Planificacin y Administracin de Redes

VPN

Introduccin
Cuando un trabajador a distancia o de una oficina remota utiliza servicios de banda ancha para
conectarse a la WAN corporativa a travs de Internet, se corren riesgos de seguridad. Para
tratar las cuestiones de seguridad, los servicios de banda ancha ofrecen funciones para utilizar
conexiones de red privada virtual (VPN, Virtual Private Network) a un servidor VPN, que por lo
general se encuentra ubicado en la empresa.
Una VPN es una conexin encriptada entre redes privadas a travs de una red pblica como
Internet. En lugar de utilizar una conexin de Capa 2 dedicada, como una lnea arrendada, las
VPN utilizan conexiones virtuales denominadas tneles VPN que se enrutan a travs de
Internet desde una red privada de la empresa al sitio remoto o host del empleado.
Los beneficios de las VPN incluyen los siguientes:
Ahorro de costos: las VPN permiten a las organizaciones utilizar Internet global para
conectar oficinas remotas y usuarios remotos al sitio corporativo principal, lo que
elimina enlaces WAN dedicados costosos y bancos de mdems.
Seguridad: las VPN proporcionan el mayor nivel de seguridad mediante el uso de
protocolos de encriptacin y autenticacin avanzados que protegen los datos contra el
acceso no autorizado.
Escalabilidad: como las VPN utilizan la infraestructura de Internet dentro de ISP y de
los dispositivos, es sencillo agregar nuevos usuarios. Las corporaciones pueden
agregar grandes cantidades de capacidad sin agregar una infraestructura importante.
Compatibilidad con la tecnologa de banda ancha: los proveedores de servicios de
banda ancha como DSL y cable soportan la tecnologa VPN, de manera que los
trabajadores mviles y los trabajadores a distancia pueden aprovechar el servicio de
Internet de alta velocidad que tienen en sus hogares para acceder a sus redes
corporativas. Las conexiones de banda ancha de alta velocidad de nivel empresarial
tambin pueden proporcionar una solucin rentable para conectar oficinas remotas.
Existen dos tipos de acceso VPN:
VPN de sitio a sitio: estas VPN conectan redes enteras entre s; por ejemplo, pueden
conectar la red de una sucursal con la red de la sede principal de la empresa, como se
muestra en la imagen. Cada sitio cuenta con un gateway de la VPN, como un router, un
firewall, un concentrador de VPN o un dispositivo de seguridad.
VPN de acceso remoto: las VPN de acceso remoto permiten a hosts individuales, como
trabajadores a distancia, usuarios mviles y consumidores de Extranet, tener acceso a
la red empresarial de manera segura a travs de Internet. Normalmente, cada host
tiene instalado el software cliente de VPN o utiliza un cliente basado en la Web.
Tunneling
El tunneling permite el uso de redes pblicas como Internet para transportar datos para
usuarios, siempre que los usuarios tengan acceso a una red privada. El tunneling encapsula un
paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto. Esta
figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.
Para ilustrar el concepto de tunneling y las clases de protocolos de tunneling, veamos un
ejemplo de un envo de una tarjeta navidea por correo tradicional. La tarjeta navidea tiene un
mensaje adentro. La tarjeta es el protocolo pasajero. El emisor coloca la tarjeta dentro de un
sobre (protocolo de encapsulacin) y escribe las direcciones correctas. Luego, deposita el
sobre en el buzn de correo para que sea entregado. El sistema postal (protocolo portador)
busca y entrega el sobre en el buzn del receptor. Los dos extremos del sistema portador son
las "interfaces del tnel". El receptor quita la tarjeta navidea (extrae el protocolo pasajero) y
lee el mensaje.
Los protocolos usados para el tunneling son
Protocolo portador: protocolo por el cual viaja la informacin (Frame Relay, ATM,
MPLS).
Protocolo de encapsulacin: protocolo que envuelve los datos originales (GRE, IPSec,
L2F, PPTP, L2TP).
Protocolo pasajero: protocolo por el cual se transportan los datos originales (IPX,
AppleTalk, IPv4, IPv6).

