Desarrollo de Una Virtual Private Networ

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
(Universidad del Per, DECANA DE AMERICA)
FACULTAD DE INGENIERIA DE SISTEMAS E INFORMTICA
TESIS
PARA OPTAR EL TTULO DE INGENIERO DE
SISTEMAS
DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN)

PARA LA INTERCONEXIN DE UNA EMPRESA CON SUS
SUCURSALES EN PROVINCIAS
TESISTA :PERCY VIVANCO MUOZ
ASESOR :VICTOR BUSTAMANTE OLIVERA

Ciudad Universitaria, Octubre del 2003
"La inteligencia consiste no slo en el
conocimiento, sino tambin en la
destreza de aplicar los conocimientos
en la prctica."
Aristteles
Quiero agradecer a mis padres y
hermanos, por su apoyo constante y
compaa en todo momento.
Asimismo a mi Asesor, Lic. Vctor
Bustamante Olivera, por su valiosa
asesora y sus conocimientos
compartidos.
Dedicado a mi Padre, Lucio Vivanco
Navarro, por educarme, quererme y
apoyarme incondicionalmente como
siempre lo hizo, y a mi Madre, Yolanda
Muoz de Vivanco, por su paciencia y
fe en m.
INTRODUCCION
Una Red se extiende sobre un rea geogrfica amplia, entre departamentos, a veces
un pas o un continente; adems, contiene una coleccin de mquinas dedicadas a
ejecutar programas de usuario (aplicaciones). En los ltimos aos las redes se han
convertido en un factor crtico para cualquier organizacin. Cada vez en mayor
medida, las redes transmiten informacin vital, por tanto, dichas redes cumplen con
atributos tales como seguridad, confiabilidad, alcance geogrfico y efectividad en
costos.
Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los
gastos de las empresas, eso ha significado una gran ventaja para las organizaciones
sobre todo las que cuentas con oficinas remotas a varios kilmetros de distancia, pero
tambin es cierto que estas redes remotas han despertado la curiosidad de algunas
personas que se dedican a atacar los servidores y las redes para obtener informacin
confidencial. Por tal motivo la seguridad de las redes es de suma importancia, es por
eso que escuchamos hablar tanto de los famosos firewalls y las VPN.
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra red.
VPN logra este objetivo mediante la conexin de los usuarios de distintas redes a
travs de un tnel que se construye sobre Internet o sobre cualquier red pblica,
permitiendo a los usuarios trabajar en sus casas o empresas conectados de una forma
segura con el servidor corporativo, usando la infraestructura provista por la red
pblica (Internet).
Desde el punto de vista del usuario, la VPN es una conexin entre el usuario y el
servidor corporativo. La naturaleza de la interconexin que est en el medio de los
dos es transparente para el usuario ya que los datos le aparecen como si fueran
enviados a travs de su red LAN, como si estuviera en la empresa. Esta tecnologa
tambin habilita a las empresas a tener conectadas oficinas centrales con sus
sucursales sobre cualquier red pblica, mientras se mantienen conexiones seguras y
confiables.
Es as como hacemos uso de la tecnologa VPN para poder resolver el problema de
interconexin que tenemos en nuestra empresa con sus sucursales ubicados en un
rea geogrfica distinta de su local central.
El Grupo Santo Domingo es un grupo empresarial que tiene su local central en Lima
y dos sucursales en los departamentos de Arequipa y Trujillo, el local central de la
cooperativa cuenta con un sistema integrado con el cual se ha automatizado todos los
procesos que involucran el desarrollo de sus operaciones como empresa, mas las
sucursales que posee la cooperativa no cuenta con dicho sistema integrado, dichas
dependencias manejan la informacin de manera individual y aislada del local
central, y para el proceso de sus datos no consideran las aplicaciones cliente servidor
- usadas actualmente por el local central- sino que mas bien, emplean una aplicacin
antiguamente desarrollada por la empresa.
De esta manera, el Sistema Integrado de la empresa demanda mensualmente gastos
necesarios para centralizar toda la informacin en Lima, puesto que existen reas y
procesos que requieren la data completa de la empresa local central y sus
sucursales -, tal es el caso de las reas de contabilidad, tesorera y finanzas, recursos
humanos, etc. Lo que demanda que se este incurriendo en gastos de envo de la
informacion, en material de transporte y el costo horas hombre para el reproceso de
la informacin al Sistema.
Es por eso la necesidad de establecer una conexin (un medio de transmisin seguro)
entre la sede central y sus sucursales, de tal manera que se pueda utilizar las
aplicaciones cliente - servidor entre dichas sucursales, evitando con ello un doble
trabajo y el incurrir en sobrecostos que generen el mantener la informacin de la
empresa de forma separada y descentralizada.
Para dar solucin a este problema vamos a desarrollar una VPN basados en
herramientas Open Source, utilizando un producto llamado CIPE (Crypto IP
Encapsulation). CIPE utiliza los paquetes cifrados del IP que encapsula o envuelve
en datagramas (UDP) los paquetes se les da una informacin de cabecera de destino
y son encriptados usando el mecanismo de encriptacin Cipe por defecto, luego son
transferidos sobre IP como paquetes UDP va su propio dispositivo virtual (cipcbx)
El proceso de investigacin y desarrollo planteados en el desarrollo de esta tesis
establece una plataforma para la creacin de un nuevo servicio de valor agregado,
basado en el concepto de VPN como modelo integral en las nuevas soluciones de
redes usando tecnologa Open Source.
ABSTRACT
A net spreads on a geographical wide area, between departments,
sometimes a country or a continent; besides, it contains a collection of
machines dedicated to executing user's programs (applications). In the
last years the nets have turned into a critical factor for any organization.
Every time in major measurement, the nets transmit vital information,
therefore, the above mentioned nets expire with such attributes as
safety, reliability, geographical scope and efficiency in costs.
There has been demonstrated at present that the nets reduce in time and
money the expenses of the companies, it has meant a great advantage
for the organizations especially that count with remote offices to several
kilometres of distance, but also it is true that these remote nets have
woken up the curiosity of some persons who devote themselves to attack
the servants and the nets to obtain confidential information. For such a
motive the safety of the nets performs supreme importance, is because of
it to that we listen to speak so much of the famous firewalls and the VPN.
Virtual Private Net (VPN) connects the components of a net on another

net. VPN achieves this objective by means of the connection of the users
of different nets across a tunnel that is constructed on Internet or on any
public net, allowing to the users to be employed at their houses or
companies connected of a sure form with the corporate servant, using the
infrastructure provided by the public net (Internet).
From the point of view of the user, the VPN is a connection between the
user and the corporate servant. The nature of the interconnection that is
in the way of the two is transparent for the user since the information
appears as if they were sent across their net LAN, as if it was in the
company. This technology also enables to the companies to have
connected head offices with their branches on any public net, while there
are kept sure and reliable connections.
We use the technology VPN in this form to be able to solve the problem of
interconnection that we have in our company with the branches located
in a geographical area different from their central place.
The Group Santo Domingo is a managerial group that has their central
place in Lima and two branches in Arequipa's departments and Trujillo,
the central place of the cooperative society possesses a system
integrated which has automated all the processes that involve the
development of their operations as company, mas the branches that the
cooperative society possesses it does not possess the above mentioned
integrated system, the above mentioned dependences handle the
information of a way individual and isolated of the central place, and for
the process of their information the applications do not consider client
servant - used nowadays by the central place - but rather, they use an
application former developed by the company.
Hereby, the Integrated System of the company demands monthly

necessary expenses to centralize all the information in Lima, since there
exist areas and processes that need the complete byline of the company -
central place and their branches-, such it is the case of the areas of
accounting, treasury and finance, human resources, etc. What demands
that they incurring postage and handling of the information, material of
transport and the cost hours man for the reprocess of the information to
the System.
It is because of it the need to establish a connection (a sure conduit)

between the central headquarters and their branches, in such a way that
client - servant could be in use the applications between the above
mentioned branches, avoiding with it a double work and incurring in
sobrecostos that they generate to support the information of the
company of separated and decentralized form.
To give solution to this problem we are going to develop one VPN based
on tools Open Source, using a product called CIPE (Crypto IP
Encapsulation). CIPE uses the ciphered packages of the IP that (UDP)
encases or wraps in datagramas the packages there is given them an
information of head-board of destiny and they are encriptados using the
mechanism of encriptacin Cipe for fault, then they are transferred on IP
as packages UDP route his own virtual device (cipcbx)
The process of investigation and development raised in the development

of this thesis establishes a platform for the creation of a new service of
value added, based on VPN's concept as integral model in the new
solutions of nets using technology Open Source.
INDICE
(Universidad del Per, DECANA DE AMERICA)___________________________________________1
DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN) PARA LA

