Академический Документы
Профессиональный Документы
Культура Документы
TESIS
PARA OPTAR EL TTULO DE INGENIERO DE
SISTEMAS
There has been demonstrated at present that the nets reduce in time and
money the expenses of the companies, it has meant a great advantage
for the organizations especially that count with remote offices to several
kilometres of distance, but also it is true that these remote nets have
woken up the curiosity of some persons who devote themselves to attack
the servants and the nets to obtain confidential information. For such a
motive the safety of the nets performs supreme importance, is because of
it to that we listen to speak so much of the famous firewalls and the VPN.
From the point of view of the user, the VPN is a connection between the
user and the corporate servant. The nature of the interconnection that is
in the way of the two is transparent for the user since the information
appears as if they were sent across their net LAN, as if it was in the
company. This technology also enables to the companies to have
connected head offices with their branches on any public net, while there
are kept sure and reliable connections.
We use the technology VPN in this form to be able to solve the problem of
interconnection that we have in our company with the branches located
in a geographical area different from their central place.
The Group Santo Domingo is a managerial group that has their central
place in Lima and two branches in Arequipa's departments and Trujillo,
the central place of the cooperative society possesses a system
integrated which has automated all the processes that involve the
development of their operations as company, mas the branches that the
cooperative society possesses it does not possess the above mentioned
integrated system, the above mentioned dependences handle the
information of a way individual and isolated of the central place, and for
the process of their information the applications do not consider client
servant - used nowadays by the central place - but rather, they use an
application former developed by the company.
To give solution to this problem we are going to develop one VPN based
on tools Open Source, using a product called CIPE (Crypto IP
Encapsulation). CIPE uses the ciphered packages of the IP that (UDP)
encases or wraps in datagramas the packages there is given them an
information of head-board of destiny and they are encriptados using the
mechanism of encriptacin Cipe for fault, then they are transferred on IP
as packages UDP route his own virtual device (cipcbx)
INDICE DE GRAFICOS
17
Redes Virtuales Privadas
I. MARCO TEORICO
1. INTRODUCCION
18
Redes Virtuales Privadas
Punto a Punto:
Sistema operativo que le permite a los usuarios compartir los recursos de
sus computadoras y acceder a los recursos compartidos de las otras
computadoras. Son sistemas operativos punto a punto Microsoft Windows
for Workgroups, Novell Lite.
19
Redes Virtuales Privadas
Servidor:
Este ejecuta el sistema operativo de red y ofrece los servicios de red a las
estaciones de trabajo. Un servidor es una computadora de poca o alta
capacidad que proporciona diversos recursos a la red. Un servidor tpico
contiene varios discos duros, una unidad de respaldo en cinta y una
unidad de CD-ROM. Tambin permite a los empleados de una compaa
compartir recursos como impresoras, mquinas de fax, mdems, correo
electrnico y conexiones a Internet. A menudo se utilizan servidores para
almacenar informacin de bases de datos, archivos y copias de seguridad
de archivos. Las computadoras conectadas al servidor se conocen como
clientes.
Estaciones de Trabajo:
Cuando una computadora se conecta a una red, la primera se convierte
en un nodo de la ultima y se puede tratar como una estacin de trabajo o
cliente. Las estaciones de trabajos pueden ser computadoras personales
con el DOS, Macintosh, Unix, OS/2 o estaciones de trabajos sin discos.
20
Redes Virtuales Privadas
Sistema de Cableado:
El sistema de la red esta constituido por el cable utilizado para conectar
entre s el servidor y las estaciones de trabajo. Los concentradores o hubs
(conocidos tambin como concentradores de cableado) son el punto de
conectividad central de un grupo de trabajo con disposicin de estrella.
Un concentrador permite a cada nodo comunicarse con todos los otros
nodos conectados. Se pueden conectar dos o ms concentradores, lo que
le permite extender su red fcil y econmicamente.
21
Redes Virtuales Privadas
Redes Interconectadas
Una red de redes se encuentra formada por dos o ms segmentos de red
local conectadas entre si para formar un sistema que puede llegar a
cubrir una empresa.
22
Redes Virtuales Privadas
Redes conmutadas
Redes de difusin
REDES CONMUTADAS
Consisten en un conjunto de nodos interconectados entre s, a travs de
medios de transmisin (cables), formando la mayora de las veces una
topologa mallada, donde la informacin se transfiere encaminndola del
nodo de origen al nodo destino mediante conmutacin entre nodos
intermedios.
Establecimiento de la conexin.
Transferencia de la informacin.
Liberacin de la conexin.
23
Redes Virtuales Privadas
Conmutacin de paquetes.
Se trata del procedimiento mediante el cual cuando un nodo quiere
enviar informacin a otro, la divide en paquetes. Cada paquete es
enviado por el medio con informacin de cabecera. En cada nodo
intermedio por el que pasa el paquete se detiene el tiempo necesario
para procesarlo.
Conmutacin de circuitos.
Es el procedimiento por el que dos nodos se conectan, permitiendo la
utilizacin de forma exclusiva del circuito fsico durante la transmisin. En
cada nodo intermedio de la red se cierra un circuito fsico entre un cable
de entrada y una salida de la red. La red telefnica es un ejemplo de
conmutacin de circuitos.
REDES DE DIFUSION
En este tipo de redes no existen nodos intermedios de conmutacin;
todos los nodos comparten un medio de transmisin comn, por el que la
informacin transmitida por un nodo es conocida por todos los dems.
Ejemplos clsicos de redes de difusin son la comunicacin por radio; la
comunicacin por satlite; la comunicacin en una red local.
6. ARQUITECTURA DE LA RED
Topologa
La topologa de una red esta en relacin con la organizacin del
cableado. Al elegir un sistema de cableado se debe considerar tres
aspectos: costo, rendimiento total e integridad.
a) Estrella (Star)
b) Canal (Bus)
24
Redes Virtuales Privadas
c) Anillo (Ring)
Red Estrella
Conectar un conjunto de computadoras en estrella es uno de los sistemas
ms antiguos, equivale a tener una computadora central (el servidor de
archivos o Server), encargada de controlar la informacin de toda la red.
Dicha informacin abarca desde los mensajes entre usuarios, datos
almacenados en un archivo en particular, manipulacin de archivos, etc.
Tal como se muestra en la figura 6.1,
Para poder instalar este tipo de red, cada una de las computadoras
utilizadas como estaciones de trabajo necesitan de una tarjeta de
conexin para lograr la interfase con la computadora central.
25
Redes Virtuales Privadas
7. INTERCONEXIN DE REDES
26
Redes Virtuales Privadas
Concepto de segmento
Un segmento es un bus lineal al que estn conectadas varias estaciones.
Caractersticas:
Hubs (Concentradores)
Dispositivo que interconecta host dentro de una red. Es el dispositivo de
interconexin ms simple que existe. Se trata de un armario de
conexiones donde se centralizan todas las conexiones de una red, es
decir un dispositivo con muchos puertos de entrada y salida, no tiene
ninguna funcin aparte de centralizar conexiones, suelen utilizarse para
implementar topologas en estrella fsica, pero funcionando como un
anillo o como un bus lgico. Existen dos tipos de Hubs:
27
Redes Virtuales Privadas
Hubs Activos:
Permiten conectar nodos a distancias de hasta 609 metros, suelen tener
entre 8 y 12 puertos y realizan funciones de amplificacin y repeticin de
la seal. Los ms complejos adems realizan estadsticas.
Hubs Pasivos:
Son simples armarios de conexiones. Permiten conectar nodos a
distancias de hasta 30 metros. Generalmente suelen tener entre 8 y 12
puertos.
Repetidores
Son equipos que actan a nivel fsico. Prolongan la longitud de la red
uniendo dos segmentos de red y amplificando su seal. Junto con ella
amplifican el ruido. La red sigue siendo una sola.
Caractersticas:
REPETIDOR
28
Redes Virtuales Privadas
Bridges (Puentes)
Son dispositivos que ayudan a resolver el problema de limitacin de
distancias, junto con el problema de limitacin del nmero de nodos de
una red. Trabajan al nivel de enlace del modelo OSI, por lo que pueden
interconectar redes que cumplan las normas del modelo 802 (3, 4 y 5). Si
los protocolos por encima de estos niveles son diferentes en ambas
redes, el puente no es consciente, y por tanto no puede resolver los
problemas que puedan presentrsele.
Se utilizan para:
Ampliar la extensin de la red, o el nmero de nodos que la
constituyen.
Reducir la carga en una red con mucho trfico, uniendo segmentos
diferentes de una misma red.
Unir redes con la misma topologa y mtodo de acceso al medio, o
diferentes.
