INSTITUTO

TECNOLGICO DE
ACAPULCO

Ingeniera en Sistemas Computacionales

ADMINISTRACIN DE LA SEGURIDAD

REPORTE TCNICO UNIDAD III

PRCTICA: Conexin a Sistemas Remotos de
Acceso -VPN -

Profesor:

Dr. Eduardo De la cruz Gmez

INTEGRANTES DEL EQUIPO:

Carlos Alberto Garca Garca

Martha Gabriela Gutirrez Chvez
Julio Cesar
Peralta Eroza
10320848
Cesar Guadalupe De La Cruz Salvador
10320823

10320803
10320777

Acapulco, Guerrero, Mxico

Contenido
Conexin a Sistemas Remotos de Acceso -VPN -.......................................................3
OBJETIVO............................................................................................................ 3
INTRODUCCIN................................................................................................... 4
Diferencias entre LAN y VPN................................................................................... 7
Tipos de conexin VPN........................................................................................... 8
Puertos y tneles................................................................................................... 9
Protocolo PPTP............................................................................................ 10
Protocolo L2TP............................................................................................. 10
Protocolo IPSec........................................................................................... 10
DESARROLLO.................................................................................................... 11
Conexin del Cliente......................................................................................... 15
CONCLUSIN..................................................................................................... 20
BIBLIOGRAFA.................................................................................................... 21

Conexin a Sistemas Remotos de Acceso -VPN -

OBJETIVO
El objetivo de este laboratorio es:
Familiarizarse con las redes privadas virtuales y establecer una
configuracin de conectividad VPN en la plataforma Windows 2003
( mayor) Linux.
Hardware y software a utilizar
Mnimo 2 Equipos de Cmputo.
Analizador de protocolos (Sniffer).
Opcional una mquina virtual
Tareas a desarrollar
Documentar el proceso de conexin de los nodos remotos.
Monitorear la operacin y los encabezados Ethernet con un analizador de
protocolos.
Monitorear la operacin y los encabezados VPN con un analizador de
protocolos.
El Reporte final tcnico debe incluir los siguientes elementos:
Describir el procedimiento que utiliz para establecer la conectividad fsica
de la red.
Describir el procedimiento que utiliz para establecer la conectividad lgica
de la red, sustentar con la captura del proceso de establecimiento de la
conexin y la liberacin de la conexin.
Describir la diferencia encontrada en los encabezados capturados (sniffer)
en la red protegida y en la red sin proteccin.

INTRODUCCIN
Una red privada virtual o VPN, por sus siglas en ingls (Virtual Private Network),
es una tecnologa de comunicaciones que permite una extensin de la red local
sobre una red pblica insegura, como Internet.
Se suele hablar de redes porque pueden interconectar y extender otras redes o
segmentos y, tambin, permiten crear tneles dentro de una misma red. Son
privadas porque se mantiene la confidencialidad de la informacin y tienen
directamente asociada la seguridad. Para esto se implementan controles de
autenticacin y cifrado para las conexiones.
Se dice que son virtuales porque, al establecer una conexin, el cliente extiende
virtualmente la red hasta esa ubicacin. Las redes fsicas son distintas, pero se
trabaja dentro de la misma red lgica.
Siguiendo los mismos principios funcionales de los circuitos dedicados, las VPNs
permiten una comunicacin digital segura entre dos partes (o redes), creando una
red de rea amplia (WAN) a partir de las LANs existentes. La diferencia con
respecto a frame relay o ATM est en el medio de transporte. Las VPNs transmiten
sobre IP usando datagramas (UDP) como la capa de transporte, haciendo un
conducto seguro a travs de la Internet hasta la direccin destino. La mayora de
las implementaciones de software libre de VPN incorporan estndares abiertos y
encriptacin para enmascarar an ms el trnsito de datos.
Algunas organizaciones emplean soluciones de hardware VPN para aumentar la
seguridad, mientras que otras utilizan las implementaciones basadas en software
o protocolos. Hay muchos fabricantes con soluciones de hardware VPN tales
como Cisco, Nortel, IBM y Checkpoint. Hay una solucin libre de VPN basada en
software para Linux llamada FreeS/Wan que utiliza una implementacin
estandarizada de IPSec (o Protocolo de Internet de Seguridad). Estas soluciones
VPN actan como enrutadores especializados que se colocan entre la conexin IP
desde una oficina a la otra.
Cuando un paquete es transmitido a un cliente, lo enva a travs del enrutador o
puerta de enlace, el cual posteriormente aade informacin de cabecera para el
enrutamiento y autenticacin llamado la Cabecera de autenticacin (AH). Los
datos son encriptados y encapsulados con instrucciones de descifrado y manejo
llamado Encapsulating Security Payload (ESP). El enrutador VPN receptor extrae
la informacin y la enruta a su destino (bien sea una estacin de trabajo o un nodo
en la red). Usando una conexin de red-a-red, el nodo receptor en la red local
recibe los paquetes descifrados y listos para ser procesados. El proceso de