INTERCONEXIN DE UNA EMPRESA CON SUS SUCURSALES EN
PROVINCIAS_________________________________________________________________1
PROVINCIAS
INTRODUCCION_________________________________________________________5
ABSTRACT______________________________________________________________7
I. MARCO TEORICO___________________________________________________16
1. INTRODUCCION________________________________________________________16
2. CONCEPTO DE UNA RED________________________________________________16
Punto a Punto:_____________________________________________________________________17
Con Servidor Dedicado:_____________________________________________________________17
Definicin de Red y Operador________________________________________________________17
3. COMPONENTES DE UNA RED___________________________________________17
Servidor:_________________________________________________________________________18
Estaciones de Trabajo:______________________________________________________________18
Tarjetas o Placas de Interfaz de Red:__________________________________________________18
Sistema de Cableado:_______________________________________________________________19
Recursos y Perifricos Compartidos:__________________________________________________19
Un sistema operativo de red (SOR):___________________________________________________19
4. COBERTURA DE LAS REDES____________________________________________20
Red de rea Local (LAN)____________________________________________________________20
Redes Interconectadas______________________________________________________________20
Red Metropolitana (MAN)___________________________________________________________21
Red de Gran Alcance (WAN)_________________________________________________________21
5. CLASIFICACION DE LAS REDES DE ACUERDO A SU ARQUITECTURA_____21
REDES CONMUTADAS____________________________________________________________21
Conmutacin de paquetes.__________________________________________________________22
Conmutacin de circuitos.__________________________________________________________22
REDES DE DIFUSION_____________________________________________________________22
6. ARQUITECTURA DE LA RED____________________________________________22
Topologa_________________________________________________________________________22
Red Estrella_____________________________________________________________________22
Red en Canal o Bus_______________________________________________________________23
Red Anillo______________________________________________________________________24
Enlace principal (Backbone)________________________________________________________24
7. INTERCONEXIN DE REDES____________________________________________24
Concepto de segmento______________________________________________________________25
Hubs (Concentradores)_____________________________________________________________25
Hubs Activos:____________________________________________________________________25
Hubs Pasivos:____________________________________________________________________25
Repetidores_______________________________________________________________________26
Bridges (Puentes)__________________________________________________________________27
Router (Encaminador)______________________________________________________________27
Gateways (Pasarelas)_______________________________________________________________28
Modems__________________________________________________________________________28
II. REDES VIRTUALES PRIVADAS_______________________________________29
1. INTRODUCCION________________________________________________________29
2. ANTECEDENTES_______________________________________________________29
3. POR QUE CONSTRUIR UNA RED PRIVADA VIRTUAL______________________30
4. DEFINICION DE UNA VPN_______________________________________________30
5. CARACTERISTICAS FUNCIONALES_____________________________________31
Transparente a las aplicaciones:_________________________________________________31
Confidencialidad:_____________________________________________________________31
Autentificacin:_______________________________________________________________31
Integridad:___________________________________________________________________31
No repudio:__________________________________________________________________31
Control de acceso:_____________________________________________________________31
Viabilidad:___________________________________________________________________31
6. VENTAJAS E INCONVENIENTES_________________________________________32
VENTAJAS_______________________________________________________________________32
INCONVENIENTES_______________________________________________________________32
7. ELEMENTOS PRINCIPALES DE UNA VPN________________________________33
Servidor VPN_____________________________________________________________________33
Cliente VPN_______________________________________________________________________33
Tnel____________________________________________________________________________33
Conexin VPN_____________________________________________________________________33
Protocolos del Tnel________________________________________________________________33
Datos del Tnel (Tuneled Data)_______________________________________________________33
Red de Transito____________________________________________________________________33
8. REQUERIMIENTOS BASICOS DE LAS VPN_______________________________34
Autenticacin de usuario.____________________________________________________________34
Administracin de direccin._________________________________________________________34
Encriptacin de datos.______________________________________________________________34
Administracin de llaves.____________________________________________________________34
Soporte de protocolo mltiple.________________________________________________________35
9. LOS 3 ESCENARIOS MS COMUNES DE VPNs____________________________35
VPNs Y ACCESO REMOTO (Remote Access VPN)_____________________________________35
SITE-TO-SITE VPN (VPN entre sitios)________________________________________________36
EXTRANET VPN__________________________________________________________________36
10. TOPOLOGIAS DE VPN__________________________________________________37
TOPOLOGA DE VPN UTILIZANDO ACCESO REMOTO (firewall - cliente)_______________37
TOPOLOGA DE VPN LAN-TO-LAN________________________________________________38
TOPOLOGIA DE VPN UTILIZANDO NAT___________________________________________39
ANALISIS DE PROTOCOLOS______________________________________________________40
CARACTERSTICAS BASICAS DE UN ANLISIS DE SEGURIDAD:____________________40
POINT-TO-POINT TUNNELING PROTOCOL (PPTP)__________________________________40
LAYER TWO TUNNELING PROTOCOL (L2TP)______________________________________42
IP SECURITY IPSec (Internet Protocol Security)_______________________________________43
MODOS DE FUNCIONAMIENTO DE IPSEC.________________________________________45
OTRAS SOLUCIONES____________________________________________________________46
Secure shell (SSH)________________________________________________________________46
CIPE Crypto Encapsulation_______________________________________________________46
RFC 1234 : Tunneling IPX Traffic through Networks____________________________________46
RFC 2004: Minim al Encapsulation within IP___________________________________________46
III. EL PROBLEMA_____________________________________________________47
1. ALTERNATIVAS DE SOLUCIN__________________________________________47
SOLUCIN 1_____________________________________________________________________47
SOLUCIN 2_____________________________________________________________________48
SOLUCIN 3_____________________________________________________________________49
2. VENTAJAS Y DESVENTAJAS DE LAS ALTERNATIVAS DE SOLUCIN______49
SOLUCIN 1_____________________________________________________________________49
VENTAJAS_____________________________________________________________________49
DESVENTAJAS_________________________________________________________________49
SOLUCIN 2_____________________________________________________________________49
VENTAJAS_____________________________________________________________________50
DESVENTAJAS_________________________________________________________________50
SOLUCIN 3___________________________________________________________________50
VENTAJAS_____________________________________________________________________50
DESVENTAJAS_________________________________________________________________50
CUADRO COMPARATIVO DE LAS TRES SOLUCIONES______________________________50
Pago Inicial ($)_____________________________________________________________________50
Pago Mensual ($)___________________________________________________________________50
Solucin 1_________________________________________________________________________50
Solucin 2 (*)______________________________________________________________________50
Solucin 3_________________________________________________________________________50
CONCLUSIN____________________________________________________________________51
3. ESQUEMA DE RED ANTIGUA SUCURSAL - AREQUIPA_____________________52
4. ESQUEMA DE LA RED ANTIGUA SUCURSAL TRUJILLO___________________53
ESQUEMA DE LA RED ANTIGUA DE LIMA____________________________________54
6. ARQUITECTURA A UTILIZAR___________________________________________55
TOPOLOGIA A UTILIZAR_________________________________________________________55
EQUIPOS UTILIZADOS EN LA IMPLEMENTACION DE LA VPN______________________55
PRODUCTO UTILIZADO PARA LA REALIZACION DE LA VPN_______________________56
7. PAQUETE DE ENCRIPTACIN IP________________________________________56
CAPAS Y CIFRADO DE RED_______________________________________________________56
ENCAMINAMIENTO DEL IP Y REDES PRIVADAS VIRTUALES_______________________57
CMO CIPE TRABAJA____________________________________________________________57
COMPONENTES DEL SOFTWARE CIPE____________________________________________58
NOTAS INTERNAS________________________________________________________________58
INSTALACIN DEL PAQUETE DE SOFTWARE CIPE_________________________________59
PROTOCOLOS DE CIFRADO______________________________________________________60
INSTALACIN___________________________________________________________________60
CORRIENDO CIPE________________________________________________________________61
CARGA DEL MDULO____________________________________________________________61
CORRIENDO DEL DEMONIO CIPED_______________________________________________62
ESPECIFICACIN DE OPCIONES__________________________________________________62
LISTA DE TODOS LOS PARMETROS______________________________________________63
INCOMPATIBILIDAD DE LLAVES MS VIEJAS VERSIONES CIPE____________________63
TRABAJANDO CON SOCKS_______________________________________________________64
DIRECCIONES DE PORTADOR DINMICA_________________________________________64
ERROR QUE SE MANEJA EN CIPED________________________________________________65
CONSEJOS GENERALES__________________________________________________________65
MODOS DE CONEXIN___________________________________________________________66
DESCRIPCIONES DEL PROTOCOLO CIPE__________________________________________67
EL PROGRAMA CIPED____________________________________________________________70
8. ESQUEMA DE LA SOLUCION CON VPN CIPE Figura III.7.1:
Esquema Propuesto________________________________________________________73
IV. IMPLEMENTACION DE LA SOLUCION________________________________74
1. INSTALACIN DE LINUX_______________________________________________74
2. CONFIGURACIN DE LA TARJETA DE RED EN EL SERVIDOR_____________76
Editamos el archivo modules.conf_____________________________________________________76
Creacin y configuracin del script para la segunda tarjeta:_______________________________76
Editando el archivo network ( configurando la puerta de enlace gateway)____________________77
CONFIGURACION DE SERVICIOS Y TERMINALES EN EL SERVIDOR________________77
3. DESHABILITAR ALGUNAS TERMINALES Y PONER EL MODO DE
ARRANQUE EN 3____________________________________________________________78
4. DIAGRAMA DE LA CONFIGURACION DE LA VPN LIMA AREQUIPA_______79
Lima___________________________________________________________________________79
Arequipa________________________________________________________________________79
Segmentos de Redes_______________________________________________________________79
5. CONFIGURACION DEL SERVIDOR VPN FIREWALL DE LIMA PARA
AREQUIPA__________________________________________________________________80
CONFIGURACION PARA LA RESOLUCION DE NOMBRES___________________________80
CONFIGURACION DE CIPE_______________________________________________________80
CONFIGURACION DEL TUNEL LIMA-AREQUIPA___________________________________81
CONFIGURACION DEL FIREWALL________________________________________________82
CONFIGURACION DEL SCRIPT QUE LEVANTA LAS INTERFACES DE CIPE___________82
CONFIGURACION DEL SERVICIO AUTOMATICO DE LOS SERVDORES______________82
INSTALACION DEL DHCP_________________________________________________________83
INSTALACION DE SAMBA________________________________________________________84
INSTALACION DE WEBMIN_______________________________________________________84
CONFIGURACION DE WEBMIN___________________________________________________85
6. CONFIGURACION DEL SERVIDOR VPN FIREWALL DE AREQUIPA_________85
CONFIGURACION DEL TUNEL AREQUIPA-LIMA___________________________________86
CONFIGURACION DE SAMBA_____________________________________________________88
CONFIGURACION DE WEBMIN___________________________________________________90
7. DIAGRAMA DE LA CONFIGURACION DE LA VPN LIMA TRUJILLO_______91
Lima___________________________________________________________________________91
Trujillo_________________________________________________________________________91
Segmentos de Redes_______________________________________________________________91
8. ONFIGURACION DEL SERVIDOR VPN FIREWALL LIMA PARA TRUJILLO__92
CONFIGURACION DEL TUNEL LIMA-TRUJILLO EN EL FIREWALL LIMA____________92
9. CONFIGURACION DEL SERVIDOR DE TRUJILLO_________________________93
CONFIGURACIN DE LA TARJETA DE RED EN EL SERVIDOR_______________________93
CONFIGURACION DEL TUNEL TRUJILLO-LIMA___________________________________95
INSTALACION DEL DHCP_________________________________________________________96
CONFIGURACION DE SAMBA_____________________________________________________98
CONFIGURACION DE WEBMIN__________________________________________________100
V. CONCLUSIONES___________________________________________________101
VI. RECOMENDACIONES______________________________________________102
VII. APENDICE______________________________________________________103
A__________________________________________________________________________103
Administracin remota____________________________________________________________103
Arquitectura cliente-servidor_______________________________________________________103
Asignacin de Extensin de correo Internet multipropsito (MIME)________________________103
Autentificacin__________________________________________________________________103
B__________________________________________________________________________103
Base de datos de informacin de administracin (MIB)__________________________________103
Bits por segundo (bps)____________________________________________________________103
Bps___________________________________________________________________________103
Bridges (puentes):_______________________________________________________________103
C__________________________________________________________________________104
Cach_________________________________________________________________________104
Centro de informacin de la red Internet (InterNIC, Internet Network Information Center)______104
CGI___________________________________________________________________________104
cifrado________________________________________________________________________104
Cliente________________________________________________________________________104
control del ancho de banda_________________________________________________________104
cortafuegos (Firewall)____________________________________________________________104
criptografa_____________________________________________________________________104
D__________________________________________________________________________104
DHCP_________________________________________________________________________104
Direccin IP____________________________________________________________________104
Direccin IP (Protocolo Internet)____________________________________________________104
Direccin URL__________________________________________________________________105
DNS__________________________________________________________________________105
Dominio_______________________________________________________________________105
DSN__________________________________________________________________________105
E__________________________________________________________________________105
Encaminador___________________________________________________________________105
Estacin de trabajo_______________________________________________________________105
Explorador de Web_______________________________________________________________105
F__________________________________________________________________________105
FTP___________________________________________________________________________105
G__________________________________________________________________________105
Gateways (pasarelas):____________________________________________________________105
H__________________________________________________________________________106
Hipertexto______________________________________________________________________106
Hubs (concentradores):___________________________________________________________106
HTML________________________________________________________________________106
HTTP_________________________________________________________________________106
I__________________________________________________________________________106
Integridad de los datos____________________________________________________________106
Interfaz de gateway comn (CGI)___________________________________________________106
Internet________________________________________________________________________106
InterNIC_______________________________________________________________________106
Intranet________________________________________________________________________106
IP____________________________________________________________________________107
ISDN_________________________________________________________________________107
ISP___________________________________________________________________________107
L__________________________________________________________________________107
Lenguaje de marcado de hipertexto (HTML)__________________________________________107
Llamada a procedimiento remoto (RPC)______________________________________________107
Localizador de recursos uniforme (URL)_____________________________________________107
M_________________________________________________________________________107
Marcado_______________________________________________________________________107
Mscara de subred_______________________________________________________________107
Medio de transmisin_____________________________________________________________107
MIB__________________________________________________________________________108
N__________________________________________________________________________108
NNTP_________________________________________________________________________108
Nodo__________________________________________________________________________108
Nombre amistoso________________________________________________________________108
Nombre de origen de datos (DSN)___________________________________________________108
Nombre de origen de datos (DSN) del sistema_________________________________________108
nmero de puerto________________________________________________________________109
O__________________________________________________________________________109
Objetos voltiles_________________________________________________________________109
P__________________________________________________________________________109
Pgina_________________________________________________________________________109
Pgina Web_____________________________________________________________________109
Paquete________________________________________________________________________109
Protocolo______________________________________________________________________109
Protocolo de administracin de red simple (SNMP)_____________________________________109
Protocolo de configuracin dinmica de host (DHCP)___________________________________109
Protocolo de control de transmisin/Protocolo Internet (TCP/IP)___________________________109
Protocolo de transferencia de archivos (FTP)__________________________________________109
Protocolo de transferencia de correo simple (SMTP)____________________________________109
Protocolo de transferencia de hipertexto (HTTP)_______________________________________109
Protocolo de transferencia de noticias de red (NNTP)____________________________________110
Protocolo Internet (IP)____________________________________________________________110
Proveedores de servicios de Internet (ISP)____________________________________________110
Proxy_________________________________________________________________________110
Puerta de enlace o gateway________________________________________________________110
R__________________________________________________________________________110
RAS__________________________________________________________________________110
Red digital de servicios integrados (ISDN o RDSI)_____________________________________110
Routers (encaminadores):__________________________________________________________110
RPC__________________________________________________________________________110
S__________________________________________________________________________110
Secure Sockets Layer (SSL)________________________________________________________110
Seguridad SSL__________________________________________________________________110
Servicio________________________________________________________________________111
Servicio de acceso remoto (RAS)___________________________________________________111
Servidor_______________________________________________________________________111
Servidor de Servicio de nombres Internet de Windows (WINS)____________________________111
Servidor de WINS_______________________________________________________________111
Servidor Web___________________________________________________________________111
Sistema de nombres de dominio (DNS)_______________________________________________111
SMTP_________________________________________________________________________111
SNMP_________________________________________________________________________111
T__________________________________________________________________________111
TCP/IP________________________________________________________________________111
U__________________________________________________________________________112
Usenet_________________________________________________________________________112
V__________________________________________________________________________112
vnculo________________________________________________________________________112
VPN__________________________________________________________________________112
W_________________________________________________________________________112
World Wide Web (WWW)_________________________________________________________112
WWW________________________________________________________________________112
VIII. BIBIOGRAFIA___________________________________________________112
LINKS INTERNET______________________________________________________________112
LIBROS_______________________________________________________________________114
Redes Virtuales Privadas
INDICE DE GRAFICOS
Figura I.2.1: Componentes tpicos de un sistema en red.................................................... 16