Cuando un puente une redes exactamente iguales, su funcin se
reduce exclusivamente a direccionar el paquete hacia la subred
destino.
Cuando un puente une redes diferentes, debe realizar funciones de
traduccin entre las tramas de una topologa a otra.
Router (Encaminador)
Son equipos de interconexin de redes que actan a nivel de los
protocolos de red. Permiten utilizar varios sistemas de interconexin
mejorando el rendimiento de la transmisin entre redes. Su
funcionamiento es mas lento que las redes pero su capacidad es mayor,
permiten incluso enlazar dos redes basadas en un protocolo, por medio
de otra que utilice un protocolo diferente.
29
Redes Virtuales Privadas
Gateways (Pasarelas)
Son protocolos utilizados para interconectar redes con protocolos y
arquitecturas completamente diferentes a todos los niveles de
comunicacin. La traduccin de la unidades de informacin reduce mucho
la velocidad de transmisin a travs de estos equipos.
Modems
Son equipos que permiten a las computadoras comunicarse entre si a
travs de lneas telefnicas; modulacin y demulacin de seales
electrnicas que pueden ser procesadas por computadoras. Los modems
pueden ser externos (dispositivos de comunicacin) o internos
(dispositivo de comunicacin interna o tarjeta de circuitos que se inserta
en una de las ranuras de expansin de la computadoras).
30
Redes Virtuales Privadas
1. INTRODUCCION
Surge entonces el trmino de Red Privada Virtual (VPN), del ingls Virtual
Private Network. Que se trata de una red de comunicaciones privada
implementada sobre una infraestructura pblica tal como X.25, ATM o
Frame Relay. Este tipo de VPN es denominada de Nivel 2.
2. ANTECEDENTES
Hoy en da, una Red Privada Virtual (VPN) permite a la empresa ampliar
de forma segura la intranet privada a travs de la infraestructura
existente de una red pblica como Internet. Necesidad vital de las
organizaciones modernas que en aos anteriores era imposible o
bastante limitado realizarlo particularmente para aquellas empresas que
tenan sucursales o filiales en diferentes zonas geogrficas y que no se
encontraban en un mismo entorno fsico en relacin a la empresa matriz.
Las redes LAN tradicionales son redes restringidas por la cual se puede
intercambiar informacin entre las computadoras sin pensar en la
seguridad de la informacin. Las VPN usan protocolos especiales que
permiten encriptar informacin y comunicar nicamente a las personas
autorizadas; desencriptar y acceder a la informacin con un identificador
31
Redes Virtuales Privadas
32
Redes Virtuales Privadas
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre
otra, por medio de la conexin de los usuarios de distintas redes a travs
de un "tnel" que se construye sobre Internet o sobre cualquier otra red
pblica, negociando un esquema de encriptacin y autentificacin de los
paquetes de datos para el transporte, permitiendo el acceso remoto a
servicios de red de forma transparente y segura con el grado de
conveniencia y seguridad que los usuarios conectados elijan. Las VPN
estn implementadas con firewalls, con routers para lograr esa
encriptacin y autentificacin.
5. CARACTERISTICAS FUNCIONALES
Para que una VPN proporcione la comunicacin que se espera, el sistema
que se implante ha de contemplar varios aspectos de funcionamiento
para determinar que ser una buena solucin.
Confidencialidad:
Los datos que circulan por el canal slo pueden ser ledos por el emisor
y el receptor. La manera de conseguir esto es mediante tcnicas de
encriptacin.
Autentificacin:
El emisor y el receptor son capaces de determinar de forma inequvoca
sus identidades, de tal manera que no exista duda sobre las mismas.
Esto puede conseguirse mediante firmas digitales o aplicando
mecanismos desafo-respuesta.
Integridad:
Capacidad para validar los datos, esto es, que los datos que le llegan al
receptor sean exactamente los que el emisor transmiti por el canal.
Para esto se pueden utilizar firmas digitales.
No repudio:
Cuando un mensaje va firmado, el que lo firma no puede negar que el
mensaje lo emiti l.
33
Redes Virtuales Privadas
Control de acceso:
Capacidad para controlar el acceso de los usuarios a distintos recursos.
Viabilidad:
Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones
de tiempo real.
6. VENTAJAS E INCONVENIENTES
VENTAJAS
Una VPN permite disponer de una conexin a red con todas las
caractersticas de la red privada a la que se quiere acceder. El
cliente VPN adquiere totalmente la condicin de miembro de esa
red, con lo cual se le aplican todas las directivas de seguridad y
permisos de un ordenador en esa red privada, pudiendo acceder a
la informacin publicada para esa red privada a travs de un
acceso pblico. Al mismo tiempo, todas las conexiones de acceso a
Internet desde el ordenador cliente VPN se realizaran usando los
recursos y conexiones que tenga la red privada.
INCONVENIENTES
34
Redes Virtuales Privadas
Servidor VPN
Es un servidor que se pone como gateway en la salida de Internet de la
red. Permite conectarse con otros servidores VPN generando tneles de
comunicacin seguros con otras redes o usuarios remotos,
proporcionando una conexin de acceso remoto VPN o una conexin de
enrutador a enrutador.
Cliente VPN
El cliente VPN permite la comunicacin privada virtual iniciada desde el
cliente de la red (VPN). Es en si una computadora que inicia una conexin
VPN con un servidor VPN.
Tnel
Porcin de la conexin en la cual sus datos son encapsulados.
Conexin VPN
Es la porcin de la conexin en la cual sus datos son encriptados.
Para conexiones VPN seguras los datos son encriptados y encapsulados
en la misma porcin de la conexin.
Red de Transito
La red pblica o compartida que es cruzada por los datos encapsulados.
Generalmente una red IP. La red de t rnsito debe ser Internet o una
intranet IP privada.
35
Redes Virtuales Privadas
Autenticacin de usuario.
La solucin deber verificar la identidad de un usuario y restringir el
acceso de la VPN a usuarios autorizados. Adems, deber proporcionar
registros de auditoria y registros contables para mostrar quin accedi a
qu informacin, y cundo lo hizo.
Administracin de direccin.
La solucin deber asignar una direccin al cliente en la red privada, y
asegurarse de que las direcciones privadas se mantengan as.
Encriptacin de datos.
Los datos que viajan en una red pblica no podrn ser ledos por clientes
no autorizados en la red.
Administracin de llaves.
La solucin deber generar y renovar las llaves de encriptacin para el
36
Redes Virtuales Privadas
Una vez que el usuario remoto "disca" al nmero IP del servidor VPN se
ingresa a la etapa de autenticacin y autorizacin. Bsicamente: quin
es usted?: Nombre de usuario y password y luego, de qu modo lo
autorizo a entrar en la red? (horario, protocolo). Toda sta infraestructura
deber ser configurara por el administrador para garantizar seguridad.
37
Redes Virtuales Privadas
EXTRANET VPN
Permite conectar la red de una empresa con uno o ms "partners". Este
escenario es muy similar a site-to-site aunque existen pequeas
diferencias. Bsicamente la confianza entre ambas partes es diferente. Se
permitir a una sucursal acceder a todos los recursos de la red
corporativa (site-to-site), pero es posible limitarlos para un partner.
Normalmente se los restringir a slo unos cuantos servidores de la red.
Con el tipo de restriccin ya descriptos en Remote Access, podemos
solucionar el problema.
38
Redes Virtuales Privadas
39
Redes Virtuales Privadas
el firewall de la organizacin:
Ellos pueden estar usando softwares de VPN diferentes, mas tienen que
estar usando el mismo algoritmo de criptografa y estar configurados
para saber que cuando ocurre algn trfico para uno u otro firewall, este
tiene que ser criptografiado.
40
Redes Virtuales Privadas
41
Redes Virtuales Privadas
ANALISIS DE PROTOCOLOS
Los conocimientos que fundamentan a una VPN son una criptografa y
un tunelamiento. Una criptografa se utilizada para garantizar la
autentificacin, onfidencialidad e integridad de las conexiones y es la
base para la seguridad de las redes; mas el tunelamiento es el
responsable por el encapsulamiento y transmisin de los datos sobre una
red publica entre dos puntos distintos.
42
Redes Virtuales Privadas
43
Redes Virtuales Privadas
Una red privada virtual consiste en dos mquinas (una en cada "extremo"
de la conexin) y una ruta o "tnel" que se crea dinmicamente en una
red pblica o privada. Para asegurar la privacidad de esta conexin los
datos transmitidos entre ambos ordenadores son encriptados por el Point-
to-Point protocolo (PPP), un protocolo de acceso remoto, y posteriormente
enrutados o encaminados sobre una conexin previa tambin remota,
LAN o WAN, por un dispositivo PPTP.