Planificacin y Administracin de Redes

VPN

Esta figura muestra un mensaje

de correo electrnico que viaja
por Internet a travs de una
conexin VPN. PPP transmite el
mensaje al dispositivo VPN,
donde el mensaje se encapsula
dentro de un paquete de
Encapsulamiento
de
enrutamiento genrico (GRE).
El GRE es un protocolo de
tunneling desarrollado por Cisco
Systems que puede encapsular
una amplia variedad de tipos de
paquetes de protocolo dentro de
tneles IP, lo que crea un
enlace virtual punto a punto con los routers Cisco en puntos remotos, a travs de una
internetwork IP. En la figura, el direccionamiento del paquete de origen y de destino externo se
asigna a "interfaces del tnel" y se hace enrutable a travs de la red. Una vez que el paquete
compuesto llega a la interfaz del tnel de destino, se extrae el paquete interno.
Encriptacin
Si por Internet pblica se transporta texto sin formato, puede ser interceptado y ledo. Para
mantener la privacidad de los datos, es necesario encriptarlos. La encriptacin VPN encripta los
datos y los vuelve ilegibles para los receptores no autorizados.
Para que la encriptacin funcione, tanto el emisor como el receptor deben conocer las reglas
que se utilizan para transformar el mensaje original en la versin codificada. Las reglas de
encriptacin de la VPN incluyen un algoritmo y una clave. Un algoritmo es una funcin
matemtica que combina mensaje, texto, dgitos o los tres con una clave. El resultado es una
cadena de cifrado ilegible. El descifrado es extremadamente difcil o imposible sin la clave
correcta.

Hash (integridad)
Los hashes contribuyen a la autenticacin y la integridad de los datos, ya que garantizan que
personas no autorizadas no alteren los mensajes transmitidos. Un hash, tambin denominado
message digest, es un nmero generado a partir de una cadena de texto. El hash es menor
que el texto. Se genera mediante una frmula, de forma tal que es extremadamente improbable
que otro texto produzca el mismo valor de hash.
El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El
receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido y
compara los dos hashes. Si son iguales, puede estar seguro de que la integridad del mensaje
no ha sido afectada.

Planificacin y Administracin de Redes

VPN

Las VPN utilizan un cdigo de autenticacin de mensajes para verificar la integridad y la

autenticidad de un mensaje, sin utilizar mecanismos adicionales. Un cdigo de autenticacin de
mensajes de hash (HMAC) en clave es un algoritmo de integridad de datos que garantiza la
integridad del mensaje.
El HMAC tiene dos parmetros: un mensaje de entrada y una clave secreta que slo conocen
el creador del mensaje y los receptores adecuados. El emisor del mensaje utiliza una funcin
HMAC para producir un valor (el cdigo de autenticacin del mensaje) que se forma al
condensar la clave secreta y el mensaje de entrada. El cdigo de autenticacin del mensaje se
enva junto con el mensaje. El receptor calcula el cdigo de autenticacin del mensaje en el
mensaje recibido con la misma clave y la misma funcin HMAC que utiliz el emisor y compara
los resultados calculados con el cdigo de autenticacin del mensaje. Si los dos valores
coinciden, el mensaje se ha recibido correctamente y el receptor est seguro de que el emisor
es un miembro de la comunidad de usuarios que comparten la clave
Hay dos algoritmos HMAC comunes:
Message Digest 5 (MD5): utiliza una clave secreta compartida de 128 bits. El mensaje
de longitud variable y la clave secreta compartida de 128 bits se combinan y se
ejecutan mediante el algoritmo de hash HMAC-MD5. El resultado es un hash de 128
bits. El hash se agrega al mensaje original y se enva al extremo remoto.
Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje
de longitud variable y la clave secreta compartida de 160 bits se combinan y se
ejecutan mediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160
bits. El hash se agrega al mensaje original y se enva al extremo remoto.
Autentificacin
Cuando se realizan negocios a larga distancia, es necesario saber quin est del otro lado del
telfono, correo electrnico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el
dispositivo ubicado en el otro extremo del tnel de la VPN antes de que la ruta de comunicacin
se considere segura. Hay dos mtodos pares de autenticacin:
Clave compartida previamente (PSK): una clave secreta compartida entre dos partes
que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan
algoritmos criptogrficos de clave simtrica. Una PSK se especifica en cada par
manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina
con otra informacin para formar la clave de autenticacin.
Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. El
dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado
(firma digital) se adjunta al mensaje y se enva al extremo remoto. En el extremo
remoto, el hash encriptado se descifra mediante la clave pblica del extremo local. Si el
hash descifrado coincide con el hash recalculado, la firma es verdadera.
IPSec
Internet Protocol security es una extensin al protocolo IP que proporciona seguridad a IP y a
los protocolos de capas superiores. Fue desarrollado para el nuevo estndar IPv6 y despus
fue portado a IPv4. IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla
autenticacin, integridad y confidencialidad de la comunicacin. Puede proteger el datagrama
IP completo o slo los protocolos de capas superiores. Estos modos se denominan,
respectivamente, mdo tnel y modo transporte. En modo tnel el datagrama IP se encapsula
completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. En modo
transporte IPsec slo maneja la carga del datagrama IP, insertndose la cabecera IPsec entre
la cabecera IP y la cabecera del protocolo de capas superiores

Planificacin y Administracin de Redes

VPN

Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos
de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de
transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede
ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de
capa de transporte ms usados. Una ventaja importante de IPsec frente a SSL y otros mtodos
que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que
hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las
aplicaciones tienen que modificar su cdigo.