Figura I.3.1: Componentes de una red................................................................................ 17
Figura I.4.1: mbito de cobertura de las redes................................................................... 19
Figura I.6.1: Topologa en Estrella...................................................................................... 22
Figura I.6.2: Topologa de Canal o Bus.............................................................................. 23
Figura I.6.2: Topologa de Canal o Bus.............................................................................. 24
Figura I.7.1: Diagrama de un Repetidor............................................................................. 25
Figura II.4.1: Esquema de una Red VPN............................................................................ 29
Figura II.7.1: Elementos de una VPN................................................................................. 33
Figura II.10.1: VPN de acceso remoto................................................................................ 36
Figura II.10.2: Diagrama de acceso remoto....................................................................... 37
Figura II.10.3: diagrama de VPN LAN............................................................................... 38
Figura II.10.4: Diagrama VPN con NAT............................................................................ 38
Figura II.10.5: Diagrama del Protocolo PPTP.................................................................... 40
Figura II.10.6: Diagrama del Protocolo L2TP.................................................................... 41
Figura II.10.7: Diagrama del Protocolo IPSec.................................................................... 42
Figura II.10.8: Diagrama de funcionamiento de IPSec....................................................... 42
Figura II.10.9: Diagrama de la Arquitectura IPSec............................................................. 43
Figura II.10.5: Modos de funcionamiento de IPSEC.......................................................... 44
Figura II.10.6: Cabeceras de IPSec..................................................................................... 44
Figura II.10.7: Flujo de paquetes........................................................................................ 45
Figura II.10.7: Flujo de paquetes ....................................................................................... 45
Figura III.2.1: Grfico de costos......................................................................................... 50
Figura III.3.1: Esquema Arequipa....................................................................................... 51
Figura III.4.1: Esquema Trujillo......................................................................................... 52
Figura III.5.1: Esquema Lima............................................................................................. 53
Figura III.7.1: Esquema Propuesto..................................................................................... 60
Figura IV.4.1: Diagrama de la configuracin Arequipa Lima......................................... 66
Figura IV.5.1: Configuracin de Webmin........................................................................... 72
Figura IV.7.1: Diagrama de la Configuracin de Trujillo Lima........................................ 78
Figura IV.9.1: Configuracin del Webmin......................................................................... 87
17
I. MARCO TEORICO
1. INTRODUCCION
La idea de red es probablemente tan vieja como la de las

telecomunicaciones. Considerando a la gente que viva en la edad de
piedra, donde los tambores se pueden haber utilizado para transmitir
mensajes entre individuos. Suponga que el caverncola A quiere invitar al
caverncola B a un partido de lanzamiento de rocas contra el otro, pero
viven demasiado lejos como para que B oiga a A golpear su tambor.
Cules son las opciones de A? Podra 1) ir a la choza de B, 2) hacerse or
con un tambor ms grande, o 3) pedirle a C, que vive a mitad de camino
entre los dos, que retransmita el mensaje. La ltima opcin es lo que se
llama una red.
Claro, que ya ha pasado un tiempo desde los primeros intentos de
nuestros antepasados. Hoy en da tenemos ordenadores que hablan entre
s a travs de vastas conexiones de cables, fibras pticas, microondas, y
otros medios parecidos, para quedar para el partido del sbado.
Una red es un sistema de transmisin de datos que permite el
intercambio de informacin entre ordenadores. Si bien esta definicin es
demasiado general, nos sirve como punto de partida. La informacin que
pueden intercambiar los ordenadores de una red puede ser de lo ms
variada: correos electrnicos, vdeos, imgenes, msica en formato MP3,
registros de una base de datos, pginas web, etc. La transmisin de estos
datos se produce a travs de un medio de transmisin o combinacin de
distintos medios: cables de fibra ptica, tecnologa inalmbrica, enlaces
va satlite (el intercambio de informacin entre ordenadores mediante
disquetes no se considera una red). Mas la comunicacin no suele darse
solo con ordenadores, aunque no es necesario; podemos considerar
tambin terminales X o impresoras inteligentes como nodos. Pequeas
aglomeraciones de nodos tambin se llaman sites.
La comunicacin sera imposible sin algn tipo de lenguaje o cdigo. En
redes de ordenadores, estos lenguajes son llamados colectivamente
protocolos. Sin embargo, no debera pensar en protocolos escritos, sino
ms bien en el cdigo de comportamiento altamente formalizado que se
observa cuando se encuentran los jefes de estado. De un modo muy
similar, los protocolos usados por las redes de ordenadores no son sino
normas muy estrictas para el intercambio de mensajes entre dos o ms
nodos.
2. CONCEPTO DE UNA RED
La ms simple de las redes conecta dos computadoras, que comparten

software y hardware. Una red mucho ms compleja conecta ms de 2
computadoras de una empresa o compaa en el mundo. Si se desea
compartir impresoras basta con un conmutador, pero si se desea
compartir eficientemente archivos y ejecutar aplicaciones de red, hace
falta tarjetas de interfaz de red (NIC, NetWare Interface Cards); cables, un
sistema operativo de red seguro y con altas prestaciones que permita
manejar muchos usuarios y recursos.
18
Figura I.2.1: Componentes tpicos de un sistema en red
El sistema operativo de red (NOS, Network Operating System) presenta

dos tipos bsicos: de punto a punto y con servidor dedicado.
Punto a Punto:
Sistema operativo que le permite a los usuarios compartir los recursos de
sus computadoras y acceder a los recursos compartidos de las otras
computadoras. Son sistemas operativos punto a punto Microsoft Windows
for Workgroups, Novell Lite.
Con Servidor Dedicado:

Sistema operativo con servidor dedicado, como es NetWare de Novell,
una o ms computadoras se reservan como servidores de archivos no
pudiendo ser utilizados para otra funcin.
Definicin de Red y Operador

Una Red es un conjunto de recursos de transmisin interconectada de
computadoras, que gestionados y operados como un todo, proporcionan
servicios en puntos de terminacin de red (ptr). Los recursos de
transmisin ms utilizados son los de tipo punto a punto dedicados y la
conmutacin se produce en los nodos. El operador, nombre que recibe la
persona que gestiona u opera la red, es el encargado de reparar,
mantener y administrar la red.
Hay que sealar una diferencia entre el trmino subred y red:
La subred lleva asociada una uniformidad tecnolgica y sobre todo, de

operacin, va unido a un propietario (responsable).
Una red es una integracin de subredes para dar servicios
independientes de tecnologas subyacentes, y especifica en que subred el
usuario esta conectado.
3. COMPONENTES DE UNA RED
19
Una red de computadoras esta formada por la conexin del hardware y

del software. El hardware incluye las tarjetas de interfaz de red y los
cables que las unen; y el software incluye los controladores (programas
que se utilizan para gestionar los dispositivos y el sistema operativo de
red que gestiona la red).
A continuacin se listan los componentes, tal como se muestran en la

figura 2.1:
1. Servidor
2. Estaciones de trabajo
3. Placas de interfaz de red (NIC)
4. Recursos perifricos y compartidos
Figura I.3.1: Componentes de una red
Servidor:
Este ejecuta el sistema operativo de red y ofrece los servicios de red a las
estaciones de trabajo. Un servidor es una computadora de poca o alta
capacidad que proporciona diversos recursos a la red. Un servidor tpico
contiene varios discos duros, una unidad de respaldo en cinta y una
unidad de CD-ROM. Tambin permite a los empleados de una compaa
compartir recursos como impresoras, mquinas de fax, mdems, correo
electrnico y conexiones a Internet. A menudo se utilizan servidores para
almacenar informacin de bases de datos, archivos y copias de seguridad
de archivos. Las computadoras conectadas al servidor se conocen como
clientes.
Estaciones de Trabajo:
Cuando una computadora se conecta a una red, la primera se convierte
en un nodo de la ultima y se puede tratar como una estacin de trabajo o
cliente. Las estaciones de trabajos pueden ser computadoras personales
con el DOS, Macintosh, Unix, OS/2 o estaciones de trabajos sin discos.
20
Tarjetas o Placas de Interfaz de Red:

Toda computadora que se conecta a una red necesita de una tarjeta de
interfaz de red que soporte un esquema de red especifico, como Ethernet,
ArcNet o Token Ring. El cable de red se conectara a la parte trasera de la
tarjeta. Las tarjetas adaptadoras de red (tambin llamadas tarjetas de
interfaz de red o NICs) proporcionan la conexin entre su computadora y
su red, convirtiendo datos de su computadora a un formato que pueda
aceptar una red Ethernet. (Ethernet se refiere al conjunto ms comn
de estndares de equipo para redes.)
Sistema de Cableado:
El sistema de la red esta constituido por el cable utilizado para conectar
entre s el servidor y las estaciones de trabajo. Los concentradores o hubs
(conocidos tambin como concentradores de cableado) son el punto de
conectividad central de un grupo de trabajo con disposicin de estrella.
Un concentrador permite a cada nodo comunicarse con todos los otros
nodos conectados. Se pueden conectar dos o ms concentradores, lo que
le permite extender su red fcil y econmicamente.
Recursos y Perifricos Compartidos:

Entre los recursos compartidos se incluyen los dispositivos de
almacenamiento ligados al servidor, las unidades de discos pticos, las
impresoras, los trazadores y el resto de equipos que puedan ser utilizados
por cualquiera en la red. Un servidor de impresin ofrece la misma
conectividad a una impresora que una tarjeta adaptadora de red ofrece a
una computadora. Permite a todas las computadoras de la red compartir
la misma impresora. Los servidores de impresin son a menudo un
componente bsico de las redes cliente / servidor. Entre los productos de
comunicacin se cuentan tarjetas de fax, mdems y enrutadores que
hacen posibles conexiones con Internet. Todos estos productos le
permiten comunicarse con computadoras no conectadas a su red de rea
local (LAN).
Un sistema operativo de red (SOR):