encriptacin/descifrado en una conexin VPN de red-a-red es transparente al nodo

local.
Con tal nivel de seguridad, un cracker debe no slo interceptar un paquete, sino
adems descifrarlo (la mayora de las VPNs emplean el Estndar de encriptacin
triple [3DES] de 168-bit). Los intrusos que empleen el tipo de ataque Hombre en el
medio entre un servidor y el cliente deben tambin tener acceso a las llaves
intercambiadas para la autenticacin de sesiones. Las VPNes son una forma
efectiva y segura de conectar nodos remotos mltiples para actuar como una
nica Intranet.
Dependiendo de la capa en que se est, se definirn varios protocolos TCP/IP
seguros. Si se trabaja a nivel de red, la solucin sera la implementacin del
protocolo IPSec.

Entramos

Como parte de la arquitectura de IPSec, y siguiendo los lineamientos

mencionados por el IAB, se definen tres protocolos centrales. Por un lado, el
protocolo AH (AutenticationHeader), que provee autenticacin e integridad de

datos, pero no brinda confidencialidad. Por otro lado, ESP (Encapsulating Security
Payload), que se encarga de proveer confidencialidad de datos. Finalmente,
ISAKMP (Internet Security Association and Key Management Protocol), que brinda
los mecanismos de intercambio de claves y autenticacin de AH y ESP.
Adicionalmente, dependiendo de cmo se implemente IPSec, tendremos dos
modos de operacin distintos.En el modo transporte se cifra el payload (dato) pero
no la cabecera IP, tal como podemos ver en la Figura. Este modo se utiliza para la
comunicacin punto a punto entre dos hosts y requiere que ambos soporten
IPSec.
El segundo modo de operacin es el conocido como modo tnel, donde se protege
el paquete IP completo con las cabeceras incluidas. Este modo es el utilizado para
comunicaciones punto a punto entre distintos Gateway. Una ventaja del modo
tnel es que la implementacin de IPSec solo debe ser montada en los Gateway,
independientemente de los clientes, a los paquetes se les agrega una nueva
cabecera.

Por otro lado, el control de acceso a la VPN est basado en las polticas de la
organizacin, haciendo que la implementacin de estas sea directa. Los
algoritmos de compresin, dependiendo del tipo de VPN, optimizan el trfico y
complementan las cargas asociadas al procesamiento de cifrado, descifrado,
etctera.
En el caso terico, una VPN ofrece un sistema de comunicaciones seguro, donde
la confidencialidad, la integridad y la autenticacin estn garantizadas. Pero de la
teora a la prctica, muchas veces hay un largo camino. Al igual que en el caso de
las VLANs, la mayora de las debilidades se presentan al momento de la
implementacin. Las configuraciones predeterminadas y la falta de recaudos
necesarios hacen que esta tecnologa muchas veces muestre ciertas
vulnerabilidades que no estn asociadas a la tecnologa en s. De ah que, una vez
ms, hagamos hincapi en la importancia de los procesos de hardening para
reducir los riesgos y la falsa sensacin de seguridad asociados a la presencia de
dispositivos tales como firewalls, sistemas de deteccin de intrusos, firewalls de
aplicacin, etc. Si bien muchos de ellos son necesarios dependiendo del entorno
que debamos proteger, el solo hecho de tenerlos crackeados en el data center no
garantiza que exista una proteccin efectiva.
Uno de los modos de operacin de IPSec por medio del cual se genera un canal
para llevar adelante el intercambio de claves en una VPN es el modo agresivo
(aggresivemode). Este modo no est recomendado porque parte del intercambio