44
Redes Virtuales Privadas
45
Redes Virtuales Privadas
46
Redes Virtuales Privadas
47
Redes Virtuales Privadas
48
Redes Virtuales Privadas
49
Redes Virtuales Privadas
OTRAS SOLUCIONES
La mayora de los cortafuegos y "routers" disponen de capacidades VPN.
En muchos casos se trata de soluciones propietarias, aunque la mayora
han migrado -o lo estn haciendo- a IPSec, otras posibilidades son:
50
Redes Virtuales Privadas
III. EL PROBLEMA
El Grupo Santo Domingo se encuentra ubicado en la ciudad de Lima,
cuenta con dos sucursales, una en la ciudad de Arequipa y otra en la
ciudad de Trujillo. Dichas dependencias manejan la informacin de
manera individual y aislada de la empresa matriz, y para el proceso de
sus datos no consideran las aplicaciones cliente servidor - usadas
actualmente por la empresa central- sino que mas bien, emplean una
aplicacin antiguamente desarrollada por la sede principal.
1. ALTERNATIVAS DE SOLUCIN
SOLUCIN 1
En esta alternativa se contact con Telefnica del Per para averiguar los
servicios que brinda en interconexin de redes con servicio ADSL. En
respuesta, Telefnica del Per nos ofrece un servicio de enlace entre Lima
y Trujillo (servicio speedy wan) que utiliza tecnologa ADSL, con
velocidad de transmisin de 128/256 kbps.
51
Redes Virtuales Privadas
52
Redes Virtuales Privadas
SOLUCIN 2
Se contact con Telefnica del Per para averiguar por el servicio con
tecnologa ADSL de acceso a Internet en Trujillo incluyendo el uso de una
IP fija. En respuesta, Telefnica de Per nos ofrece un servicio de Internet
en Trujillo (servicio speedy plus) que utiliza tecnologa ADSL, con
velocidad de transmisin de 128 kbps.
53
Redes Virtuales Privadas
SOLUCIN 3
Utilizar un proveedor que nos facilite el medio de transmisin e
implementar el servicio de interconexin (VPN) dentro del rea de
Sistemas de la Cooperativa (instalacin y configuracin de los
dispositivos).
SOLUCIN 1
VENTAJAS
DESVENTAJAS
SOLUCIN 2
54
Redes Virtuales Privadas
VENTAJAS
DESVENTAJAS
SOLUCIN 3
VENTAJAS
DESVENTAJAS
55
Redes Virtuales Privadas
697.2
$700.00
$600.00 559
$500.00 472
$400.00
Solucion 1
$300.00 279
Solucion 2
204204
$200.00 Solucion 3
$100.00
$0.00
Pago Inicial Pago
Mensual
CONCLUSIN
En conclusin, la alternativa elegida para la interconexin segura entre
las redes de localidades distintas (Lima - Trujillo y posteriormente
Arequipa - Lima) utilizando Internet como medio de enlace que se
acomode a nuestras necesidades, en cuanto a costo, seguridad y
confiabilidad de comunicacin, es la solucin 3.
De este modo se efectuar la implementacin de la solucin 3 con un
producto Open Source que nos proporcione flexibilidad ya que al
desarrollase por la misma rea de sistemas se va a poder personalizar y
diversificar de a cuerdo a nuestras necesidades, el costo, que por ser un
producto Open Source nos minimiza el gasto en la adquisicin de un
producto vendido por terceros, y por ultimo la seguridad, que es lo que se
busca en el intercambio de informacin en una organizacin.
56
Redes Virtuales Privadas
57
Redes Virtuales Privadas
58
Redes Virtuales Privadas
59
Redes Virtuales Privadas
6. ARQUITECTURA A UTILIZAR
TOPOLOGIA A UTILIZAR
Utilizaremos la topologa LAN a LAN, este tipo de topologa la usaremos
por que vamos a conectar dos redes locales separadas geogrficamente
desde Lima a Trujillo y desde Lima a Arequipa.
CPU Compatible
PROCESADOR Amd K6 2 300 Mhz
MEMORIA 64 Mb de Ram
DISCO DURO 3 Gb
TARJETA DE RED Dos Tarjetas Dlink 538 TX
60
Redes Virtuales Privadas
7. PAQUETE DE ENCRIPTACIN IP
El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que
puede ser hecho para trabajar de manera transparente, sin ningn cambio a la
aplicacin software. En el caso de los paquetes de encriptacin IP, este puede ser
construido dentro de los routers IP que actan generalmente como "cajas negras"
entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los
routers. Un router de encriptacin se ve de manera tan exacta como un host que no
cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada
as en lugares donde no sean factibles los cambios de software a niveles ms altos.
61
Redes Virtuales Privadas
El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en
un nivel ms alto, por ejemplo. usos de Troyanos, bug exploit dentro del software
del sistema o administradores pillos "sniffers" en los dispositivos terminales.
62
Redes Virtuales Privadas
PPP. Actualmente, cada enlace tiene su propia llave secreta de 128-bit que tiene que
ser reconocida por ambos extremos (y nadie mas). Esta llave de enlace (llamada
llave esttica en la descripcin del protocolo) se utiliza para negociar una llave
dinmica con frecuencia cambiante, que cifra los datos reales.
NOTAS INTERNAS
El mdulo consiste en un driver de salida, un driver de entrada, las rutinas de la
encapsulacin y un poco de cdigo para mantenerla toda junta. El driver de salida
es en gran parte una versin adaptada new_tunnel de la distribucin de Linux. En
Linux 2.0 el envo de paquetes se hace va el motor del IP forwarding del ncleo.
Esto implica que (a) el forwarding se debe permitir en el ncleo y (b) los paquetes
cifrados, siendo paquetes UDP deben contener las direcciones de origen/destino
dadas como "m" y "peer", chequeadas en el forwarding del firewall(as como la
salida). (si no trabaja para usted, primero cercirese de que sus reglas del firewall
dejen los pasar paquetes!)
El driver de entrada es una adaptacin del receptor del ncleo UDP. Para activarlo,
ciped tiene que configurar el socket en un modo especial con una llamada ioctl.
Esto tiene que ser conectado al socket UDP. La llamada ioctl_attach(2cipe)
substituye las operaciones sendto(2) y recvfrom(2) del socket con las versiones
especiales que hacen la encriptacin del trfico interno y solamente pasen los
bloques de intercambio de llave a la capa del usuario. El trabajo del conjunto de
encriptacin y ruteo de entrada de trafico esta hecho dentro del bloque recvfrom(2).
Esto significa que un forwarding normal IP no deseado, es llamado desde el modo
usuario y el tiempo necesario de CPU est cargado en el proceso ciped, aunque los
datos nunca pasan en modo usuario. sendto(2) codifica el bloque como un bloque
de llaves de intercambio y lo enva al per. El socket no debe utilizar read(2)
write(2), select(2) o modo nonblocking (con todo).
Antes de unir el socket, los parmetros operacionales del dispositivo tienen que
estar configurados usando la llamada ioctl_setpar(2cipe). El proceso dominante de
intercambio de llaves provee llaves a la va del ncleo ioctl_setkey(2cipe).
El dispositivo de red (netdevice) puede ser abierto solamente (configurado "UP") si
tiene un socket controlador. Cuando el socket controlador es cerrado, el dispositivo
de red se cierra. Inversamente, el cierre del netdevice (con ifconfig(8)) cierra el
socket tambin. El cierre elimina toda informacin que este configurada por ciped
en el dispositivo.
Los dispositivos pueden ser dinmicamente alojados y desalojados usando una
llamada ioctl_alloc (cipe 2). El primer dispositivo siempre recuerda la ubicacin
colgada para las llamadas ioctl.
63
Redes Virtuales Privadas
echo 1>/proc/sys/net/ipv4/ip_forward
64
Redes Virtuales Privadas
PROTOCOLOS DE CIFRADO
CIPE soporta diferentes versiones del protocolo de encriptacin, que a su turno
puede ser usado con cifrados diferentes (algoritmos de cifrado). Cuando uno es
usado es escogido el tiempo de compilado con argumentos en el scripts de
configuracin.
Desde CIPE 1.5, las opciones siguientes son posibles:
La versin 3 de protocolo: es el protocolo por defecto y recomendado en su
mayora de usos. Este es descrito detalladamente en este documento (el protocolo
CIPE). Este dispositivo trabaja como un dispositivo IP punto - a - punto con SLIP o
PPP.