Tambin conocido como NOS (Network Operating System), permite a las
computadoras y componentes de la red comunicarse entre s. El NOS
puede variar desde simples caractersticas de software integradas a
Windows 95 hasta sistemas ms complicados como Novell IntraNetWare o
Microsoft Windows NT.
21
4. COBERTURA DE LAS REDES
En la figura 4.1 se muestra el mbito de cobertura de las redes.
Figura I.4.1: mbito de cobertura de las redes
Red de rea Local (LAN)

Las Redes de rea local (Local rea Network) llamadas tambin Red de
Acceso; porque se utiliza para tener acceso hacia una red de rea
extendida. Es un sistema de comunicacin entre computadoras, que
permite compartir informacin y recursos, con la caracterstica de que la
distancia entre las computadoras debe ser pequea.
Cuando no posee conexin con otras ciudades porque no est conectada

a una red de rea extendida, se le llama Red Interna (Intranet).
La topologa o la forma de conexin de la red, depende de la distancia

entre las computadoras y del medio de comunicacin entre ellas
determinado por la velocidad del sistema.
Redes Interconectadas
Una red de redes se encuentra formada por dos o ms segmentos de red
local conectadas entre si para formar un sistema que puede llegar a
cubrir una empresa.
22
Red Metropolitana (MAN)

Son normalmente redes de fibra ptica de gran velocidad que conectan
segmentos de red local de una rea especifica, como un campus, un
polgono industrial, o una ciudad.
Red de Gran Alcance (WAN)

Las redes de rea extendida (Wide Area Network) es un sistema de
comunicacin entre computadoras, que permite compartir informacin y
recursos, con la caracterstica de que la distancia entre las computadoras
es amplia (de un pas a otro, de una cuidad a otra, de un continente a
otro). Permiten la interconexin nacional o mundial mediante lneas
telefnicas y mediante los satlites.
Algunas redes de rea extendida estn conectadas mediante lneas

rentadas a la compaa telefnica (destinadas para este propsito),
soportes de fibra ptica y, otras por medio de sus propios enlaces
terrestres y areos de satlite. Por ejemplo, las redes de las grandes
universidades pueden contar con sus propios departamentos de
telecomunicaciones que administran los enlaces entre las instalaciones y
los satlites.
5. CLASIFICACION DE LAS REDES DE ACUERDO A SU

ARQUITECTURA
Dependiendo de su arquitectura y de los procedimientos empleados para

transferir la informacin las redes de comunicacin se clasifican en :
Redes conmutadas
Redes de difusin
REDES CONMUTADAS
Consisten en un conjunto de nodos interconectados entre s, a travs de
medios de transmisin (cables), formando la mayora de las veces una
topologa mallada, donde la informacin se transfiere encaminndola del
nodo de origen al nodo destino mediante conmutacin entre nodos
intermedios.
Una transmisin de este tipo tiene 3 fases :
Establecimiento de la conexin.
Transferencia de la informacin.
Liberacin de la conexin.
Se entiende por conmutacin en un nodo, a la conexin fsica o lgica, de

un camino de entrada al nodo con un camino de salida del nodo, con el
fin de transferir la informacin que llegue por el primer camino al
segundo. Un ejemplo de redes conmutadas son las redes de rea
extensa.
Las redes conmutadas se dividen en :
23
Conmutacin de paquetes.
Se trata del procedimiento mediante el cual cuando un nodo quiere
enviar informacin a otro, la divide en paquetes. Cada paquete es
enviado por el medio con informacin de cabecera. En cada nodo
intermedio por el que pasa el paquete se detiene el tiempo necesario
para procesarlo.
Caractersticas importantes de su funcionamiento son :
En cada nodo intermedio se apunta una relacin de la forma :

todo paquete con origen en el nodo A y destino en el nodo B
tiene que salir por la salida 5 de mi nodo.
Los paquetes se numeran para poder saber si se ha perdido
alguno en el camino.
Todos los paquetes de una misma transmisin viajan por el mismo
camino.
Pueden utilizar parte del camino establecido ms de una
comunicacin de forma simultnea.
Conmutacin de circuitos.
Es el procedimiento por el que dos nodos se conectan, permitiendo la
utilizacin de forma exclusiva del circuito fsico durante la transmisin. En
cada nodo intermedio de la red se cierra un circuito fsico entre un cable
de entrada y una salida de la red. La red telefnica es un ejemplo de
conmutacin de circuitos.
REDES DE DIFUSION
En este tipo de redes no existen nodos intermedios de conmutacin;
todos los nodos comparten un medio de transmisin comn, por el que la
informacin transmitida por un nodo es conocida por todos los dems.
Ejemplos clsicos de redes de difusin son la comunicacin por radio; la
comunicacin por satlite; la comunicacin en una red local.
6. ARQUITECTURA DE LA RED
La arquitectura de una red viene definida por su topologa, el mtodo de

acceso a la red y los protocolos de comunicacin. Antes de que cualquier
estacin de trabajo pueda utilizar el sistema de cableado, debe definirse
con cualquier otro nodo de la red.
Topologa
La topologa de una red esta en relacin con la organizacin del
cableado. Al elegir un sistema de cableado se debe considerar tres
aspectos: costo, rendimiento total e integridad.
Bsicamente existen tres topologas de red:
a) Estrella (Star)
b) Canal (Bus)
24
c) Anillo (Ring)
Red Estrella
Conectar un conjunto de computadoras en estrella es uno de los sistemas
ms antiguos, equivale a tener una computadora central (el servidor de
archivos o Server), encargada de controlar la informacin de toda la red.
Dicha informacin abarca desde los mensajes entre usuarios, datos
almacenados en un archivo en particular, manipulacin de archivos, etc.
Tal como se muestra en la figura 6.1,
Para poder instalar este tipo de red, cada una de las computadoras
utilizadas como estaciones de trabajo necesitan de una tarjeta de
conexin para lograr la interfase con la computadora central.
Figura I.6.1: Topologa en Estrella
Red en Canal o Bus

Permite conectar a todas las computadoras de la red en una sola lnea
compartiendo el mismo canal de datos (bus), de ah su nombre. A fin de
poder identificar hacia cual de las computadoras de toda la red se est
dirigiendo, se aade un sufijo al paquete de informacin, este contiene la
direccin de la computadora que debe recibir la informacin en particular.
Ver figura 6.2
Cada una de las computadoras revisa el mensaje y comparar la direccin

de la terminal de recepcin, en caso de no ser igual a la propia, se
rechaza y en caso de ser igual la direccin, se acepta el mensaje.
25
Figura I.6.2: Topologa de Canal o Bus

Red Anillo
Actualmente es la mas difundida, consiste en unir una serie de
computadoras en un circuito cerrado formando un anillo por donde circule
la informacin en una sola direccin, que permita tener un control de
recepcin de mensajes.
La forma interna de comunicacin, de una computadora a otra, es similar

a la del canal de datos (Bus), slo que en este caso se le aade la
direccin de la computadora que enva el mensaje para que la terminal
receptora pueda contestar a la terminal emisora.
Tal como se aprecia en la figura 6.3, que a continuacin se detalla
Figura I.6.3:Topologa de Anillo
Enlace principal (Backbone)

Un cable principal (Backbone) es un cable que conecta entre si dos o mas
segmentos de una red local y ofrece un enlace de datos de alta velocidad
entre ellos. Mientras que un puente se establece instalando dos o mas
tarjetas de red en un servidor, la interconexin de redes se realizan
conectando varios servidores o segmentos de red local, generalmente
con un enlace backbone. Los enlaces backbone son generalmente
medios de alta velocidad, como es el caso de la fibra ptica.
7. INTERCONEXIN DE REDES
Hace algunos aos era impredecible la evolucin de las comunicaciones

en el mundo de la informtica, y en ese entonces no se poda prever que
fuese necesaria la interconexin no slo de varios ordenadores sino de
cientos de ellos. No basta con tener los ordenadores en una sala
conectados, es necesario conectarlos a su vez con los ordenadores del
resto de las salas de una empresa, y con el resto de las sucursales de una
empresa situadas en distintos puntos geogrficos.
26
La interconexin de redes permite ampliar el tamao de una intranet. Sin

embargo el trmino interconexin se utiliza para unir redes
independientes, no para ampliar el tamao de una.
El nmero de ordenadores que componen una intranet es limitado,

depende de la topologa elegida. Sin embargo, cuando se elige la
topologa que va a tener una intranet se tienen en cuenta diversos
factores, como la densidad de trfico que sta debe soportar de manera
habitual, el tipo de aplicaciones que van a instalarse sobre ella, la forma
de trabajo que debe gestionar, etc.
Habitualmente la seleccin del tipo y los elementos fsicos de una

intranet, se ajusta a las necesidades que se tiene; por este motivo
pueden encontrarse dentro de un mismo edificio, varias intranets con
diferentes topologas.
Se puede ver que por diferentes razones se hace necesaria tanto la
segmentacin como la interconexin de intranets, y que ambos
conceptos a pesar de llevar a un punto en comn, parten de necesidades
distintas.
Concepto de segmento
Un segmento es un bus lineal al que estn conectadas varias estaciones.
Caractersticas:
Cuando se tiene una red grande se divide en trozos, llamados

segmentos a cada uno de ellos.
Para interconectar varios segmentos se utilizan bridges o routers.
El rendimiento de una red aumenta al dividirla en segmentos.
A cada segmento junto a las estaciones a l conectadas se las llama
subred.
Segmentar una Intranet es dividirla en subredes para as poder aumentar

el nmero de ordenadores conectados a ella y/o al rendimiento de la
misma.
Cuando se segmenta una intranet, lo que se esta haciendo es crear

subredes pequeas que se autogestionan de forma que la comunicacin
entre segmentos se realice cuando sea necesario, es decir, cuando un
nodo de un segmento quiera comunicarse con un nodo de otro segmento.
Mientras tanto cada segmento de la intranet estar trabajando de forma
independiente.
Hubs (Concentradores)
Dispositivo que interconecta host dentro de una red. Es el dispositivo de
interconexin ms simple que existe. Se trata de un armario de
conexiones donde se centralizan todas las conexiones de una red, es
decir un dispositivo con muchos puertos de entrada y salida, no tiene
ninguna funcin aparte de centralizar conexiones, suelen utilizarse para
implementar topologas en estrella fsica, pero funcionando como un
anillo o como un bus lgico. Existen dos tipos de Hubs:
27
Hubs Activos:
Permiten conectar nodos a distancias de hasta 609 metros, suelen tener
entre 8 y 12 puertos y realizan funciones de amplificacin y repeticin de
la seal. Los ms complejos adems realizan estadsticas.
Hubs Pasivos:
Son simples armarios de conexiones. Permiten conectar nodos a
distancias de hasta 30 metros. Generalmente suelen tener entre 8 y 12
puertos.
Repetidores
Son equipos que actan a nivel fsico. Prolongan la longitud de la red
uniendo dos segmentos de red y amplificando su seal. Junto con ella
amplifican el ruido. La red sigue siendo una sola.
Caractersticas:
Conectan a nivel fsico dos intranets, o dos segmentos de intranet. Hay

que tener en cuenta que cuando la distancia entre dos host es grande,
la seal que viaja por la lnea se atena y hay que regenerarla.
Permiten resolver problemas de limitacin de distancias en un
segmento de intranet.
Dispositivo que nicamente repite la seal transmitida evitando su
atenuacin; de esta forma se puede ampliar la longitud del cable que
soporta la red.
Al trabajar al nivel ms bajo de la pila de protocolos obliga a que:
Los dos segmentos que interconecta tenga el mismo acceso al
medio y trabajen con los mismos protocolos.
Los dos segmentos tengan la misma direccin de red.
Entrada de la seal atenuada