se hace por un canal no cifrado, y si bien no es el modo que se usar por defecto,
muchas veces permanece habilitado como segunda opcin. Si un atacante
identifica la presencia del modo agresivo, puede forzar al terminador VPN a utilizar
este modo por sobre el principal, y as, obtener informacin que puede ser
utilizada para acceder al tnel en forma no autorizada.
Si el tnel se genera por software por ejemplo, sobre SSH o SSL, es
fundamental conocer las versiones implementadas de las aplicaciones e, incluso,
de los protocolos. Es sabido que la versin 1 SSH es vulnerable, al igual que la
versin 2 del protocolo SSL; incluso existen exploits pblicos conocidos y diversas
formas de aprovecharse de ellas.
Las VPN brindan una conexin segura entre la Internet, el usuario y la data o los
sitios WEB a los que se conectan, y encripta el intercambio de datos a travs de la
conexin. Un usuario abre un portal VPN en su Tablet o navegas en un sitio VPN,
y a partir de all opera la proteccin del VPN a travs de una serie de protecciones
especficas de las redes y computadoras con VPN.
Diferencias entre LAN y VPN
Las LAN son aquellas que se expande en un rea pequea, Su extensin est
limitada fsicamente a un edificio o a un entorno de hasta 200 metros. Una LAN
puede estar conectada con otras LAN a cualquier distancia por medio de una lnea
telefnica y ondas de radio.
Las LAN son capaces de transmitir datos a velocidades muy altas, pero las
distancias son limitadas. Generalmente estas redes transmiten datos a 10
megabits por segundo.
Las redes privadas virtuales Es una tecnologa de red que permite una extensin
de la red local sobre una red pblica o no controlada, como por ejemplo Internet.
Algunas caractersticas que ofrece VPN sobre LAN son:
Ofrece conectividad a zonas geogrficas
Mejora la seguridad
Reduce costes frente a otras soluciones WAN
Simplifica las redes de datos
Favorece el soporte remoto
Es compatible con las conexiones de banda ancha
VPN brinda seguridad eficaz para los usuarios que acceden a la red por va
inalmbrica mientras estn de viaje o alejados de sus oficinas. Con VPN, los
usuarios crean un "tnel" seguro entre dos o ms puntos de una red mediante el
cifrado, incluso si los datos cifrados se transmiten a travs de redes no seguras
como la red de uso pblico Internet. Los empleados que trabajan desde casa con
conexiones de acceso telefnico o de banda ancha tambin pueden usar VPN.
Las VPN ofrecen ventajas como:

Integridad, confidencialidad y seguridad de datos.

Las VPN reducen los costos y son sencillas de usar.

Facilita la comunicacin entre dos usuarios en lugares distantes.

Tipos de conexin VPN

CONEXIN DE ACCESO REMOTO
Una conexin de acceso remoto es realizada por un cliente o un usuario de una
computadora que se conecta a una red privada, los paquetes enviados a travs de
la conexin VPN son originados al cliente de acceso remoto, y ste se autentifica
al servidor de acceso remoto, y el servidor se autentifica ante el cliente.
CONEXIN VPN ROUTER A ROUTER
Una conexin VPN router a router es realizada por un router, y este a su vez se
conecta a una red privada. En este tipo de conexin, los paquetes enviados desde
cualquier router no se originan en los routers. El router que realiza la llamada se
autentifica ante el router que responde y este a su vez se autentica ante el router
que realiza la llamada y tambin sirve para la intranet.
CONEXIN VPN FIREWALL A FIREWALL
Una conexin VPN firewall a firewall es realizada por uno de ellos, y ste a su vez
se conecta a una red privada. En este tipo de conexin, los paquetes son enviados
desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica
ante el que responde y ste a su vez se autentifica ante el llamante.