La versin 4 de protocolo: Este protocolo usa el mismo formato de datos que la
versin 3 de protocolo, excepto que los paquetes transmitidos contienen una
cabecera Ethernet Compatible a nivel de conexin. Con esto es posible correr
protocolos de carga til mas que IP, y en particular es posible hacer la parte de
dispositivo CIPE de un puente de Ethernet. La desventaja es que los paquetes se
hacen ms grandes que con el protocolo 3. Puede ser necesario poner la direccin
Mac que usa la opcin 'hwaddr' para hacerlo nico a travs del VPN. Con este
protocolo, el dispositivo tiene una mscara de subred y una direccin de broadcast
que puede ser configurar con opciones apropiadas.
Blowfish: Esto es el algoritmo de cifrado por defecto, usado con una llave de 128
bit.
IDEA: Un algoritmo de cifrado alterno con una llave de 128 bit. Este algoritmo es
patentado y puede necesitar una licencia para el empleo comercial. Es incluido
principalmente para la compatibilidad con las ms viejas instalaciones que tenan
slo este algoritmo disponible.
Desde CIPE 1.4, tanto Blowfish como IDEA estn disponibles en C genrico y
puestas en prctica de ensamblador i386. Las versiones de ensamblador son usadas
donde sea posible.
INSTALACIN
Un simple comando Make compila todo. El compilador advierte lo que no debera
ocurrir. Haga Make install como root para instalar los componentes de software
en su posicin final. Estos es un mdulo ncleo, llamado segn la versin del
protocolo y el algoritmo de cifrado seleccionado, y el programa driver, que es
(desde CIPE 1.3) tambin nombrado de la versin de protocolo y el algoritmo de
cifrado. El Makefiles acepta las opciones semiestndar BINDIR, MODDIR, INFODIR
para especificar donde esta el cdigo instalado.
Usted tiene que crear un directorio '/etc/cipe' que contiene al menos dos
archivos, options y ` ip-up '. Usted puede copiar los archivos del directorio
samples de la distribucin aqu, y corregirlos para satisfacer sus necesidades.
Errores de compilacin
Hay un problema conocido en las versiones 2.0.30 y 2.0.31 los pre- release
65
Redes Virtuales Privadas
CORRIENDO CIPE
El nombre de mdulo es cip seguido de la versin de protocolo con una letra y la
primera letra del algoritmo de encriptacin. Por ejemplo cipcb para la versin 3 (p.
ej. "c"), Blowfish (por defecto). Los nombres de dispositivo que este mdulo
maneja son el nombre de mdulo seguido de un nmero, por ejemplo cipcb0.
Desde CIPE 1.3, el programa demonio es llamado ciped seguido del protocolo y
adems las letras de encriptacin. Por ejemplo ciped-cb. Donde este manual se
refiere a ciped, asuma el nombre real dado aqu.
Los parmetros de configuracin del ncleo y el demonio deben hacer juego (el
mdulo comprueba esto), pero el demonio no depende (al menos no en la teora)
sobre la versin ncleo. El esquema de nombramiento es escogido de modo que
todos los mdulos posibles y demonios sobre una mquina puedan coexistir.
Configura el nmero de canales que este modulo maneja. Por ejemplo con
cipe_maxdev=4 los dispositivos cipcb0 y cipcb3 estn disponibles. El mximo es
99. Desde CIPE 1.2, no hay ninguna necesidad de poner esto, ya que los canales
son asignados dinmicamente.
El mdulo puede ser autocargado va kerneld/kmod. Los usuarios avanzados
reconocern las opciones siguientes en ` /etc/conf.modules' necesarios de
hacerlo trabajar correctamente:
66
Redes Virtuales Privadas
ESPECIFICACIN DE OPCIONES
Todos los parmetros de configuracin son procesados por el demonio ciped. Esto
toma parmetros desde (dados en ese orden)
67
Redes Virtuales Privadas
68
Redes Virtuales Privadas
La solucin para hacerlas trabajar de nuevo es generar uno a uno ambos puntos
finales (recomendados), o generar las nuevas llaves que consisten slo en dgitos
decimales. Un mtodo posible de generar tal llave es
69
Redes Virtuales Privadas
CONSEJOS GENERALES
La direccin de IP de un dispositivo CIPE y su portador UDP deben ser
diferentes. Escoja una red de trnsito (por ejemplo direccin 192.168) para los
dispositivos CIPE si este no accesa dentro de las estructuras existentes.
La ruta al portador UDP (la direccin "par") no puede ir a travs del dispositivo
CIPE. Si ambos estn sobre la misma ruta (por ejemplo ambos estn sobre la
misma red, IP-address-wise), adicionar una ruta host a la direccin "par" a
travs del correcto dispositivo de entrada.
En Linux 2.0, la ruta adicional - host $5 dev $ 1 'IP - UP'. Es
requerida, sin esto el enlace no trabajar. Esto significa que el script 'IP
UP' para ella misma es obligatoria.
Las rutas a travs de un dispositivo CIPE deben ser configuradas solo en el
scripts 'IP UP'. Use el caso de seleccin en $ 1 o $ 5 si tiene algunos
enlaces CIPE. Use la ruta adicional gw $5, no la ruta adicional dev $ 1.
Recuerde que Linux borra cualquier ruta a travs de un dispositivo cuando este
dispositivo baja.
Si usted tiene una ruta por defecto, las direcciones alcanzadas va el enlace
CIPE son ruteadas va la ruta por defecto cuando el enlace cae. Esto puede
anular el propsito de un enlace encriptado. Para protegerlo contra esto,
configure una ruta de rechazo para las direcciones afectadas con mediciones
altas con el script del sistema de arranque.
A veces es necesario o aconsejable para anunciar la direccin del par va el
poder-ARP para evitar sistemas de encaminamiento ms complicados. El
ejemplo 'ip-up' muestra como esto puede ser hecho. En Linux 2.4 un sysctl
puede ser usado usar el poder-ARP para la red entera "detrs" del par.
Sobre un sistema que controla gated, gated es la nica cosa responsable de
configurar cualquier ruta y las rutas a travs del de dispositivo CIPE que
pertenece a 'gated.conf' como ruta esttica, o estn configuradas va un
protocolo de ruteo. Para gated, un enlace CIPE busca y conduce exactamente un
70
Redes Virtuales Privadas
enlace dial - up. Para esto se recomiendan poner la interfaz gdc en 'ip-up'
as como 'ip-down' para decirle a gated sobre cual de los estados cambia.
La configuracin de ambos puntos finales de un enlace es simtrica. De un lado
ipaddr del otro es ptpaddr, y un lado m es el par del otro. Desde CIPE 0.5,
el par es recogido dinmicamente y el verdadero par puede ser diferente de
aquel juego en el archivo config (pero este artculo config todava debe estar
presente, esto debera especificar el revs de otro final como una falta
razonable).
Cuando se Disea una estructura de red, dibuje los enlaces CIPE como si ellos
fueran enlaces SLIP/PPP. Construya el ruteo con estos enlaces disponibles.
Luego busque la figura como si los enlaces CIPE no estuvieran all, asi usted
podr ver la ruta necesaria para la direccin UDP.
Las reglas del firewall que contienen un dispositivo son independientes del
dispositivo existente. Esto significa que ellos pueden ser establecidos antes que
el mdulo sea cargado y corra ciped, y una opcin de dispositivo
explcita debera ser usada si el nombre de dispositivo es usado en reglas
firewall.
Con PKCIPE, la posicin y el contenido de los archivos PID del script de
ejemplo ip-up son mandados de acuerdo a como se usen los archivos cerrados.
La omisin de estos puede causar la confusin cuando varias instancias de
PKCIPE corran al mismo tiempo
MODOS DE CONEXIN
Aqu est detalladamente como es posible construir enlaces CIPE entre diferentes
clases de portador. Estas clases estn, basadas en como son capaces de alcanzar el
Internet:
Conexin directa sobre una direccin de IP esttica.
Conexin directa sobre una direccin de IP dinmica.
Conexin indirecta por un servidor de SOCKS.
Conexin indirecta por NAT (masquerading).
Esto produce diez combinaciones diferentes:
- '1-1' Puede ser configurado estticamente como en el simple ejemplo. O
cualquier final puede correr un servidor PKCIPE y dejar a otro final conectarse.
- '1-2' El '1' el punto final puede controlar a un servidor CIPE y dejar el
'2' el punto conectar. CIPE da la correcta direccin IP en ambos puntos
finales, cambios posteriores son manejados automticamente.
- '1-3' Como '1-2', con un Ping en IP-UP en el punto final '3'. El punto
final '3' no es conocido su efectividad (como parece por el otro punto final)
de la direccin de portador, entonces el cambio de PKCIPE produce un error del
par parmetro incorrecto en el final '1'. El ping corrige esto enviando
paquetes con la direccin derecha.
- '1-4' Como '1-3'.