Salida de
la seal regenerada
REPETIDOR
Figura I.7.1: Diagrama de un Repetidor
28
Bridges (Puentes)
Son dispositivos que ayudan a resolver el problema de limitacin de
distancias, junto con el problema de limitacin del nmero de nodos de
una red. Trabajan al nivel de enlace del modelo OSI, por lo que pueden
interconectar redes que cumplan las normas del modelo 802 (3, 4 y 5). Si
los protocolos por encima de estos niveles son diferentes en ambas
redes, el puente no es consciente, y por tanto no puede resolver los
problemas que puedan presentrsele.
Se utilizan para:
Ampliar la extensin de la red, o el nmero de nodos que la
constituyen.
Reducir la carga en una red con mucho trfico, uniendo segmentos
diferentes de una misma red.
Unir redes con la misma topologa y mtodo de acceso al medio, o
diferentes.
Cuando un puente une redes exactamente iguales, su funcin se
reduce exclusivamente a direccionar el paquete hacia la subred
destino.
Cuando un puente une redes diferentes, debe realizar funciones de
traduccin entre las tramas de una topologa a otra.
Cada segmento de red, o red interconectada con un puente, tiene una

direccin de red diferente.
Los puentes no entienden de direcciones IP, ya que trabajan en otro nivel.
Los puentes realizan las siguientes funciones:

Reenvio de tramas: constituye una forma de filtrado. Un puente solo
reenva a un segmento a aquellos paquetes cuya direccin de red lo
requiera, no traspasando al puente los paquetes que vayan dirigidos a
nodos locales a un segmento. Por tanto, cuando un paquete llega a un
puente, ste examina la direccin fsica destino contenida en l,
determinado as si el paquete debe atravesar el puente o no.
Tcnicas de aprendizaje: los puentes construyen tablas de direccin
que describen las rutas, bien sea mediante el examen del flujo de los
paquetes (puenteado transparente) o bien con la obtencin de la
informacin de los paquetes exploradores (encaminamiento fuente)
que han aprendido durante sus viajes la topologa de la red.
Los primeros puentes requeran que los gestores de la red introdujeran a
mano las tablas de direccin.
Los puentes trabajan con direcciones fsicas
Router (Encaminador)
Son equipos de interconexin de redes que actan a nivel de los
protocolos de red. Permiten utilizar varios sistemas de interconexin
mejorando el rendimiento de la transmisin entre redes. Su
funcionamiento es mas lento que las redes pero su capacidad es mayor,
permiten incluso enlazar dos redes basadas en un protocolo, por medio
de otra que utilice un protocolo diferente.
29
Es como un puente incorporando caractersticas avanzadas.

Trabajan a nivel de red del modelo OSI, por tanto trabajan con
direcciones IP.
Un router es dependiente del protocolo.
Permite conectar redes de rea local y de rea extensa.
Habitualmente se utilizan para conectar una red de rea local a una
red de rea extensa.
Son capaces de elegir la ruta ms eficiente que debe seguir un
paquete en el momento de recibirlo.
La forma que tienen de funcionar es la siguiente.
Cuando llega un paquete al router, ste examina la direccin
destino y lo enva hacia all a travs de una ruta predeterminada.
Si la direccin destino pertenece a una de las redes que el router
interconecta, entonces enva el paquete directamente a ella; en
otro caso enviar el paquete a otro router ms prximo a la
direccin destino.
Para saber el camino por el que el router debe enviar un paquete
recibido, examina sus propias tablas de encaminamiento.
Existen routers multiprotocolo que son capaces de interconectar
redes que funcionan con distintos protocolos; para ello incorporan un
software que pasa un paquete de un protocolo a otro aunque no son
soportados todos los protocolos.
Cada segmento de red conectado a travs de un router tiene una
direccin de red diferente.
Gateways (Pasarelas)
Son protocolos utilizados para interconectar redes con protocolos y
arquitecturas completamente diferentes a todos los niveles de
comunicacin. La traduccin de la unidades de informacin reduce mucho
la velocidad de transmisin a travs de estos equipos.
Sus caractersticas principales son:
Se trata de un ordenador u otro dispositivo que interconecta redes

radicalmente distintas.
Trabaja al nivel de aplicacin del modelo OSI.
Cuando se habla de pasarelas a nivel de redes de rea local, en
realidad se est hablando de routers.
Son capaces de traducir informacin de una aplicacin a otra, como
por ejemplo las pasarelas de correo electrnico.
Modems
Son equipos que permiten a las computadoras comunicarse entre si a
travs de lneas telefnicas; modulacin y demulacin de seales
electrnicas que pueden ser procesadas por computadoras. Los modems
pueden ser externos (dispositivos de comunicacin) o internos
(dispositivo de comunicacin interna o tarjeta de circuitos que se inserta
en una de las ranuras de expansin de la computadoras).
30
II. REDES VIRTUALES PRIVADAS
1. INTRODUCCION
En nuestros das, la tecnologa avanza rpidamente, esto implica que en

toda organizacin haya que considerar las tecnologas aplicadas a la
seguridad y velocidad de las redes, puesto que esto determina la
confiabilidad del paso de la informacin a travs de los dispositivos de
hardware y software conectados a una red.
Surge entonces el trmino de Red Privada Virtual (VPN), del ingls Virtual
Private Network. Que se trata de una red de comunicaciones privada
implementada sobre una infraestructura pblica tal como X.25, ATM o
Frame Relay. Este tipo de VPN es denominada de Nivel 2.
Sin embargo, la tecnologa emergente de redes privadas virtuales se basa

en los protocolos de Nivel 3 (Nivel de Red del modelo OSI), ms
especficamente en IP. Esta tecnologa busca implementar redes de
servicios privadas particionando redes pblicas o compartidas de IP,
donde la red pblica IP ms conocida y difundida mundialmente es
Internet.
2. ANTECEDENTES
Hace unos aos no era tan importante en cuestiones de trabajo conectar

usuarios a Internet, a medida que pasa el tiempo las compaas crecen y
tienen la necesidad de tener sus empresas filiales interconectadas con la
empresa matriz; para ello requieren de una tecnologa adecuada que
conecte los recursos de hardware y software de manera confiable, rpida
y segura.
Las grandes corporaciones solucionaron el problema de interconexin con

sistemas de comunicacin con lneas punto a punto y sofisticadas
instalaciones; sin embargo para las pequeas organizaciones que
contaban con recursos econmicos y tcnicos escasos, esta solucin no
estaba a su alcance.
Hoy en da, una Red Privada Virtual (VPN) permite a la empresa ampliar
de forma segura la intranet privada a travs de la infraestructura
existente de una red pblica como Internet. Necesidad vital de las
organizaciones modernas que en aos anteriores era imposible o
bastante limitado realizarlo particularmente para aquellas empresas que
tenan sucursales o filiales en diferentes zonas geogrficas y que no se
encontraban en un mismo entorno fsico en relacin a la empresa matriz.
Las redes LAN tradicionales son redes restringidas por la cual se puede
intercambiar informacin entre las computadoras sin pensar en la
seguridad de la informacin. Las VPN usan protocolos especiales que
permiten encriptar informacin y comunicar nicamente a las personas
autorizadas; desencriptar y acceder a la informacin con un identificador
31
que compruebe que la transmisin se ha echo desde una fuente

confiable.
3. POR QUE CONSTRUIR UNA RED PRIVADA VIRTUAL
Las empresas necesitan tener su informacin compartida entre sus

diversas reas; para ello tienen la necesidad de compartir los datos por
medio de redes va Internet.
Un aspecto importante a considerar en la construccin de una VPN es la

evaluacin de un producto desarrollado con herramientas Open Source
que puede ser utilizado en pequeas y medianas empresas (PYMES). As
como el emplear un producto alterno de interconexin a los ofrecidos en
el mercado, que cumpla las mismas exigencias de los existentes en el
mercado y que sea desarrollado por personal de sistemas de la misma
empresa.
Por ultimo, la reduccin de costos significativos en la empresa en el

proceso de interconexin, ya que el producto se desarrollar en la misma
empresa, los gastos de software son cero por ser software Open Source, y
la comunicacin con la red pblica (Internet) es mnima ya que se usara
una conexin a Internet.
4. DEFINICION DE UNA VPN
Una Red Privada Virtual (VPN) es una forma de compartir y transmitir

informacin entre un crculo cerrado de usuarios que estn situados en
diferentes reas geogrficas. Es una red de datos de gran seguridad que
utilizando Internet como medio de transmisin permite la transmisin de
informacin confidencial entre la empresa y sus sucursales, sus socios,
sus proveedores, sus distribuidores, sus empleados o sus clientes.
Aunque Internet es una red pblica y abierta, la transmisin de los datos
se realiza a travs de la creacin de tneles virtuales, asegurando la
confidencialidad e integridad de los datos transmitidos.
32
Figura II.4.1: Esquema de una Red VPN
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre
otra, por medio de la conexin de los usuarios de distintas redes a travs
de un "tnel" que se construye sobre Internet o sobre cualquier otra red
pblica, negociando un esquema de encriptacin y autentificacin de los
paquetes de datos para el transporte, permitiendo el acceso remoto a
servicios de red de forma transparente y segura con el grado de
conveniencia y seguridad que los usuarios conectados elijan. Las VPN
estn implementadas con firewalls, con routers para lograr esa
encriptacin y autentificacin.
Es as como las Redes Privadas Virtuales (VPN) se convierten en un

componente importante dentro de un ambiente corporativo ya que tienen
como objetivo utilizar una infraestructura de redes publicas para la
comunicacin en vez de utilizar conexiones privadas o estructuras de
acceso remoto que poseen un costo elevado, permitiendo compartir y
transmitir informacin de forma segura y confidencial entre una empresa
y sus sucursales, socios, proveedores, etc
5. CARACTERISTICAS FUNCIONALES
Para que una VPN proporcione la comunicacin que se espera, el sistema
que se implante ha de contemplar varios aspectos de funcionamiento
para determinar que ser una buena solucin.
Transparente a las aplicaciones:

Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin
afectar el correcto funcionamiento de las aplicaciones.
Confidencialidad:
Los datos que circulan por el canal slo pueden ser ledos por el emisor
y el receptor. La manera de conseguir esto es mediante tcnicas de
encriptacin.
Autentificacin:
El emisor y el receptor son capaces de determinar de forma inequvoca
sus identidades, de tal manera que no exista duda sobre las mismas.
Esto puede conseguirse mediante firmas digitales o aplicando
mecanismos desafo-respuesta.
Integridad:
Capacidad para validar los datos, esto es, que los datos que le llegan al
receptor sean exactamente los que el emisor transmiti por el canal.
Para esto se pueden utilizar firmas digitales.
No repudio:
Cuando un mensaje va firmado, el que lo firma no puede negar que el
mensaje lo emiti l.
33
Control de acceso:
Capacidad para controlar el acceso de los usuarios a distintos recursos.
Viabilidad:
Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones
de tiempo real.
6. VENTAJAS E INCONVENIENTES
VENTAJAS
Una VPN permite disponer de una conexin a red con todas las
caractersticas de la red privada a la que se quiere acceder. El
cliente VPN adquiere totalmente la condicin de miembro de esa
red, con lo cual se le aplican todas las directivas de seguridad y
permisos de un ordenador en esa red privada, pudiendo acceder a
la informacin publicada para esa red privada a travs de un
acceso pblico. Al mismo tiempo, todas las conexiones de acceso a
Internet desde el ordenador cliente VPN se realizaran usando los
recursos y conexiones que tenga la red privada.
Representa una gran solucin en cuanto a seguridad,

confidencialidad e integridad de los datos y reduce
significativamente el costo de la transferencia de datos de un lugar
a otro.
Simplifica la integracin y crecimiento de una Red ya que la VPN

provee una solucin propietaria flexible y escalable para su
implementacin y crecimiento.
Permite la integracin de diversos ambientes computacionales en

