PPP

POINT TO POINT PROTOCOL

GENERALIDADES PPP

• Desarrollado por la IETF.

• Descrito en RFCs 1661, 1662, 1663.
• PPP se creó para solucionar los problemas de conectividad
remota de Internet.
• El objetivo principal de PPP es transportar paquetes de capa 3
a través de un enlace de punto a punto de enlace de datos.
• PPP suministra conexiones de router a router y de host a red a
través de circuitos síncronos y asíncronos.
• Es multiprotocolo, una comunicación soporta simultáneamente
varios protocolos a nivel de red.
FUNCIONES
OFRECIDAS POR PPP
• Control de la configuración del enlace de datos.
• Proporciona asignación dinámica de direcciones IP.
• Multiplexión de protocolo de red.
• Configuración de enlace y verificación de la calidad del enlace.
• Detección de errores.
• Opciones de negociación para destrezas tales como
negociación de la dirección de capa de red y negociaciones de
compresión de datos.
COMPONENTES PPP
PPP consta de dos subprotocolos:
• Protocolo de Control de Enlace (LCP, Link Control
Protocol): Se encarga de configurar el enlace y cuidar de la
autenticación. Después de terminar de configurar el enlace,
utiliza NCP.
• Protocolo de Control de Red (NCP, Network Control
Protocol): Encargado de negociar parámetros de
configuración opcionales e instalaciones para la capa de red.
En otras palabras, asegura que los protocolos IP y otros
puedan funcionar correctamente en el enlace PPP.
COMPONENTES PPP
ESTABLECIENDO UNA
SESIÓN PPP
Antes de establecer una conexión PPP, el enlace debe pasar por
tres fases:

Fase Fase Fase

1 Establecimiento
del enlace y
2 Determinación 3 Negociación de
la configuración
de la calidad del
negociación de del protocolo de
enlace (opcional)
la configuración capa de red
ESTABLECIENDO UNA
SESIÓN PPP
Fase 1: Establecimiento del enlace y negociación de la
configuración.
• En esta fase cada dispositivo PPP envía paquetes LCP para
configurar y establecer el enlace de datos.
• Los paquetes LCP contienen un campo de opción de
configuración que permite que los dispositivos negocien el uso de
opciones, como la unidad máxima de transmisión (MTU), la
compresión de determinados campos PPP y el protocolo de
autenticación de enlace. Si no se incluye ninguna opción de
configuración en un paquete LCP, se adopta el valor por defecto
para esa configuración.
• Antes de que se pueda intercambiar cualquier datagrama de
capa de red (por ejemplo, IP), LCP primero debe abrir la
conexión y negociar los parámetros de configuración.
• Esta fase se completa cuando se ha enviado y recibido una trama
de acuse de recibo de configuración.
ESTABLECIENDO UNA
SESIÓN PPP
Fase 2: Determinación de la calidad del enlace.
• LCP permite una fase opcional de determinación de la calidad del enlace
a continuación de la fase de establecimiento del enlace y negociación de
la configuración.
• En la fase de determinación de la calidad del enlace, el enlace se prueba
para determinar si la calidad del enlace es lo suficientemente buena
como para establecer los protocolos de capa de red. Además, una vez
que se ha establecido el enlace y que se ha elegido el protocolo de
autentificación, se puede autenticar la estación de trabajo del cliente o
usuario.
• La autentificación, en caso de que se utilice, se lleva a cabo antes de que
comience la fase de configuración del protocolo de la capa de red. LCP
puede retardar la transmisión de la información del protocolo de capa de
red hasta que esta fase se haya completado.
• PPP soporta dos protocolos de autentificación: Protocolo de
autentificación de contraseña (PAP) y Protocolo de autentificación
de desafío (CHAP). Ambos protocolos se describen en detalle en RFC
1334, "Protocolos de autentificación PPP".
ESTABLECIENDO UNA
SESIÓN PPP
Fase 3: Negociación de la configuración del protocolo de capa
de red.
• Cuando LCP finaliza la fase de determinación de la calidad del
enlace, los protocolos de capa de red pueden ser configurados
individualmente por el NCP adecuado y se pueden activar y
desactivar en cualquier momento.
• En esta fase, los dispositivos PPP envían paquetes NCP para
seleccionar y configurar uno o varios protocolos de capa de red
(como IP). Cuando se ha configurado uno de los protocolos de
capa de red elegidos, se pueden enviar datagramas desde cada
uno de los protocolos de capa de red a través del enlace. Si LCP
cierra el enlace, informa esto a los protocolos de la capa de red,
para que puedan tomar las medidas adecuadas.
• Cuando PPP está configurado, puede verificar el estado de LCP y
NCP mediante el comando show interfaces.
ESTABLECIENDO UNA
SESIÓN PPP
MÉTODOS DE AUTENTICACIÓN
PPP tiene dos mecanismos de seguridad incorporados que son:

• Protocolo de Autenticación de Contraseña (PAP -

Password Authentication Protocol).