Puertos y tneles
Puerto 1128
El puerto TCP 1128 usa el Protocolo de Control de Transmisin. TCP es uno de los
protocolos principales en redes TCP/IP. TCP es un protocolo orientado en la
conexin, necesita el apretn de manos para determinar comunicaciones de
principio a fin. Solo cuando la conexin es determinada, los datos del usuario
pueden ser mandados de modo bidireccional por la conexin.
TCP puerto 1128 garantiza la entrega de paquetes de datos en el mismo orden, en

que fueron mandados. La comunicacin garantizada por el puerto TCP 1128 es la

diferencia mayor entre TCP y UDP. El puerto UDP no garantizara la comunicacin
como TCP.
UDP puerto 1128 provee un servicio poco fidedigno y datagramas pueden llegar
en duplicado, descompuestos o perdidos sin aviso. UDP puerto 1128 piensa, que
la verificacin y correccin de errores no es necesaria o cumplida en la aplicacin
para evitar los gastos generales para el procesamiento en el nivel del interface de
red.
UDP (Protocolo del Datagrama del Usuario) es el protocolo mnimo de la Capa de
Transporte orientado en el mensaje (el protocolo es documentado en IETF RFC
768). >br/>Los ejemplos de aplicacin, que a menudo usan UDP: voz por IP
(VoIP), media de flujo y juegos del multi-jugador en tiempo real. Muchas
aplicaciones Web usan UDP, por ejemplo, el Sistema del Nombre de Dominio
(DNS), Protocolo de informacin de Enrutamiento (RIP), Protocolo Dinmico de
Configuracin del Host (DHCP), Protocolo Simple de Tratamiento de Red (SNMP).
Puerto 1723
El puerto 1723 sirve para abrir conexiones PPTP. Enrutamiento y Acceso Remoto
para VPN con PPTP.
Protocolo 47 (GRE)
Es un protocolo para el establecimiento de tneles a travs de Internet. La
encapsulacinde enrutamientogenrico

Protocolo PPTP.
El principio del PPTP (Protocolo de tnel punto a punto) consiste en crear
tramas con el protocolo PPP y encapsularlas mediante un datagrama de IP.
Por lo tanto, con este tipo de conexin, los equipos remotos en dos redes
de rea local se conectan con una conexin de igual a igual (con un sistema
de autenticacin/cifrado) y el paquete se enva dentro de un datagrama de
IP.

De esta manera, los datos de la red de rea local (as como las direcciones
de los equipos que se encuentran en el encabezado del mensaje) se
encapsulan dentro de un mensaje PPP, que a su vez est encapsulado
dentro de un mensaje IP.
Protocolo L2TP.
L2TP es un protocolo de tnel estndar (estandarizado en una RFC,
solicitud de comentarios) muy similar al PPTP. L2TP encapsula tramas PPP,
que a su vez encapsulan otros protocolos (como IP, IPX o NetBIOS).
Protocolo IPSec.
IPSec es un protocolo definido por el IETF que se usa para transferir datos
de manera segura en la capa de red. En realidad es un protocolo que
mejora la seguridad del protocolo IP para garantizar la privacidad, integridad
y autenticacin de los datos enviados.
IPSec se basa en tres mdulos:

Encabezado de autenticacin IP (AH), que incluye integridad,

autenticacin y proteccin contra ataques de REPLAY a los paquetes.

Carga til de seguridad encapsulada (ESP), que define el cifrado del

paquete. ESP brinda privacidad, integridad, autenticacin y proteccin
contra ataques de REPLAY.

Asociacin de seguridad (SA) que define configuraciones de

seguridad e intercambio clave. Las SA incluyen toda la informacin
acerca de cmo procesar paquetes IP (los protocolos AH y/o ESP.

DESARROLLO
Configuracin de la maquina servidor en la conexin VPN.
Abrimos la configuracin de adaptadores de red, damos en el men archivo y
seleccionamos nueva conexin entrante:

Figura 1: Nueva Conexin

de red

Una vez que le damos en agregar nueva conexin entrante nos aparecer una
ventana como se muestra en la figura 2 y creamos un usuario, en este caso
crearemos al usuario cesar.

Figura 2: Creacin de Usuarios Para el

Una vez creados los usuarios este nos indicara que seleccionemos quien se podr
acceso remoto
conectar al equipo.

Figura 3: Seleccin de usuarios para conectarse

acceso remoto

Una vez que seleccionamos los usuarios damos en siguiente y nos dir si
deseamos conectarnos a travs de internet, en este caso seleccionamos la casilla
como se muestra en la figura 4.

Figura 4: Crear Conexin a travs de internet

Seleccionamos la casilla para poder finalizar nuestra conexin VPN despus

damos en siguiente para continuar.