una sola red de informacin cohesiva. Esto se debe
fundamentalmente a estar basado en estndares abiertos.
Minimiza el costo de administracin y soporte de la red. Las VPN

ayudan a aumentar la productividad del personal de soporte y
administracin de la red.
Provee un punto central para la distribucin de software y updates,

manuales, etc. El browser al ser nico, reduce los costos de
entrenamiento de personal, pues emplea aplicaciones existentes o
nuevas manteniendo la misma apariencia a travs de todas las
aplicaciones.
INCONVENIENTES
Mayor carga en el cliente VPN puesto que debe realizar la tarea

adicional de encapsular los paquetes de datos, situacin que se
agrava cuando adems se realiza encriptacin de los datos; lo cual
origina que las conexiones sean mucho mas lentas.
34
Mayor complejidad en el trfico de datos que puede producir

efectos no deseados al cambiar la numeracin asignada al cliente
VPN y que puede requerir cambios en las configuraciones de
aplicaciones o programas (proxy, servidor de correo, permisos
basados en nombre o nmero IP) .
Las VPN primero deben establecer correctamente las polticas de

seguridad y de acceso.
7. ELEMENTOS PRINCIPALES DE UNA VPN
Servidor VPN
Es un servidor que se pone como gateway en la salida de Internet de la
red. Permite conectarse con otros servidores VPN generando tneles de
comunicacin seguros con otras redes o usuarios remotos,
proporcionando una conexin de acceso remoto VPN o una conexin de
enrutador a enrutador.
Cliente VPN
El cliente VPN permite la comunicacin privada virtual iniciada desde el
cliente de la red (VPN). Es en si una computadora que inicia una conexin
VPN con un servidor VPN.
Un cliente VPN o un enrutador tiene una conexin de enrutador a

enrutador a travs de una red pblica, as es como los usuarios finales
logran la comunicacin dentro de un ambiente de la empresa que
requieren una conexin segura del extremo usuario-a-anfitrin.
Tnel
Porcin de la conexin en la cual sus datos son encapsulados.
Conexin VPN
Es la porcin de la conexin en la cual sus datos son encriptados.
Para conexiones VPN seguras los datos son encriptados y encapsulados
en la misma porcin de la conexin.
Protocolos del Tnel

Se utiliza para administrar los tneles y encapsular los datos privados.
Los datos que son enviados por el tnel deben de ser encriptados para
que sea una conexin VPN.
Datos del Tnel (Tuneled Data)

Datos que son generalmente enviados a travs de un enlace VPN.
Red de Transito
La red pblica o compartida que es cruzada por los datos encapsulados.
Generalmente una red IP. La red de t rnsito debe ser Internet o una
intranet IP privada.
35
Figura II.7.1: Elementos de una VPN
8. REQUERIMIENTOS BASICOS DE LAS VPN
Por lo general, al implementar una solucin de red remota, una compaa

desea facilitar un acceso controlado a los recursos y a la informacin de
la misma. La solucin deber permitir la libertad para que los clientes
roaming o remotos autorizados se conecten con facilidad a los recursos
corporativos de la red de rea local (LAN). As como las oficinas remotas
se conecten entre si para compartir recursos e informacin (conexiones
de N).
Por ltimo, la solucin debe garantizar la privacidad y la integridad de los

datos al viajar a travs de Internet pblico. Lo mismo se aplica en el caso
de datos sensibles que viajan a travs de una red corporativa.
Por lo tanto, una VPN debe presentar los siguientes requerimiento

bsicos:
Autenticacin de usuario.
La solucin deber verificar la identidad de un usuario y restringir el
acceso de la VPN a usuarios autorizados. Adems, deber proporcionar
registros de auditoria y registros contables para mostrar quin accedi a
qu informacin, y cundo lo hizo.
Administracin de direccin.
La solucin deber asignar una direccin al cliente en la red privada, y
asegurarse de que las direcciones privadas se mantengan as.
Encriptacin de datos.
Los datos que viajan en una red pblica no podrn ser ledos por clientes
no autorizados en la red.
Administracin de llaves.
La solucin deber generar y renovar las llaves de encriptacin para el
36
cliente y para el servidor.
Soporte de protocolo mltiple.

La solucin deber manejar protocolos comunes utilizados en las redes
pblicas; stos incluyen protocolo de Internet. Una solucin de VPN de
Internet basada en un Protocolo de tnel de punto a punto (PPTP).
9. LOS 3 ESCENARIOS MS COMUNES DE VPNs
VPNs Y ACCESO REMOTO (Remote Access VPN)

La mayora de las compaas necesitan proveer acceso remoto a los
empleados. Generalmente se utiliza una conexin dial-up (DUN) del
cliente al servidor de acceso remoto (RAS) va mdems.
Para acceso remoto VPN hay que considerar: tecnologa en la Workstation

cliente, qu sucede entre el cliente y el servidor VPN, el servidor VPN y
finalmente la relacin con el usuario remoto.
El usuario remoto puede ser un empleado o individuo de menor confianza

(un consultor a partner de negocios). Usualmente, el cliente de la
Workstation estar corriendo bajo el SO Windows, pero podr ser una
estacin MAC, Linux o Unix. SOs pre W2K y Workstation que no sean
Microsoft imponen algunas limitaciones sobre los tipos de protocolos VPN
y autenticaciones que se pueden usar. Para SOs pre-Win2k se pueden
eliminar algunas de estas limitaciones haciendo un download desde
Microsoft.
Cmo accede el usuario remoto al VPN Server va Internet no es de

importancia. Pero si debe considerarse el ancho de banda apropiado para
que la conexin tenga sentido. Normalmente los proveedores de Internet
(ISP) no bloquean los protocolos que se utilizan. Slo puede haber
problemas en el caso de que el usuario remoto trate de conectarse al VPN
Server (va Internet) desde dentro de una red (un empleado visitando un
cliente o proveedor) y deba pasar un firewall. Para este tipo de
situaciones, una solucin es un http-tunnel, que permite llegar a Internet
va el puerto 80 de http y entonces establecer el tnel VPN.
Una vez que el usuario remoto "disca" al nmero IP del servidor VPN se
ingresa a la etapa de autenticacin y autorizacin. Bsicamente: quin
es usted?: Nombre de usuario y password y luego, de qu modo lo
autorizo a entrar en la red? (horario, protocolo). Toda sta infraestructura
deber ser configurara por el administrador para garantizar seguridad.
Segn el protocolo en uso y el SO en el servidor VPN y usuario remoto,

existirn diferentes modos de autenticar (passwords tradicionales,
certificados de usuario, tokens o biomtrica).
Finalmente si se desea que el usuario remoto pueda acceder a la intranet

o si se lo limitar a reas especficas. Se puede implementar esta
"restriccin" de diferentes modos: en el Server VPN, en los routers, o en
las workstations y servers usando IPSec y polticas asociadas. En
37
servidores VPN con W2K existe la posibilidad de usar Remote Acceses

Policies (RAP).
En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios

en el servidor VPN un grupo local o de dominio. Por ejemplo, si un
consultor de Oracle entra en Intranet, se restringe el acceso al servidor
correspondiente creando un grupo llamando Oracle Consultants, y se
agregan las cuentas de usuarios. Entonces mediante la consola (MMC) de
Routing and Remote Access (RRAS) se agrega una poltica de acceso
remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a la
poltica que limite el trfico del usuario remoto a destino, el servidor
Oracle.
SITE-TO-SITE VPN (VPN entre sitios)

Site-to-site conecta la LAN de una empresa que posee diferentes
ubicaciones geogrficas, para ello emplea un link VPN a travs de
Internet, reemplazando as lneas dedicadas que en general son muy
caras. Todo lo que se necesita es un servidor W2K en cada sitio
conectado a la LAN local. Este escenario no requiere autenticacin de
usuario pero s deben autenticarse los servidores VPN entre s.
Cuando se establece la conexin VPN, uno de los servidores VPN asume

el rol de cliente e inicia una conexin con otro servidor VPN. Despus de
establecida la conexin VPN, los usuarios de cada sitio pueden conectarse
a los servidores como si estuvieran en la misma red local.
Cmo saben los servidores VPN que cada uno es autntico y no un

impostor? De acuerdo con el protocolo y el SO instalado en los servidores
VPN, se puede basar la autenticacin site-to-site en contraseas
asociadas con cuentas de usuario creadas para cada servidor, en llaves
secretas pre-acordadas o en certificados para cada mquina emitidos por
una autoridad certificadora (CA, Certificate Authority).
EXTRANET VPN
Permite conectar la red de una empresa con uno o ms "partners". Este
escenario es muy similar a site-to-site aunque existen pequeas
diferencias. Bsicamente la confianza entre ambas partes es diferente. Se
permitir a una sucursal acceder a todos los recursos de la red
corporativa (site-to-site), pero es posible limitarlos para un partner.
Normalmente se los restringir a slo unos cuantos servidores de la red.
Con el tipo de restriccin ya descriptos en Remote Access, podemos
solucionar el problema.
La segunda diferencia con site-to-site es que muy probablemente nuestro

"partner" use una solucin VPN diferente. Aparece aqu un problema de
interoperabilidad a resolver. Para ello, se deber atender, por ejemplo, a
qu protocolos se usan en ambas soluciones VPNs y a qu tipo de
autenticacin se usar.
38
10. TOPOLOGIAS DE VPN
Existen muchos tipos de topologas de VPN que pueden adecuarse a las

necesidades de una organizacin o se adaptan a una configuracin de red
ya existente.
Estas topologas pueden ser definidas a travs de acceso remoto (por

ejemplo, una laptop tratando de acceder a un servidor de su
organizacin), conexin entre dos LANs (Local Area Network), a travs de
Intranet e Extranet, utilizando una tecnologa Frame Relay e ATM, VPN
con Black-Box, VPN utilizando NAT (Network Address Translation).
Examinaremos ahora como funcionan algunas de las topologas de VPN

mas usadas.
TOPOLOGA DE VPN UTILIZANDO ACCESO REMOTO (firewall -

cliente)
Este tipo de VPN es el mas comn y mas usado en nuestros tiempos.
Nace de la necesidad de un cliente externo que se necesita conectarse a
la red interna de una organizacin. Para que esto sea posible, la
organizacin precisar tener un firewall instalado conteniendo los
softwares necesarios para implementar a VPN. El cliente tiene que tener
tambin instalado un software de criptografa compatible con los software
del firewall.
La comunicacin ocurre cuando el cliente necesita de una comunicacin

confidencial con la organizacin, y sin embargo no se encuentre
localizado dentro de la empresa, o tal puede surgir si el cliente necesita
acceder al servidor de organizacin a partir de una red externa.
La figura inferior ilustra como se establece este tipo de comunicacin.
Figura II.10.1: VPN de acceso remoto
39
Los pasos siguientes describen el proceso de comunicacin entre el

equipo porttil y
el firewall de la organizacin:
El usuario con el equipo porttil marca a su PSI local y establece una

conexin PPP.
El equipo porttil solicita las claves del dispositivo del firewall.
El firewall responde con la clave apropiada.
El software VPN instalado en el equipo porttil ve la solicitud echa por
el usuario del equipo porttil, cifra el paquete y lo enva a la direccin
IP publica de el Firewall.
El firewall le quita la direccin IP, descifra el paquete y lo enva al
servidor al que ha sido direccionado dentro de la LAN local.
El servidor interno procesa la informacin recibida, responde a la
solicitud y enva el documento de regreso.
El firewall examina el trafico y reconoce que es informacin de tnel
VPN as que toma el paquete, lo cifra y lo enva al equipo porttil.
La pila de VPN en el equipo porttil ve el flujo de datos, reconoce que
viene del dispositivo firewall, descifra el paquete y lo maneja en
aplicaciones de niveles.
Figura II.10.2: Diagrama de acceso remoto
TOPOLOGA DE VPN LAN-TO-LAN