71
Redes Virtuales Privadas
- '2-3' Como '1-3', excepto que el final '2'usa un servicio externo para
publicar su direccin corriente.
- '2-4' Como '1-4', excepto que el final '2' usa un servicio externo para
publicar su direccin corriente.
- '3-3' Esto no es fcilmente posible con el cdigo corriente porque ningn
final conoce sus direcciones de portador efectivas (p. ej. Los Socks UDP relevo
direccin) antes de que el enlace sea configurado y establecido, y ningn lado
puede enviar paquetes al otro. Esta informacin est disponible en la escritura
ip-up, pero transmitida al otro final necesitara algn medio fuera de CIPE. Es
planeado que futuras versiones que sern capaces de manejar esto va las
capacidades ampliadas de PKCIPE; esto tambin requerir un servicio externo
como DNS dinmico con un sistema especial.
- '3-4' Como '3-3'.
2. Cifrado de paquete
Cada datagramas IP es tomado en un todo, incluyendo las cabeceras. Esto es
rellenado al final con cero a siete octetos aleatorios hasta que el total de la longitud
en octetos sea congruente tres mdulo ocho. El paquete rellenado se le aade un
octeto del valor P descrito debajo y el CRC-32 sobre el paquete construido hasta
ahora, incluyendo P. (Esto hace la longitud de paquete completa una mltiple de
ocho octetos.)
72
Redes Virtuales Privadas
X^32+X^26+X^23+X^22+X^16+X^12+X^11+X^10+X^8+X^7+X^5+X^4+X^2+X^1+X^0
Para descripcin, primero compruebe el bit ms alto del primer octeto y selo para
seleccionar la llave. Descifre el paquete, calcule el CRC sobre el paquete menos los
ltimos cuatro octetos, compare esto con lo ltimos cuatro octetos. De ser vlido,
quite los ltimos octetos con valor P, quite el relleno dado por los bits 6,5,4 de P y
procese el paquete indicado por los bits 2,1 de P.
3. Cambio clave
Cada interfaz esta asociado con una llave esttica, una llave dinmica de envo y
una llave dinmica de recepcion. (Un interfaz es un punto final de una conexin,
que puede usar protocolos como UDP para el transporte pero para el objetivo de
CIPE son siempre enlaces punto a punto.) Sobre el arranque, slo la llave esttica
es vlida. El cifrado usa la llave esttica si y slo si la llave dinmica de envo es
invlida. El valor 0 (todos los bits cero) para la llave esttica es reservado para
futuras extensiones y no debera ser usado.
La llave dinmica es configurada segn un procedimiento de dilogo que implica
mensajes con bits de cdigo de tipo 01. Estos son cifrados justo como indica arriba.
Los paquetes consisten en un octeto de tipo seguido del protocolo de datos seguidos
de una cantidad arbitraria a rellenar datos arbitrarios, de modo que el paquete sea al
menos 64 octetos de largo. Una llave consiste en 16 octetos, una llave CRC es el
CRC-32 sobre la llave que transfiere la orden en la red.
Los mensajes siguientes existen:
NK_REQ: Tipo cdigo 1, no data: Solicita que el par inmediatamente iniciar una
llave de negociacin (send NK_IND). Esto debera ser enviado cuando un paquete
es recibido y encriptado con una llave dinmica pero no recibe llave dinmica
vlida. (Que puede pasar cuando el lado de recibo de una conexin es reanudado
73
Redes Virtuales Privadas
74
Redes Virtuales Privadas
El servicio CRC sirve como una comprobacin si la llave de cifrado fue vlida - p.
ej. algn tipo de firma para la autenticidad del paquete. Adems, los paquetes de
datos todava deberan formar cabeceras IP vlidos (con su propio chequeo de
suma de 16 bits) y paquetes de intercambio de llave llevan su propio chequeo de
suma como se definido anteriormente.
Loa paquetes IP llevan unos supuestos plaintext en las ciertas posiciones de su
cabecera. La potencial explotacin de esta realidad debera ser mitigada por el uso
limitado de la llave descrito arriba. El empleo de un ramdom IV para cada paquete
implica que al menos paquetes encriptados idnticos (retransmitidos)para
diferentes ciphertexts (texto de cifra).
El protocolo solamente brinda proteccin limite contra ataques sucesivos. Un
paquete permanece vlido mientras la llave se encuentre validamente encriptada.
Sin embargo, la explotacin activa es improbable como el paquete de llevada no
muestra ninguna indicacin de su significado. (Excepto para secuencias y
NK_IND. La repeticin de NK_IND podra ser peligroso. Remedio posible:
almacene la ltima N aceptando la llave CRCs [para la N grande] y rechaze aceptar
NK_INDs con el mismo CRC que uno ya a asignado.)
Si el fechado de paquetes de llaves de intercambio es usado, esto debera protegerse
contra el replay de paquetes de intercambio de llaves. Sin embargo, esto requiere
que el cierre de ambas mquinas estn en la sincronizacin.
La negacin de ataques de servicio es posible por ejemplo por enviando a las
cantidades grandes de paquetes falsos, que deberan afectar solamente la
perfonrmance. Una vulnerabilidad contra la interrupcin del proceso de generacin
de llaves existe si el remitente es invadido, invadioendo con paquetes falsos de
modo que esto falle con el porceso NK_ACK, efectivamente comienza a validar
para usar su llave de envio esttico durante un perodo prolongado de tiempo. Una
salida posible de este problema debe dejar de enviar datos completamente despus
de romper el envo de llave esttica, enviando slo NK_INDs y reasumiendo slo
despus de que NK_ACK vlido ha sido procesado. Entonces este ataque se hara
una negacin-de-servicio simple.
EL PROGRAMA CIPED
Ciped software responsable de la creacin de los tneles entre los puntos
de la conexin VPN es la descripcin del script que realiza la creacin de
tneles y el demonio Ciped que maneja todo el proceso dominante de
CIPE
#!/bin/sh
#
# Startup script for the CIPE VPN
#
# chkconfig: 345 11 89
# description: CIPE is used to create encrypted IP-IP
# processname: ciped-cb
# pidfile: /var/run/cipcb*.pid
# config: /etc/cipe/options.cipcb*
# Source function library.
. /etc/rc.d/init.d/functions
75
Redes Virtuales Privadas
RETVAL=0
start() {
echo "Start"
for each in $CONN; do
if [ -f /var/run/$each.pid ] ; then
echo "CIPE interface " $each " is already running"
exit 1
fi
action "Starting CIPE interface $each: " /usr/sbin/ciped-cb -o
/etc/cipe/options.$each
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/ciped.$each
done
}
stop() {
for each in $CONN; do
action "Shutting down CIPED interface $each: " [ -f /var/run/
$each.pid ] &&
kill `eval cat /var/run/$each.pid`
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ciped.$each
done
}
76
Redes Virtuales Privadas
RETVAL=$?
;;
restart)
stop
start
RETVAL=$?
;;
condrestart)
CONN=`ls -1 /var/lock/subsys | grep -w -eciped | sed -e s/ciped\.//`
stop
start
;;
reload)
stop
start
;;
*)
echo "Usage: $0 {start|stop|restart|reload|status}"
RETVAL=1
esac
exit $RETVAL
77
Redes Virtuales Privadas
78
Redes Virtuales Privadas
1. INSTALACIN DE LINUX
Idioma : SPANISH
DISK DRUID
PARTICION SWAP 256 Mb
PARTICION RAIZ (/) 7797 Mb (resto del disco)
Activar el control de bloques daados durante el formato
Configuracin de LILO
ACTIVACIN DE LILO EN EL MASTER BOOT RECORD
79
Redes Virtuales Privadas
DIRECCION IP 192.160.78.1
MASCARA DE RED 255.255.255.0
RED 192.160.78.0
BROADCAST 192.160.78.255
NOMBRE DE HOST lima.cooperativa
PUERTO DE ENLACE ----------------
DNS PRIMARIO 192.160.78.2
DNS SECUNDARIO 200.14.241.36
DNS TERCIARIO 200.14.241.38
Activar:
WINDOWS SYSTEM
KDE
HERRAMIENTAS MAIL / WWW/ NEWSTOOLS
ESTACION DE TRABAJO PAATRABAJO EN RED
ADMINISTRACION DE RED EN LA ESTACION DE
TRABAJO
UTILIDADES
80
Redes Virtuales Privadas
UNPROBED MONITOR
Sync Horizontal 31.5 48.5 Khz
Sync Vertical 50 70 Hz
Propiedades de color
vi /etc/modules.conf
alias eth1 ne
options eth1 irq = 3 io = 0x300
modprobe ne
cd /etc/sysconfig/networkscripts
Se hace una copia del script de la tarjeta eth0 para la tarjeta eth1:
cp ifcfgeth0 ifcfgeth1
vi ifcfgeth1
81
Redes Virtuales Privadas
DEVICE = eth1
BOOTPROTO = static
BROADCAST = 200.62.136.255
IPADDR = 200.62.136.242
NETMASK = 255.255.255.240
NETWORK = 200.62.136.240
ONBOOT = yes
USERCTL=no
Grabar y reiniciar
cd /etc/sysconfig
vi network
NETWORKING = yes
HOSTNAME = lima.santodomingo.com
GATEWAYDEV = eth1
GATEWAY = 200.62.136.241
Grabar
S10network
S12syslog
S17keytable
S20random
S28autofs
S40atd
S55sshd
S90crond
S90xfs
S95anacrom
S99local
82
Redes Virtuales Privadas
cd /etc
vi inittab
id:3:initdefault:
Grabamos...
