en+2a datos usando el protocolo T/P6
el dato es en+iado ;acia a)a*o del protocolo stacD6 a tra+5s de cada capa6 ;asta 7ue este se en+2e
co%o un &lu*o de )its a tra+5s de la red. /ada capa coloca in&or%acin adicional al dato en su
enca)e=ado (: al$unos a@aden in&or%acin para rastreo) para 7ue el dato sea reci)ido.




An5!isis de! Enca#e-ado Et&ernet de !a captura rea!i-ado por ,ires&ar6:












43
43

4n la &i$ura anterior pode%os o)ser+ar la direccin de destino6 la direccin donde se ori$in el
pa7uete : el tipo. /o%o :a se ;a)2a e9plicado anterior%ente el &or%ato de las tra%as : el proceso
de encapsulado 7ue se lle+a a ca)o en los pa7uetes.

Monitorear !a operaci/n ' !os enca#e-ados VPN con un ana!i-ador de
protoco!os2
PointGToGPoint Tunnelin$ Protocol (PPTP) per%ite el se$uro interca%)io de datos de un cliente a un
ser+er &or%ando un Virtual Pri+ate Net<orD (VPN red pri+ada +irtual)6 )asado en una red de
tra)a*o +2a T/PKIP. 4l punto &uerte del PPTP es su ;a)ilidad para pro+eer en la de%anda6 %ultiG
protocolo soporte e9istiendo una in&raestructura de -rea de tra)a*o6 co%o INT40N4T. 4sta ;a)ilidad
per%itir- a una co%pa@2a usar Internet para esta)lecer una red pri+ada +irtual (VPN) sin el $asto de
una l2nea al7uilada.
4sta tecnolo$2a 7ue ;ace posi)le el PPTP es una e9tensin del acceso re%oto del PPP (pointGtoG
pointGprotocol......0E/ ''7'). La tecnolo$2a PPTP encapsula los pa7uetes ppp en data$ra%as IP para
su trans%isin )a*o redes )asadas en T/PKIP. 4l PPTP es a;ora %is%o un )oceto de protocolo
esperando por su estandari=acin. Las co%pa@2as 8in+olucradas8 en el desarrollo del PPTP son
Microso&tB P. #scend /o%%unications6 3co% K Pri%ar: #ccess6 4/I Tele%atics : >! 0o)otics.

PPTP ' VPN:
4l protocolo PointGToGPoint Tunnelin$ Protocol +iene incluido con Cindo<sNT 4.. !er+er :
CorDstation. Los PcWs 7ue tienen corriendo dentro de ellos este protocolo pueden usarlo para
conectar con toda se$uridad a una red pri+ada co%o un cliente de acceso re%oto usando una red
p)lica co%o Internet. >na caracter2stica i%portante en el uso del PPTP es su soporte para VPN. La
%e*or parte de esta caracter2stica es 7ue soporta VPNWs so)re pu)licGs<itc;ed telep;one net<orDs
(P!TNs) 7ue son los co%n%ente lla%ados accesos tele&nicos a redes.

Distri#uci/n Standard de! PPTP
4n la pr-ctica $eneral ;a: nor%al%ente tres ordenadores in+olucrados en una distri)ucinB
>n cliente PPTP
>n ser+idor de acceso a la red
>n ser+er PPTP

PPTP "!ients


44
44
>n ordenador 7ue es capa= de usar el protocolo PPTP puede conectarse a un ser+idor PPTP de dos
%aneras di&erentesB
>sando un I!P 7ue soporte las cone9iones PPP
>sando una red con soporte para T/PKIP para conectar a un ser+er PPTP

Los clientes PPTP 7ue 7uieran usar un I!P de)en estar per&ecta%ente con&i$urados con un %de%
: un dispositi+o VPN para ;acer las pertinentes cone9iones al I!P : al ser+er PPTP .La pri%era
cone9in es dialGup usando el protocolo PPP a tra+5s del %de% a un I!P. La se$unda cone9in
re7uiere la pri%era cone9in por7ue el tnel entre el dispositi+o VPN es esta)lecido usando el
%de% : las cone9iones PPP a Internet.

La e9cepcin a estos dos procesos de cone9in es usar PPTP para crear una VPN entre ordenadores
&2sica%ente conectados a una L#N. 4n este escenario6 el cliente est- de ;ec;o conectado a una red
: solo usa dialGup net<orDin$ con un dispositi+o VPN para crear la cone9in a un ser+er PPTP en la
L#N.