Este tipo de topologa es la segunda mas utilizada, se usa cuando es
necesario comunicar dos redes locales separadas geogrficamente. Las
LANs pueden estar operando en diferentes plataformas como, por
ejemplo, un firewall UNIX de un lado y un firewall NT del otro.
Ellos pueden estar usando softwares de VPN diferentes, mas tienen que
estar usando el mismo algoritmo de criptografa y estar configurados
para saber que cuando ocurre algn trfico para uno u otro firewall, este
tiene que ser criptografiado.
40
Podemos observar en la figura inferior como se da el acceso entre dos

redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de
un archivo da LAN NT que ser transmitido por FTP (File Transfer
Protocol).
El usuario de la LAN UNIX intenta conectarse a travs de una aplicacin

FTP con un servidor LAN NT.
El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El
paquete es cifrado y se enva hacia una direccin IP pblica de el
firewall LAN NT.
Este firewall acepta y descifra el paquete y enva para o servidor al que

se le ha enviado la informacin.
Este responde y devuelve o paquete en forma de texto para o firewall da

LAN NT.
Este a su vez cifra el paquete y enva la informacin hacia el firewall da
LAN UNIX que descifra y transmite la informacin para el usuario que
solicito el requerimiento
Figura II.10.3: diagrama de VPN LAN
TOPOLOGIA DE VPN UTILIZANDO NAT

(Network Address Translation) Traduccin de Direcciones de Nombres es
el proceso de cambiar una direccin IP de una organizacin (una direccin
privada de la organizacin) por una direccin IP pblica enrutable, es
decir poseen la capacidad para esconder las direcciones privadas de una
organizacin.
Entretanto, el NAT interfiere directamente en la implementacin de la

VPN, pues cambia la direccin IP a la hora que el paquete de datos sale
de la red interna. La utilizacin de NAT no resulta complicado, pero la
ubicacin del dispositivo VPN es importante.
La figura inferior ilustra el proceso
41
Figura II.10.4: Diagrama VPN con NAT

Los pasos siguientes describen el proceso de comunicacin de entrada y
salida con un dispositivo NAT
Cuando un paquete precisa salir de la red interna, este es enviado

hacia el firewall implementado con NAT. Este por primera vez, cambia
la direccin IP enrutable
El firewall implementado con NAT reenva el paquete al dispositivo

VPN que realiza el proceso de cifrado del paquete.
El paquete es enviado hacia el enrutador externo que sea transmitido

a su destino.
Cuando un paquete quiere entrar a una red interna debe primero

dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego
este paquete es ruteado hacia el firewall implementado con NAT que
cambia la direccin IP por el nmero original, este es enviado hacia el
ruteador interno para ser dirigido hacia su destino.
ANALISIS DE PROTOCOLOS
Los conocimientos que fundamentan a una VPN son una criptografa y
un tunelamiento. Una criptografa se utilizada para garantizar la
autentificacin, onfidencialidad e integridad de las conexiones y es la
base para la seguridad de las redes; mas el tunelamiento es el
responsable por el encapsulamiento y transmisin de los datos sobre una
red publica entre dos puntos distintos.
Dentro del mercado existen diversos protocolos que nos proporcionan

este servicio y que difieren entre si dependiendo del nivel del modelo
ISO/OSI donde actan, de la criptografa utilizada y de como influye
directamente el nivel de seguridad en el acceso remoto VPN.
CARACTERSTICAS BASICAS DE UN ANLISIS DE SEGURIDAD:

Las caractersticas bsicas de un anlisis de seguridad de los principales
protocolos utilizados actualmente para acceso remoto VPN en
plataformas ya sea Windows Linux o Unix son las siguientes:
42
POINT-TO-POINT TUNNELING PROTOCOL (PPTP)

Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por
ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation,
Microsoft, y ECI Telematics para proveer una red privada virtual entre
usuarios de acceso remoto y servidores de red.
Como protocolo de tnel, PPTP encapsula data gramas de cualquier

protocolo de red en data gramas IP, que luego son tratados como
cualquier otro paquete IP. La gran ventaja de este tipo de
encapsulamiento es que cualquier protocolo puede ser ruteado a travs
de una red IP, como Internet.
43
La idea bsica de PPTP es la de dividir las funciones de acceso remoto de

tal modo que las personas de las empresas pudiesen utilizar una
infraestructura de Internet
VXpara proveer una conectividad segura entre clientes remotos y redes
privadas, es por eso que PPTP provee un mecanismo para tunelamineto
de trafico PPP (Point to Point Protocol ) sobre redes IP.
Figura II.10.5: Diagrama del Protocolo PPTP
El PPTP es un protocolo de red que permite el trfico seguro de datos

desde un cliente remoto a un servidor corporativo privado,
establecindose as una Red Privada Virtual (VPN) basada en TCP/IP. PPTP
soporta mltiples protocolos de red (IP, IPX y NetBEUI) y puede ser
utilizado para establecer dichas redes virtuales a travs de otras redes
pblicas o privadas como lneas telefnicas, redes de rea local o extensa
(LAN's y WAN's) e Internet u otras redes pblicas basadas en TCP/IP.
Una red privada virtual consiste en dos mquinas (una en cada "extremo"
de la conexin) y una ruta o "tnel" que se crea dinmicamente en una
red pblica o privada. Para asegurar la privacidad de esta conexin los
datos transmitidos entre ambos ordenadores son encriptados por el Point-
to-Point protocolo (PPP), un protocolo de acceso remoto, y posteriormente
enrutados o encaminados sobre una conexin previa tambin remota,
LAN o WAN, por un dispositivo PPTP.
La tcnica de encapsulamiento de PPTP se basa en el protocolo Generic

Routing Encapsulation (GRE), que puede ser usado para realizar tneles
para protocolos a travs de Internet. La versin PPTP, denominada
GREv2, aade extensiones para temas especficos como Call Id y
velocidad de conexin.
El paquete PPTP est compuesto por un header de envo, un header IP, un
44
header GREv2 y el paquete de carga. El header de envo es el protocolo

enmarcador para cualquiera de los medios a travs de los cuales el
paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene
informacin relativa al paquete IP, como es, direcciones de origen y
destino, longitud del data grama enviado, etc.
El header GREv2 contiene informacin sobre el tipo de paquete

encapsulado y datos especficos de PPTP concernientes a la conexin
entre el cliente y servidor. El paquete de carga es el paquete
encapsulado, que en el caso de PPP, el data grama es el original de la
sesin PPP que viaja del cliente al servidor y que puede ser un paquete IP,
IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del
encapsulamiento PPTP.
Para la autenticacin, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y

acepta cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo
de autentificacin por reto), standard en el que se intercambia un
"secreto" y se comprueba ambos extremos de la conexin coincidan en el
mismo, se utiliza la contrasea de Windows NT, en el caso de usar este
sistema operativo, como secreto. MS-CHAP es un standard propietario de
Microsoft y resulta ser una ampliacin de CHAP. Para la tercer opcin, el
servidor RAS aceptar CHAP, MS-CHAP o PAP (Password Autenthication
Protocol), que no encripta las contraseas. Para la encriptacin, PPTP
utiliza el sistema RC4.
LAYER TWO TUNNELING PROTOCOL (L2TP)

Layer Two Tunneling Protocol es una extensin del PPTP (Point-to-Point
Protocol), que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F
de Cisco. Los dos componentes principales del L2TP son: El LAC (L2TP
Access Concentrator), que es el dispositivo que fsicamente termina una
llamada; y el LNS (L2TP Network Server), que es el dispositivo que
autentifica y termina el enlace PPP. L2TP utiliza redes conmutadas de
paquetes para hacer posible que los extremos de la conexin estn
ubicados en distintas computadoras.
El usuario tiene una conexin L2 al LAC, el cual crea el tnel de paquetes

PPP. As, los paquetes pueden ser procesados en el otro extremo de la
conexin, o bien, terminar la conexin desde un extremo. L2TP soporta
cualquier protocolo incluyendo IP, IPX y AppleTalk, as como tambin
cualquier tecnologa de backbone WAN, incluyendo Frame Relay, modos
de transferencia asncrono ATM, X.25 y SONET.
45
Figura II.10.6: Diagrama del Protocolo L2TP
46
IP SECURITY IPSec (Internet Protocol Security)

IPSec es un conjunto de extensiones al protocolo IP. Es un estndar de la
IETF (Internet Engineering Task Force) definido en el RFC 2401. Provee
servicios de seguridad como autenticacin, integridad, control de acceso
y confidencialidad. Es implementado en la capa de Red, de tal forma que
su funcionamiento es completamente transparente al nivel de
aplicaciones, y es mucho ms poderoso. IPSec provee un mecanismo
estndar, robusto y con posibilidades de expansin, para proveer
seguridad al protocolo IP y protocolos de capas superiores.
Figura II.10.7: Diagrama del Protocolo IPSec
La arquitectura de IPSec define la granularidad con la que el usuario

puede especificar su poltica de seguridad. Permite que cierto trfico sea
identificado para recibir el nivel de proteccin deseado.
Figura II.10.8: Diagrama de funcionamiento de IPSec
47
IPSec est diseado para proveer seguridad interoperable de alta calidad

basada en criptografa, tanto para IPv4 como para IPv6 [RFC2401, 1998].
Est compuesto por dos protocolos de seguridad de trfico: el
Authentication Header (AH) y el Encapsulating Security Payload (ESP),
adems de protocolos y procedimientos para el manejo de llaves
encriptadas. AH provee la prueba de los datos de origen en los paquetes
recibidos, la integridad de los datos, y la proteccin contra-respuesta.
ESP provee lo mismo que AH adicionando confidencialidad de datos y de
flujo de trfico limitado.
En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el

mecanismo de AH se aplican algoritmos de autenticacin, con la
aplicacin del mecanismo ESP, adems de autenticacin, tambin
algoritmos de encriptacin. El esquema de interoperabilidad se maneja a
travs de Asociaciones de Seguridad (SA), almacenadas en una base de
datos. Los parmetros que se negocian para establecer los canales
seguros se denominan Dominio de Interpretacin IPSec (Domain of
Interpretation, DOI), bajo polticas pre-establecidas dentro de un esquema
de funcionamiento esttico con valores fijos y previamente establecidos,
o bien, en un esquema de funcionamiento dinmico utilizando un
protocolo de manejo de llaves, Interchange Key Exchange (IKE).
Figura II.10.9: Diagrama de la Arquitectura IPSec
48
MODOS DE FUNCIONAMIENTO DE IPSEC.