83
Redes Virtuales Privadas
Lima Arequipa
Figura IV.4.1: Diagrama de la configuracin Arequipa - Lima
Lima
Arequipa
Segmentos de Redes
84
Redes Virtuales Privadas
cd /etc/resolv.conf:
vi resolv.conf
SEARCH cooperativa
NAMESERVER 206.138.05.37
NAMESERVER 200.14.241.38
Grabar
CONFIGURACION DE CIPE
Instalacin de CIPE Pasos:
mount /mnt/floppy
cp /mnt/floopy/cipe1*.rpm /root
cd /root
Se instala CIPE:
cd /etc/rc.d/init.d
85
Redes Virtuales Privadas
cp /mnt/floppy/ciped ciped
Ps | md5sum
NOTA: Slo generar en caso de que no exista y debe ser igual para
ambos terminales del tnel.
cp /mnt/floppy/options.* /etc/cipe/options.cipcb1
cd /etc/cipe
device cipcb1
me 200.64.136.242:2002
Ipaddr 192.168.252.1
Ptpaddr 192.160.252.254
Peer 64.76.129.152:2002
Key d41d8cd98f00b204e9800998ecf8427e
Maxerr -1
Grabar
86
Redes Virtuales Privadas
cp /mnt/floppy/rc.firewall /etc/rc.d/rc.firewall
cd /etc/rc.d
vi rc.firewall
cipe0 = cipcb1
intlan = 192.160.78.0/255.255.255.0
cd /etc/cipe
vi ip-up
cd /etc/rc3.d
ln -s ../init.d/ciped S80ciped
ln -s ../rc.firewall S85firewall
87
Redes Virtuales Privadas
vi /etc/dhcpd.conf
cd /var/lib/dhcp
touch dhcpd.leases
ln -s ../init.d/dhcpd S70dhcpd
88
Redes Virtuales Privadas
INSTALACION DE SAMBA
mount /mnt/cdrom
cd /RedHat/RPMS
rpm ivh samba*.rpm
umount /mnt/cdrom
mount /mnt/cdrom
INSTALACION DE WEBMIN
Instalar el rpm
http://lima.cooperativa:10000/
89
Redes Virtuales Privadas
CONFIGURACION DE WEBMIN
http://192.160.78.1:10000/
cd /etc /resolv.conf
vi resolv.conf
SEARCH cooperativa
NAMESERVER 200.14.241.36
NAMESERVER 200.14.241.38
Grabar
/etc/nsswitch.conf
90
Redes Virtuales Privadas
CONFIGURACION DE CIPE
mount /mnt/floppy
cp /mnt/floopy/cipe1*.rpm /root
cd /root
Se instala CIPE:
cd /etc/rc.d/init.d
cp /mnt/floppy/ciped ciped
cp /mnt/floppy/options.* /etc/cipe/options.cipcb1
vi options.cipcb1
device cipcb1
me 64.76.129.152:2002
Ipaddr 192.168.252.254
Ptpaddr 192.168.252.1
Peer 200.62.136.242:2002
Key d41d8cd98f00b204e9800998ecf8427e
91
Redes Virtuales Privadas
Maxerr -1
Grabar
cp /mnt/floppy/rc.firewall /etc/rc.d/rc.firewall
cd /etc/rc.d
cipe0 = cipcb1
intlan = 192.160.80.0/255.255.255.0
cd /etc/cipe
vi ip-up
92
Redes Virtuales Privadas
cd /etc/rc3.d
ln -s ../init.d/ciped S80ciped
ln -s ../rc.firewall S85firewall
INSTALACION DE SAMBA
mount /mnt/cdrom
cd /RedHat/RPMS
rpm ivh samba*.rpm
umount /mnt/cdrom
mount /mnt/cdrom
CONFIGURACION DE SAMBA
cd /etc/samba
vi smb.conf
[global]
workgroup=cooperativa
netbios name=arequipa
comment=Servidor de Arequipa
wins support=no
wins server=192.160.78.2
93
Redes Virtuales Privadas
domain master=no
local master=yes
preferred master=no
os level=1
hosts allow=192.160.80. 192.160.78. 127.
printcap name=/etc/printcap
load printers=yes
printing=lprng
security=share
encrypt passwords=yes
smb passwd file=/etc/samba/smbpasswd
socket options=TCP_NODELAY SO_RCVBUF=8192
SO_SNDBUF=8192
name resolve order = wins lmhosts bcast
wins proxy=yes
dns proxy=no
guest account=anonimo
[printers]
comment=Impresora
path=/var/spool/samba
browseable=no
public=yes
printable=yes
guest only=yes
[download]
comment=directorio de descarga
path=/home/download
browseable=yes
public=yes
printable=no
writable=yes
guest only=yes
Grabar
ln -s ../init.d/smb S82smb
rm fr /home/anonimo
94
Redes Virtuales Privadas
smbpasswd a anonimo
mkdir /home/download
INSTALACION DE WEBMIN
Instalar el rpm
http://arequipa.cooperativa:10000/
CONFIGURACION DE WEBMIN
http://192.160.80.1:10000/
95
Redes Virtuales Privadas
Lima Trujillo
Lima
Trujillo
Segmentos de Redes
96
Redes Virtuales Privadas
Crear la clave secreta para encriptar los datos, esta clave debe ser
igual en ambos puntos del tnel
Ps | md5sum
NOTA: Slo generar en caso de que no exista y debe ser igual para
ambos terminales del tnel. En este caso se utilizar la clave generada
para Lima - Arequipa
cp /mnt/floppy/options.* /etc/cipe/options.cipcb0
cd /etc/cipe
device cipcb0
me 200.62.136.242:2002
Ipaddr 192.160.253.1
Ptpaddr 192.160.253.254
Peer 216.244.169.173:2002
Key d41d8cd98f00b204e9800998ecf8427e
Grabar
97
Redes Virtuales Privadas
vi ifcfgeth1
DEVICE = eth1
BOOTPROTO = static
BROADCAST = 192.168.1.255
IPADDR = 192.168.1.2
NETMASK = 255.255.255.0
NETWORK = 192.168.1.0
ONBOOT = yes
Grabar y reiniciar
cd /etc/sysconfig
vi network
NETWORKING = yes
HOSTNAME = trujillo.cooperativa
GATEWAYDEV = eth1
GATEWAY = 192.168.1.1
Grabar
cd /etc/resolv.conf:
vi resolv.conf
98
Redes Virtuales Privadas
SEARCH cooperativa
NAMESERVER 200.48.225.130
NAMESERVER 200.48.225.146
Grabar
/etc/nsswitch.conf
se edita la liea:
CONFIGURACION DE CIPE
Instalacin de CIPE - Pasos
mount /mnt/floppy
cp /mnt/floopy/cipe1*.rpm /root
cd /root
Se instala CIPE:
cd /etc/rc.d/init.d
cp /mnt/floppy/ciped ciped
99
Redes Virtuales Privadas
cp /mnt/floppy/options.* /etc/cipe/options.cipcb0
cd /etc/cipe
vi options.cipcb0
device cipcb0
ping 5
me 192.168.1.2.:2001
Ipaddr 192.168.252.254
Ptpaddr 192.160.252.1
Peer 200.62.136.242:2001
Key d41d8cd98f00b204e9800998ecf8427e
Grabar
cp /mnt/floppy/rc.firewall /etc/rc.d/rc.firewall
cd /etc/rc.d
100
Redes Virtuales Privadas
vi rc.firewall
cipe0 = cipcb0
intlan = 192.160.79.0/255.255.255.0
cd /etc/cipe
vi ip-up
cd /etc/rc3.d
ln -s ../init.d/ciped S80ciped
ln -s ../rc.firewall S85firewall
vi /etc/dhcpd.conf
101
Redes Virtuales Privadas
allow bootp;
option routers 192.160.79.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.160.79.255;
option domain-name cooperativa;
option domain-nameserver 200.14.241.36,
200.14.241.38;
range dynamic-bootp 192.160.78.50 192.160.78.150;
default-lease-time 18000;
max-lease-time 18000;
get-lease-hostnames on;
}
cd /var/lib/dhcp
touch dhcpd.leases
ln -s ../init.d/dhcpd S70dhcpd
INSTALACION DE SAMBA
mount /mnt/cdrom
cd /RedHat/RPMS
rpm ivh samba*.rpm
102
Redes Virtuales Privadas
mount /mnt/cdrom
CONFIGURACION DE SAMBA
cd /etc/samba
vi smb.conf
[global]
workgroup=cooperativa
netbios name=trujillo
comment=Servidor de Trujillo
wins support=no
wins server=192.160.78.2
domain master=no
local master=yes
preferred master=no
os level=1
hosts allow=192.160.79. 192.160.78. 127.