Los pa7uetes PPTP re%otos de un cliente PPTP : una L#N local PPTP son procesados de di&erente
%anera. >n pa7uete PPTP de un cliente re%oto es puesto en el dispositi+o de teleco%unicacin de
%edio &2sico6 %ientras 7ue el pa7uete PPTP de la L#N PPTP es puesto en el adaptador de red de
%edio &2sico.





43
43














4ste
dia$ra%a proporciona una +isin $eneral de %uc;os de los interca%)ios de %ensa*es reali=ados por
L/P durante las di&erentes &ases de una cone9in PPP. 4nlace de con&i$uracin se %uestra a7u2 co%o
un si%ple interca%)io de un /on&i$ureG0e7uest : /on&i$ureG#cD. ,espu5s de los interca%)ios
posteriores utili=ando otros protocolos de PPP para autenticar : con&i$urar uno o +arios PN/6 el
+2nculo entra en la &ase #)rir +2nculo. 4n este e*e%plo6 una peticin de eco : el %ensa*e de respuesta
de eco se utili=an pri%ero para pro)ar el +2nculo6 se$uido por el en+2o : la recepcin de los datos
por parte de a%)os e7uipos. !e %uestra un %ensa*e de datos ser rec;a=ado de)ido a un ca%po de
cdi$o no +-lido. Por lti%o6 el +2nculo se ter%ina usando Ter%inateG0e7uest : %ensa*es
Ter%inateG#cD.







46
46













4l protocolo 4ncapsulacin de ruta $en5rica (Q04) se utili=a *unto con Protocolo de tnel punto a
punto (PPTP) para crear redes pri+adas +irtuales (VPN) entre clientes o entre clientes : ser+idores.
>na i%ple%entacin ;a)itual es utili=ar la tecnolo$2a VPN de Microso&t entre dos ser+idores de
!er+icios de enruta%iento : acceso re%oto (00#!) 7ue est5n con&i$urados para el enruta%iento de
L#N a L#N6 co%o se %uestra a continuacin

4l &or%ato de los pa7uetes Q04 7ue Microso&t utili=a para encapsular los datos tiene el &or%ato
$eneral si$uienteB







47
47
# los datos o car$a til 7ue +a a atra+esar el tnel se le proporciona un enca)e=ado del Protocolo
punto a punto (PPP) :6 a continuacin6 se coloca dentro de un pa7uete Q04. 4l pa7uete Q04 lle+a
los datos entre los dos e9tre%os del tnel. ,espu5s de 7ue el pa7uete Q04 lle$ue al destino &inal (el
e9tre%o del tnel)6 se descarta : el pa7uete encapsulado se trans%ite a continuacin a su destino
&inal.
>tili=ando el dia$ra%a de la parte superior de esta seccin6 pri%ero se trans%ite un pa7uete del
Protocolo Internet (IP) desde Lclient al ser+idor LG00#!. 4l pa7uete IP se ci&ra6 con un enca)e=ado
PPP adicional6 : a continuacin se coloca en un pa7uete Q04. 4l dia$ra%a si$uiente indica 8cdi$o
au9iliar PPP8 : no 8enca)e=ado PPP8 por7ue el enca)e=ado PPP ta%)i5n se ci&ra *unto con los datos.
#un7ue no puede +erlo6 el protocolo Q04 se con&i$ura para sa)er 7ue e9iste un enca)e=ado PPP. 4l
pa7uete Q04 con los datos encapsulados : ci&rados se en+2a a tra+5s de Internet con 8ser+idor 0G
00#!8 co%o destino &inal. 4l ser+idor 0G00#! desco%pone el enca)e=ado Q04 : el enca)e=ado PPP6
: lue$o trans%ite los datos desci&rados (el pa7uete IP) a 0client.


Enca#e-ado de! protoco!o
Para sa)er c%o &unciona el protocolo Q04 co%o protocolo de encapsulacin6 tiene 7ue re+isar el
&or%ato de su enca)e=ado. 4l enca)e=ado de los pa7uetes Q046 tal : co%o lo i%ple%enta Microso&t6
tiene el &or%ato si$uienteB






4
4
4n la ta)la si$uiente se enu%era cada ca%po con una e9plicacin %-s detallada de su &uncin : los
par-%etros 7ue se pueden utili=ar.