Figura 5: Configuracin de red i de IP si se requiere un rango de

conexiones de usuarios

Como se muestra en la figura 5, en esta ventana si el administrador requiere

puede configurar el rango de direcciones ip que se van a conectar a la red VPN.

Figura 6: Finalizacin de la
red

Una vez que terminamos de configurar nuestra red VPN se procede a finalizar
donde esta nos mostrara el nombre del servidor el equipo en el cual se configuro
nuestra red.

Figura 6: Red VPN Creada

Ya que finalizamos la configuracin, en nuestro equipo ya nos aparece nuestra red

y cuando un cliente se conecte a ella el estado de la misma cambiara.
Una vez que ya tenemos configurada nuestra red procederemos a dar acceso a
nuestros usuarios para que se puedan conectar a nuestra red, damos en
propiedades del sistema.

Figura 7: Permitir Usuarios acceso

remoto

Como se muestra en la figura 7 seleccionamos la opcin permitir la conexin

remota a este equipo, seguido agregaremos a los usuarios que se podrn
conectar, en nuestro caso el nombre de usuario es cesar.

Figura 8: Agregar Usuarios acceso

remoto

Damos clic en Aceptar y ahora configuramos el cliente para que pueda acceder
con este nombre de usuario.

Conexin del Cliente

En centro de configuracin de redes y recursos compartidos damos en configurar
nueva conexin de red, como se muestra en la figura 9.

Figura 9: Conexin de red VPN

Una vez que damos clic sobre configurar una nueva conexin seleccionamos la
opcin conectarse a un red de trabajo.

Una
vez
Figura 10: Usar conexin de red VPN
que seleccionamos que vamos a conectarnos a una red VPN. Seleccionamos que
usuraremos nuestra conexin a internet como se muestra en la figura10.

Figura 11: Asignando direccin IP del

servidor VPN

Despus de ello nos mostrara la imagen de la figura 11, donde escribimos la

direccin IP del servidor VPN. Damos en siguiente y nos pedir escribir el nombre
de usuario y contrasea con el que accederemos a la red.

12:y Ingresando
y una pantalla de proceso de
Una vez ingresado elFigura
usuario
contrasea usuario
nos saldr
contrasea
conexin y tiempo despus
nos mandara el mensaje de que el cliente se conecto.

Figura 13: Acceso satisfactorio a la red

VPN

Una vez que el cliente ingresa con el usuario y la contrasea que le asigno el
servidor, en la maquina servidor esta nos indica que hay un cliente conectado,
como se muestra en la figura 14.

Figura 14: Cliente conectado a la red

Compartiendo un archivo
Para comprobar la conexin entre cliente y servidor compartiremos un archivo
desde la maquina cliente.
Para ello entramos al explorador de Windows y asignamos la carpeta que
deseamos enviar al servidor.

Figura 15: Compartiendo un archivo

Comprobamos que el archivo se encuentre en la mquina servidor.

Figura 16: Comprobando transferencia de archivo en

el servidor

Capturas de Wireshark
Ahora comprobaremos la conexin por medio de una captura con Wireshark, para
observar el protocolo utilizado en la conexin VPN.

Figura 17: Proceso de conexin en Wireshark

Se puede observar el protocolo PPTP en la conexin del cliente con la red VPN.

Figura 17: Tramas de Wireshark en la transferencia

de archivo

CONCLUSIN
Las redes privadas virtuales son una forma de comunicacin ms
segura, ya que nos permite conectarnos a una red de trabajo desde
nuestra casa, otro estado o incluso otro pas. Es una utilidad conveniente
cuando se desea mantener la seguridad en la transmisin de los datos.
Por otro lado, puede ser utilizado en redes de rea local esto por motivos
de seguridad de trasmisin de datos y evitar que estos sean
interceptados por programas Sniffer.
Una de las cosas importantes, es la creacin de usuarios en el servidor
de la red VPN, pues as estamos especificando las personas que tendr
acceso al servidor con una contrasea.

BIBLIOGRAFA

Redes de Computadoras 4ta edicion-Tanenbaum

http://technet.microsoft.com/es-es/library/ff625695(v=ws.10).aspx

http://wiki.wireshark.org/SMB2