printcap name=/etc/printcap
load printers=yes
printing=lprng
security=share
encrypt passwords=yes
smb passwd file=/etc/samba/smbpasswd
socket options=TCP_NODELAY SO_RCVBUF=8192
SO_SNDBUF=8192
name resolve order = wins lmhosts bcast
wins proxy=yes
dns proxy=no
guest account=anonimo
[printers]
comment=Impresora
path=/var/spool/samba
browseable=no
public=yes
printable=yes
guest only=yes
[download]
103
Redes Virtuales Privadas
comment=directorio de descarga
path=/home/download
browseable=yes
public=yes
printable=no
writable=yes
guest only=yes
Grabar
ln -s ../init.d/smb S82smb
rm fr /home/anonimo
smbpasswd a anonimo
mkdir /home/download
INSTALACION DE WEBMIN
Instalar el rpm
104
Redes Virtuales Privadas
http://trujillo.cooperativa:10000/
CONFIGURACION DE WEBMIN
http://192.160.79.1:10000/
105
Redes Virtuales Privadas
V. CONCLUSIONES
Por ultimo las VPN representan una gran solucin para las empresas en
cuanto a seguridad, confidencialidad e integridad de los datos y
prcticamente se ha vuelto un tema importante en las organizaciones,
debido a que reduce significativamente el costo de la transferencia de
datos de un lugar a otro, el nico inconveniente que pudieran tener las
VPN es que primero se deben establecer correctamente las polticas de
seguridad y de acceso porque si esto no esta bien definido pueden
existir consecuencias serias.
106
Redes Virtuales Privadas
VI. RECOMENDACIONES
107
Redes Virtuales Privadas
VII. APENDICE
A
Administracin remota
Administrar un equipo desde otro equipo a travs de la red.
Arquitectura cliente-servidor
Estructura de servicios que se ejecuta en Internet o en una intranet. El
equipo cliente tiene acceso al servidor Web, que proporciona al cliente
recursos o informacin no encontrada en el propio host del cliente.
Adems, las aplicaciones CGI e ISAPI puede realizar procesamientos en
el servidor Web y devolver los resultados al cliente.
Autentificacin
Determinar si un usuario tiene permiso de acceso a un recurso o para
realizar una operacin.
B
Base de datos de informacin de administracin (MIB)
Software que describe aspectos administrable de su red utilizando el
Protocolo de administracin de red simple (SMNP). Los archivos de MIB
incluidos en el directorio Sdk del disco compacto de Microsoft Windows
NT pueden utilizarse por monitores SNMP de terceros para activar la
monitorizacin SNMP de los servicios WWW, Gopher y FTP de Microsoft
Internet Information Server.
Bps
Vea bits por segundo.
Bridges (puentes):
Nos permiten dos cosas: primero, conectar dos o ms Intranets entre
s, aun teniendo diferentes topologas, pero asumiendo que utilizan el
mismo protocolo de red, y segundo, segmentar una Intranet en otras
menores. Los puentes trabajan en el nivel de enlace del modelo OSI de
la ISO. Algunos de los motivos que nos pueden inducir a instalar un
puente son ampliar la extensin de una Intranet y/o el nmero de
nodos que la componen; reducir el cuello de botella del trfico causado
por un nmero excesivo de nodos unidos o unir Intranets de topologas
similares como bus y anillo. Los puentes se pueden crear incorporando
dos tarjetas de red (una de cada una de las Intranets a interconectar)
dentro del mismo servidor (conectado obviamente a ambas redes),
108
Redes Virtuales Privadas
C
Cach
Almacn de archivos de un servidor Web que, para conseguir un
acceso ms rpido, se copian localmente. Para configurar su cach en
el explorador de Internet Explorer, elija Configuracin del cach en el
men Ver.
CGI
Vea Interfaz de gateway comn (CGI).
cifrado
Forma de hacer que no se puedan descifrar los datos mientras se
envan de un equipo a otro.
Cliente
cualquier estacin de trabajo de una Intranet que solicita servicios a un
servidor de cualquier naturaleza.
cortafuegos (Firewall)
Sistema o combinacin de sistemas que impone un lmite entre dos o
ms redes y mantiene a los piratas fuera de las redes privadas.
criptografa
Mtodo para asegurar las transmisiones de datos a y desde su servidor
Web.
D
DHCP
Vea Protocolo de configuracin dinmica de host (DHCP).
Direccin IP
Vea Direccin IP (Protocolo Internet).
109
Redes Virtuales Privadas
Direccin URL
Vea Localizador de recursos uniforme (URL).
DNS
Vea Sistema de nombres de dominio (DNS).
Dominio
En el caso de Windows NT Server, un conjunto de equipos que
comparten una base de datos de dominios y una poltica de seguridad
comn. Cada dominio tiene un nombre exclusivo.
DSN
Vea Nombre de origen de datos (DSN).
E
Encaminador
Dispositivo hardware o software que dirige el trfico de una red.
Estacin de trabajo
Cualquier ordenador conectado a la red. Antiguamente slo se llamaba
estacin de trabajo a los ordenadores ms potentes, en la actualidad
no es as. Evidentemente todas las estaciones de trabajo deben
incorporar su tarjeta de red; esto no impide que la estacin pueda
trabajar de forma independiente y utilizar los servicios de la Intranet
cuando le sea necesario.
Explorador de Web
Programa software, como Internet Explorer, que recupera un
documento de un servidor Web, interpreta los cdigos HTML y presenta
al usuario el documento con tantos grficos como pueda proporcionar
el software.
F
FTP
Vea Protocolo de transferencia de archivos (FTP).
110
Redes Virtuales Privadas
G
Gateways (pasarelas):
Se trata de ordenadores que trabajan a nivel de aplicacin del modelo
OSI de la ISO. Es el ms potente de todos los dispositivos de
interconexin de Intranets. Nos permiten interconectar Intranets de
diferentes arquitecturas; es decir, de diferentes topologas y
protocolos; no slo realiza funciones de encaminamiento como los
routers, sino que tambin realiza conversiones de protocolos,
modificando el empaquetamiento de la informacin para adaptarla a
cada Intranet.
H
Hipertexto
Documentos con vnculos a otros documentos. Para presentar el otro
documento, haga clic en un vnculo.
Hubs (concentradores):
dispositivo que centraliza la conexin de los cables procedentes de la
estaciones de trabajo. Existen dos tipos de concentradores: pasivos y
activos. Los concentradores pasivos son simplemente cajas que
disponen de unos puertos a los que se conectan las estaciones de
trabajo dentro de una configuracin en forma de estrella. nicamente
se trata de un cuadro de uniones.
Un concentrador activo es un concentrador que dispone de ms
puertos que un concentrador pasivo para la conexin de estaciones y
que realiza ms tareas, como puede ser la de amplificacin de la seal
recibida antes de su retransmisin. A veces se utilizan para estructurar
la topologa de una Intranet, permitiendo mayor flexibilidad en la
modificacin de sta.
HTML
Vea Lenguaje de marcado de hipertexto (HTML).
HTTP
Vea Protocolo de transferencia de hipertexto (HTTP).
I
Integridad de los datos
Forma de evitar que se alteren los datos en el trnsito.
Internet
Red global de equipos cuyas comunicaciones se realizan mediante un
protocolo comn, TCP/IP.
InterNIC
Vea Internet Network Information Center (InterNIC).
111
Redes Virtuales Privadas
Intranet
Red TCP/IP que puede conectarse a Internet pero que suele estar
protegida por un cortafuegos u otro dispositivo (por ejemplo, una red
de una organizacin).
IP
Vea Protocolo Internet (IP).
ISDN
Vea Red digital de servicios integrados (ISDN o RDSI).