4"
4"
Diferencia en !os enca#e-ados capturados en !a red prote+ida ' en !a
red sin protecci/n2
La principal di&erencia entre las tra%as de una red prote$ida : una red sin proteccin radica en 7ueB
>na red prote$ida utili=a protocolos de tneles 7ue per%iten encapsular6 : protocolos para
ci&rar los datos para 7ue circulen con %a:or se$uridad por un %edio inse$uro co%o
internet. 4n la si$uiente i%a$en se puede aprecia el proceso de encapsulado con el
protocolo PPTP para una tra%a PPP.


4ntonces el ci&radoB La tra%a PPP se ci&ra con el /i&rado punto a punto de Microso&t (MPP4)
7ue usa cla+es de ci&rado de los procesos de autenticacin 4#PGTL!. Los clientes de la red
pri+ada +irtual de)en utili=ar el protocolo de autenticacin 4#PGTL! para poder ci&rar las
car$as PPP. PPTP no proporciona ser+icios de ci&rado. PPTP encapsula una tra%a PPP
ci&rada pre+ia%ente.
4ntonces lle$a%os a la conclusin de 7ue no es nada &-cil poder capturar tra%as en+iados
a tra+5s de una cone9in VPN. Mas sin e%)ar$o lo$ra%os capturar los tipos de protocolos
7ue inter+ienen en este tipos de cone9iones.

&onclusiones

Mediante una VPN creada entre un $rupo de usuarios6 cada uno de ellos puede acceder de %anera
transparente : con&idencial a los recursos del e7uipo del otro6 es decir utili=ar no slo sus accesorios
co%o i%presoras6 scanners : de%-s6 sino ta%)i5n o)tener acceso a docu%entos : aplicaciones6
sie%pre ase$urando la inte$ridad6 con&idencialidad : se$uridad de los datos.
4s i%portante se@alar 7ue los datos 7ue +ia*an a tra+5s de la VPN se trasladan encriptados6 por lo
7ue slo podr-n acceder a ellos los usuarios de dic;a VPN6 $aranti=ando as2 la pri+acidad de los
datos.


3.
3.
4n realidad6 las VPN &uncionan de la %is%a %anera 7ue cual7uier otro tipo de red6 por lo 7ue cada
e7uipo 7ue sea parte de una deter%inada VPN tendr- una IP esta)lecida 7ue le per%itir- acceder
a dic;a red pri+ada.
VPN nos )rinda una cone9in se$ura6 &-cil de i%ple%entarla6 ade%-s 7ue pode%os tener el control
: se$uridad :a 7ue solo los e7uipos 7ue pertenecen a una red de -rea local de uno de los lados de
nuestra red VPN pueden +er dic;os datos.
#l tener una red VPN $aranti=a%os el ci&rado de los datos 7ue se trans%iten desde un lado de la
VPN ;acia el otro : por lo tanto son inco%prensi)les para cual7uiera 7ue no se encuentre en uno
de los e9tre%os.
4l lado del cliente es la parte 7ue ci&ra : desci&ra los datos para el usuario6 : el ser+idor es 7uien
desci&ra los datos del lado de la or$ani=acin

(i!liograf)a

;ttpBKKes.<iDipedia.or$K<iDiK0edXpri+adaX+irtual
;ttpBKK<<<.cisco.co%K<e)K4!KsolutionsKesK+pnKinde9.;t%l
;ttpBKKes.DiosDea.netKcontentsK23G+pnGredesGpri+adasG+irtuales
;ttpBKK<<<.con&i$urare7uipos.co%Kdoc4"".;t%l
;ttpBKKenreda*o.)lo$spot.%9K2.."K.3K7ueGesGunaG+pnG:GtiposGdeG+pn.;t%l
;ttpBKK%sdn.%icroso&t.co%KesGesKli)rar:Kcc73"463(+N<s.'.).asp9
;ttpBKK%sdn.%icroso&t.co%KesGesKli)rar:Kcc736673(+N<s.'.).asp9
;ttpBKKlaurel.datsi.&i.up%.esKpro:ectosKteldatsiKteldatsiKprotocolosXdeXco%unicacionesKp
rotocoloXipsec
mixteco.utm.mx/~resdi/historial/materias/IPv4.pdf