• Protocolo de autentificación de desafío (CHAP - Challenge

Handshake Authentication Protocol).
MÉTODOS DE AUTENTICACIÓN
PAP
• Es un protocolo de autenticación muy
simple. El cliente que desea acceder a un
servidor envía su nombre de usuario y
contraseña en texto plano a través de la
red.
• El servidor comprueba la validez del
nombre de usuario y la contraseña y
acepta o rechaza la conexión. Esto se
conoce como handshake bidireccional.
• En el proceso de handshake bidireccional
de PAP, el nombre de usuario y la
contraseña se envían en el primer
mensaje.
• Para aquellos sistemas que requieren
mayor seguridad, PAP no es suficiente ya
que un tercero con acceso al enlace
puede obtener fácilmente la contraseña y
acceder a los recursos del sistema.
MÉTODOS DE AUTENTICACIÓN
CHAP
• Es un protocolo de autenticación PPP que es mucho más seguro
que PAP. Veamos cómo funciona el handshake de CHAP –
método de tres vías:
1. Con CHAP, el protocolo comienza con un texto aleatorio
(llamado challenge) enviado desde el Servidor, que solicita al
Cliente autenticarse.
2. Después de recibir el challenge, el Cliente utiliza su contraseña
para realizar un algoritmo de hash unidireccional, que
normalmente es Message Digest 5 (MD5) para cifrar el texto
aleatorio recibido del servidor. El resultado se envía de nuevo al
servidor. Por lo tanto, si alguien quiere capturar los mensajes
entre el cliente y el servidor, no puede saber cuál es la
contraseña.
MÉTODOS DE AUTENTICACIÓN
CHAP
3. En el lado del servidor, se usa el mismo algoritmo para generar
su propio resultado. Si los dos resultados coinciden, el cliente
reconoce la autenticación. Si los valores no coinciden,
inmediatamente termina la conexión.
MÉTODOS DE AUTENTICACIÓN
VENTAJAS CHAP
• CHAP proporciona protección contra el ataque de
reproducción mediante el uso de un valor de challenge
diferente que es único y viene al azar. Debido a que el
challenge es único e impredecible, el valor de hash resultante
también es único y aleatorio. Lo que dificulta la "adivinación".
• El uso de desafíos repetidos y diferentes, limita el tiempo de
exposición a cualquier ataque individual. El enrutador local o
un servidor de autenticación de terceros tiene el control de la
frecuencia y la sincronización de los challenges o desafíos.
 CONFIGURACIÓN DE PAP
HQ router
HQ#config t
HQ(config)#username RO password orbit
HQ(config)#interface serial 0/0
HQ(config-if)#encapsulation ppp
HQ(config-if)# ppp authentication pap
HQ(config-if)#ppp pap sent-username HQ
password orbit
HQ(config-if)#end
Remote Office router
RO#config t
RO(config)#username HQ password orbit
RO(config)#interface serial 0/0
RO(config-if)#encapsulation ppp
RO(config-if)# ppp authentication pap
RO(config-if)#ppp pap sent-username RO
password orbit
RO(config-if)#end
 CONFIGURACIÓN DE CHAP
HQ router
HQ#config t
HQ(config)#username RO password orbit
HQ(config)#interface serial 0/0
HQ(config-if)#encapsulation ppp
HQ(config-if)# ppp authentication chap
HQ(config-if)#end
Remote Office router
RO#config t
RO(config)#username HQ password orbit
RO(config)#interface serial 0/0
RO(config-if)#encapsulation ppp
RO(config-if)# ppp authentication chap
RO(config-if)#end
VERIFICACIÓN DE PPP
• Con el comando "show interface <interface>" se puede ver el
tipo de encapsulado configurado de esa interfaz Serial y el LCP,
NCP indica si se ha configurado la encapsulación PPP.
Ejemplo:

Podemos ver que la interfaz Serial1/0 está configurada con encapsulación PPP. El
estado LCP es "abierto", lo que significa que la negociación y el establecimiento
de la sesión son buenos. La línea "Open: CDPCP" nos dice que el NCP está
escuchando el protocolo del protocolo de detección de Cisco (CDP).
• Un comando de depuración útil para comprobar la autenticación
PPP es el comando "debug ppp authentication" o "debug ppp
negotiation".