ISP
Vea Proveedores de servicios de Internet (ISP).
L
Lenguaje de marcado de hipertexto (HTML)
Lenguaje de formato utilizado en los documentos de World Wide Web.
limpiador de cach de objetos
Cdigo que busca peridicamente en cach aquellos objetos que hay
que eliminar. Elimina de la cach los archivos que no se han utilizado
recientemente y, por tanto, es poco probable que vuelvan a utilizarse
en el futuro.
M
Marcado
Conexin telefnica a un equipo a travs de mdem.
Mscara de subred
Parmetro de configuracin TCP/IP que extrae la configuracin de la red
y el host de una direccin IP.
Medio de transmisin
Se trata de cualquier medio fsico, incluso el aire (como por ejemplo en las
comunicaciones inalmbricas o por radio), que pueda transportar informacin en
forma de seales electromagnticas. El medio de transmisin es el soporte de toda
la Intranet: si no tenemos medio de transmisin, no tenemos Intranet. Existen
diferentes medios de transmisin: cable coaxial, fibra ptica, par trenzado,
112
Redes Virtuales Privadas
MIB
Vea Base de datos de informacin de administracin (MIB).
N
NNTP
Vea Protocolo de transferencia de noticias de red (NNTP).
Nodo
cualquier estacin de trabajo, terminal, ordenador personal, impresora
o cualquier otro dispositivo conectado a la Intranet. Por lo tanto, este
trmino engloba al anterior. Los dispositivos pueden conectarse a la
Intranet a travs de un ordenador, o bien directamente si stos son
capaces de soportar una tarjeta de red.
Nombre amistoso
Nombre que sustituye a una direccin IP, por ejemplo,
www.microsoft.com en lugar de una direccin IP como 157.45.60.81.
113
Redes Virtuales Privadas
nmero de puerto
Nmero que identifica una aplicacin determinada de Internet. Por
ejemplo, el numero de puerto predeterminado del servicio Gopher es
70 y el del servicio WWW es 80.
O
Objetos voltiles
Normalmente, archivos que el administrador de sitios Web actualiza
con frecuencia.
P
Pgina
Vea pgina Web.
Pgina Web
Documento de World Wide Web. Las pginas pueden contener casi de
todo, incluyendo noticias, imgenes, pelculas o sonidos.
Paquete
Informacin que se enva a travs de la red.
Protocolo
Software que permite a los equipos comunicarse a travs de una red.
El protocolo de Internet es TCP/IP.
114
Redes Virtuales Privadas
Proxy
Programa software que conecta un usuario a un destino remoto
mediante una puerta de enlace o gateway intermediaria.
R
RAS
Vea Servicio de acceso remoto (RAS).
Routers (encaminadores):
Se trata de dispositivos que interconectan Intranets a nivel de red del
modelo OSI de la ISO. Realizan funciones de control de trfico y
encaminamiento de paquetes por el camino ms eficiente en cada
momento. La diferencia fundamental con los bridges es que stos no
son capaces de realizar tareas de encaminamiento en tiempo real, es
decir, una vez tienen asignado un camino entre un nodo origen y uno
destino siempre lo utilizan, aunque est saturado de trfico, mientras
que los routers son capaces de modificar el camino establecido entre
dos nodos dependiendo del trfico de la red y otros factores.
RPC
Vea Llamada a procedimiento remoto (RPC).
115
Redes Virtuales Privadas
S
Secure Sockets Layer (SSL)
Protocolo que proporciona comunicaciones de datos seguras mediante
codificacin y decodificacin de datos.
Seguridad SSL
Vea Secure Sockets Layer (SSL).
Servicio
Uno de los tres servicios proporcionados por Internet Information
Server: WWW, Gopher o FTP.
Servidor
Se trata de una estacin de trabajo que gestiona algn tipo de
dispositivo de la Intranet, como pueden ser impresoras, faxes,
modems, discos duros, etc., dando servicio al resto de las estaciones,
no siendo necesario que dichos dispositivos estn conectados de forma
directa a esta estacin. Por tanto, se puede hablar de servidor de
impresin, servidor de comunicaciones, servidor de ficheros, etc. Estos
servidores pueden ser dedicados, cuando no pueden utilizarse para
otra cosa, o no dedicados, cuando funcionan como un ordenador ms
de la Intranet, adems de prestar servicios como servidor de algn
elemento
Servidor de WINS
Vea servidor de Servicio de nombres Internet de Windows (WINS).
Servidor Web
Equipo dotado del software del servidor con el fin de responder a las
peticiones de los clientes Web, como por ejemplo las peticiones de un
explorador de Web. Los servidores Web utilizan los protocolos HTTP,
FTP y Gopher de Internet para comunicarse con los clientes en una red
TCP/IP.
SMTP
Vea Protocolo de transferencia de correo simple (SMTP).
116
Redes Virtuales Privadas
SNMP
Vea Protocolo de administracin de red simple (SNMP).
T
TCP/IP
Vea Protocolo de control de transmisin/Protocolo Internet (TCP/IP).
U
Usenet
La jerarqua de grupos de noticias ms conocida en Internet.
V
vnculo
Forma de saltar a otro lugar en Internet. Los vnculos suelen aparecer
en un formato distinto al texto normal. Para iniciar el salto, es
necesario hacer clic en el vnculo.
VPN
Enlace de red privada, transportado sobre una red pblica mediante el
uso de tunelizacin. La comunicacin probablemente utilice tcnicas
de encriptado.
W
World Wide Web (WWW)
El servicio ms grfico de Internet. El Web tambin tiene las
capacidades de vinculacin ms sofisticadas.
WWW
Vea World Wide Web (WWW).
VIII. BIBIOGRAFIA
LINKS INTERNET
Unix VPN
http://www.crosswinds.net/nuremberg/~anstein/unix/vpnd.html ,
Internet
Networking
http://www.linuxpowered.com/html/links/networking.html, Internet
Vpn - Howto
http://www.linuxdoc.org/HOWTO/VPN-HOWTO.html, Internet
Tuneling
http://www.worldvisions.ca/tunnelv/, Internet
117
Redes Virtuales Privadas
Cipe
http://sites.inka.de/sites/bigred/devel/cipe.html, Internet
ADSLNet.
http://www.adslnet.ws/vpn_firewalls.htm, Internet
Microsoft.
http://www.microsoft.com/Latam/OEM/ntw/Brk/documents/vpn.doc,
Internet
Microsoft Technet.
http://www.microsoft.com/Latam/technet/articulos/200007/art08/defaul
t.asp, Internet
LaCompu.com.
http://www.lacompu.com/desarrollo/notas/redesprivadasvirtuales/2.php
3, Internet
Cisco System.
http://www.cisco.com/warp/public/cc/pd/rt/7100/prodlit/vpnsp_pg.ppt,
Internet
UNICOM.
http://www.unicomsecurity.com/informacion/glosario/glosario.asp,
Internet
IBER-X.
http://www.iber-x.com/glosario.php , Internet
E-Siglo.
http://www.e-siglo.com/flosario.htm, Internet
Universidad de Valencia.
http://www.uv.es/ciuv/cas/vpn/, Internet
OpenBSD.
http://www.openbsd.org/faq/faq13.html , Internet
Interdic.
http://www.arrakis.es/~aikido/interdic/in_q_z.htm, Internet
Nortel Networks,
vate Networks (VPNs), Tutorial,
IEC Webproforum Tutorials.
http://www.webproforum.com , Internet.
Psinet,
Intranets and Virtual Private Networks (VPNs),
118
Redes Virtuales Privadas
Cisco Systems,
Overview of Access VPNs and Tunneling Technologies,
http://www.cisco.com/ , Internet.
Ascend Communications,
Virtual Private Networks Resource Guide, Arquivo PDF.
http://www.lucent.com/ins/library/pdf/techdocs/vpnrg.pdf , Internet.
Microsoft Corporation,
Understanding Point-to-Point Tunneling Protocol (PPTP), Janeiro de
1997,
http://msdn.microsoft.com/library/backgrnd/html/understanding_pptp.h
tm
LIBROS
HABRAKEN, Joe.
"Routers Cisco".
Editorial Pretince Hall. Espaa.
COMER, Douglas.
"Redes globales de informacin con Internet y TCP/IP Principios bsicos,
protocolos y arquitectura".
Editorial Pearson.
3ra Edicin. Mexico.
BELLOVIN, S. M.
Problem Areas for the IP Security Protocols. In Proceedings of the
Sixth
Usenix Security Symposium,
1996.
CISCO SYSTEMS.
Packcet - Cisco Systems Users Magazine
Vol.12, N1,
Primer Trimestre/2000
119
Redes Virtuales Privadas
120