El diseo de IPSec plantea dos modos de funcionamiento para sus
protocolos: el de transporte y el de tnel, la diferencia radica en la unidad
que se est protegiendo, en modo transporte se protege la carga til IP
(capa de transporte), en modo tnel se protegen paquetes IP (capa de
red) y se pueden implementar tres combinaciones: AH en modo
transporte, ESP en modo transporte, ESP en modo tnel (AH en modo
tnel tiene el mismo efecto que en modo transporte).
El modo transporte se aplica a nivel de hosts. AH y ESP en este modo

interceptarn los paquetes procedentes de la capa de transporte a la
capa de red y aplicarn la seguridad que haya sido configurada. En la
figura siguiente se aprecia un esquema de IPSec en modo transporte, si la
poltica de seguridad define que los paquetes deben ser encriptados, se
utiliza ESP en modo transporte, en caso que solo haya sido requerida
autenticacin, se utiliza AH en modo transporte.
Figura II.10.5: Modos de funcionamiento de IPSEC
Los paquetes de la capa de transporte como TCP y UDP pasan a la capa

de red, que agrega el encabezado IP y pasan a las capas inferiores.
Cuando se habilita IPSec en modo transporte, los paquetes de la capa de
transporte pasan al componente de IPSec (que es implementado como
parte de la capa de red, en el caso de sistemas operativos), el
componente de IPSec agrega los encabezados AH y/o ESP, y la capa de
red agrega su encabezado IP.
En el caso que se apliquen ambos protocolos, primero debe aplicarse la

cabecera de ESP y despus de AH, para que la integridad de datos se
aplique a la carga til de ESP que contiene la carga til de la capa de
transporte
Figura II.10.6: Cabeceras de IPSec
49
El modo tnel se utiliza cuando la seguridad es aplicada por un

dispositivo diferente al generador de los paquetes, como el caso de las
VPN, o bien, cuando el paquete necesita ser asegurado hacia un punto
seguro como destino y es diferente al destino final. Como se ilustra en la
figura inferior, el flujo de trfico es entre A y B, e IPSec puede aplicarse
con una asociacin de seguridad entre RA y RB, o bien una asociacin de
seguridad entre A y RB.
Figura II.10.7: Flujo de paquetes
IPSec en modo tnel, tiene dos encabezados IP, interior y exterior. El

encabezado interior es creado por el host y el encabezado exterior es
agregado por el dispositivo que est proporcionando los servicios de
seguridad. IPSec encapsula el paquete IP con los encabezados de IPSec y
agrega un encabezado exterior de IP. IPSec tambin soporta tneles
anidados, aunque no son recomend ados por lo complicado de
su construccin, mantenimiento y consumo de recursos de red.
Figura II.10.8: Encabezados IP en modo tunel
OTRAS SOLUCIONES
La mayora de los cortafuegos y "routers" disponen de capacidades VPN.
En muchos casos se trata de soluciones propietarias, aunque la mayora
han migrado -o lo estn haciendo- a IPSec, otras posibilidades son:
Secure shell (SSH)

Protege conexiones TCP mediante criptografa (a nivel de OSI de
presentacin, no a nivel de transporte o inferiores). Protege por tanto,
conexin a conexin.
CIPE Crypto Encapsulation

Encapsula datagramas IP dentro de UDP. De momento slo est
disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de
un proyecto en curso, bastante interesante.
RFC 1234 : Tunneling IPX Traffic through Networks

Encapsulado de datagramas IPX (Novell Netware) sobre UDP.
RFC 2004: Minim al Encapsulation within IP

En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica
50
el datagrama original y le aade informacin para deshacer los cambios.

El protocolo IP asociado es el 55.
III. EL PROBLEMA
El Grupo Santo Domingo se encuentra ubicado en la ciudad de Lima,
cuenta con dos sucursales, una en la ciudad de Arequipa y otra en la
ciudad de Trujillo. Dichas dependencias manejan la informacin de
manera individual y aislada de la empresa matriz, y para el proceso de
sus datos no consideran las aplicaciones cliente servidor - usadas
actualmente por la empresa central- sino que mas bien, emplean una
aplicacin antiguamente desarrollada por la sede principal.
De esta manera, el Sistema Integrado de la empresa demanda

mensualmente gastos necesarios para centralizar toda la informacin en
Lima, debido a que existen reas y procesos que requieren la data
completa de la empresa -central y sus dependencias-, por citar las reas
de contabilidad, tesorera y finanzas, recursos humanos, etc. Lo que
demanda que se este incurriendo en gastos de envo en material de
transporte, y se incremente el costo horas hombre para el reproceso de
la informacin al Sistema.
Debido a esto y a la necesidad de tener un control de las actividades de

sus sucursales surge la necesidad de establecer una conexin (un medio
de transmisin seguro) entre la sede central y sus sucursales, para que
se pueda utilizar las aplicaciones cliente - servidor entre dichas
dependencias evitando con ello un doble trabajo y el incurrir en
sobrecostos que generen el mantener la informacin de la empresa de
forma separada y descentralizada.
1. ALTERNATIVAS DE SOLUCIN
SOLUCIN 1
Utilizar un proveedor de servicios de comunicacin para facilitar el medio

de transmisin y los equipos necesarios para interconectar ambas
oficinas.
En esta alternativa se contact con Telefnica del Per para averiguar los
servicios que brinda en interconexin de redes con servicio ADSL. En
respuesta, Telefnica del Per nos ofrece un servicio de enlace entre Lima
y Trujillo (servicio speedy wan) que utiliza tecnologa ADSL, con
velocidad de transmisin de 128/256 kbps.
Con una garanta de un 30% y cuyos costos son:
Inversin Inicial $ 559 dlares

Inversin Mensual $ 472 dlares
51
Los precios no incluyen I.G.V.
Nota: La inversin inicial implica la compra de los equipos MODEM Router

y la instalacin.
52
SOLUCIN 2
Utilizar un proveedor que nos facilite el medio de transmisin y contratar

personal especializado para la instalacin y configuracin de los
dispositivos e instalacin de software que hagan posible la interconexin.
Para esta alternativa se debe considerar que la Cooperativa cuenta con

una lnea dedicada de 128 kbps. arrendada a la empresa AT&T, por lo
cual el costo de acceso a Internet por parte de Lima no se considera.
Se contact con Telefnica del Per para averiguar por el servicio con
tecnologa ADSL de acceso a Internet en Trujillo incluyendo el uso de una
IP fija. En respuesta, Telefnica de Per nos ofrece un servicio de Internet
en Trujillo (servicio speedy plus) que utiliza tecnologa ADSL, con
velocidad de transmisin de 128 kbps.
Los costos son:

Adems se contact con la empresa HAMTECH para que cotice el servicio

de instalacin y configuracin de los dispositivos que hagan posible la
interconexin entre Lima y Trujillo (Firewall / VPN) entregndonos la
siguiente cotizacin:
Pago Inicial $ 900 dlares

Pago Adicional $ 60 dlares
El pago adicional es por la configuracin de cada servidor adicional.
Los precios incluyen I.G.V.
Adems se contact con la empresa SoftLinux para que cotice el servicio

de instalacin y configuracin de los dispositivos que hagan posible la
interconexin entre Lima y Trujillo (Firewall / VPN) entregndonos la
siguiente cotizacin:
Pago Inicial $ 1100 dlares

Pago soporte $ 90 dlares
El pago adicional es por la configuracin de cada servidor adicional.
Los precios incluyen I.G.V.
53
SOLUCIN 3
Utilizar un proveedor que nos facilite el medio de transmisin e
implementar el servicio de interconexin (VPN) dentro del rea de
Sistemas de la Cooperativa (instalacin y configuracin de los
dispositivos).
En esta alternativa se tiene que indicar que la Cooperativa cuenta con

una lnea dedicada de 1 Mbps arrendada a la empresa AT&T, por lo cual
el costo de acceso a Internet por parte de Lima no se considera.
Para el acceso a Internet en Trujillo se contact con Telefnica del Per

para averiguar por el servicio con tecnologa ADSL incluyendo el uso de
una IP fija. En respuesta, Telefnica del Per nos ofrece un servicio de
Internet en Trujillo (servicio speedy plus) que utiliza tecnologa ADSL, con
velocidad de transmisin de 128/256 kbps. y cuyos costos son:

En cuanto al servicio de instalacin y configuracin de los dispositivos

que hagan posible la interconexin entre Lima y Trujillo, stos se
realizarn por el personal de Sistemas de la Cooperativa .
2. VENTAJAS Y DESVENTAJAS DE LAS ALTERNATIVAS DE

SOLUCIN
SOLUCIN 1
VENTAJAS
El enlace de comunicacin considerado en esta alternativa es

totalmente dedicado a la VPN, es decir, no se comparte dicho medio
de comunicacin con el acceso a Internet de la Cooperativa.
El soporte es responsabilidad de Telefnica del Per.
Los dispositivos (Hardware) utilizados en esta solucin son menos
propensos a ataques y no necesitan mantenimiento ni supervisin
continua.
DESVENTAJAS
Ya que speedy es un servicio nuevo, pueden existir fallas en la conexin.

Si queremos realizar otra conexin VPN con Lima (LIMA AREQUIPA)
esta tendra un coso similar para la implementacin de la otra VPN.
SOLUCIN 2
54
VENTAJAS
Los servidores se instalan por medio del software y son mucho ms

verstiles en cuanto a su funcionalidad.
La configuracin de la VPN est a cargo de personal especializado.
Se hace uso de la conexin dedicada de AT&T de la Cooperativa para
la interconexin de la VPN.
DESVENTAJAS
En la configuracin de la VPN se depende de un proveedor externo.

El servicio de VPN comparte el ancho de banda con el acceso a Internet
de la Cooperativa.
Ya que speedy es un servicio nuevo, pueden existir fallas en la
conexin.
SOLUCIN 3
VENTAJAS
Los servidores se instalan en software y son mucho ms verstiles en

cuanto a su funcionalidad.
Se hace uso de la conexin dedicada de AT&T de la Cooperativa para la
interconexin de la VPN.
Se hace uso de una lnea de telefnica con 128/256 kbps
asegurndonos un 30% lo cual nos proporciona un ancho de banda
considerable para utilizar las aplicaciones.
El personal que realiza la configuracin de los equipos es personal del
rea de Sistemas por lo que el soporte estar disponible en la
Cooperativa.
DESVENTAJAS
La configuracin de los equipos puede tardar un poco mas por las

pruebas a realizar.
Ya que speedy es un servicio nuevo, pueden existir fallas en la
conexin.
CUADRO COMPARATIVO DE LAS TRES SOLUCIONES
Pago Inicial ($) Pago Mensual ($)

Solucin 1 559 472
Solucin 2 (*) 789 204
Solucin 3 279 204
De la alternativa 2 se eligi la propuesta mas econmica
55
697.2
$700.00
$600.00 559
$500.00 472
$400.00
Solucion 1
$300.00 279
Solucion 2
204204
$200.00 Solucion 3
$100.00
$0.00
Pago Inicial Pago
Mensual
Figura III.2.1: Grfico de costos
CONCLUSIN
En conclusin, la alternativa elegida para la interconexin segura entre
las redes de localidades distintas (Lima - Trujillo y posteriormente
Arequipa - Lima) utilizando Internet como medio de enlace que se
acomode a nuestras necesidades, en cuanto a costo, seguridad y
confiabilidad de comunicacin, es la solucin 3.
De este modo se efectuar la implementacin de la solucin 3 con un
producto Open Source que nos proporcione flexibilidad ya que al
desarrollase por la misma rea de sistemas se va a poder personalizar y
diversificar de a cuerdo a nuestras necesidades, el costo, que por ser un
producto Open Source nos minimiza el gasto en la adquisicin de un
producto vendido por terceros, y por ultimo la seguridad, que es lo que se
busca en el intercambio de informacin en una organizacin.
56
3. ESQUEMA DE RED ANTIGUA SUCURSAL - AREQUIPA
Figura III.3.1: Esquema Arequipa
57
4. ESQUEMA DE LA RED ANTIGUA SUCURSAL TRUJILLO
Figura III.4.1: Esquema trujillo
58
5. ESQUEMA DE LA RED ANTIGUA DE LIMA
Figura III.5.1: Esquema Lima
59
6. ARQUITECTURA A UTILIZAR
Basado en la idea de colocar un servicio de VPN creado por la misma rea

de sistemas. Se determin la construccin de una VPN con arquitectura
combinada, es decir, con arquitectura VPN/FIREWALL y basadas en
software, ya que la VPN y el firewall se construyen de manera conjunta en
el mismo PC; y estn desarrollados bajo software libre, brindando una
mayor facilidad de instalacin y configuracin ya que el producto VPN
esta desarrollado por el personal de sistemas de la empresa, el cual
conoce sus caractersticas y comportamiento. Adems proporciona un
menor costo de implementacin e implantacin ya que los insumos son
proporcionados por la misma empresa y la mano de obra esta dada por el
personal de sistemas.
TOPOLOGIA A UTILIZAR
Utilizaremos la topologa LAN a LAN, este tipo de topologa la usaremos
por que vamos a conectar dos redes locales separadas geogrficamente
desde Lima a Trujillo y desde Lima a Arequipa.
Este tipo de topologa es la segunda ms comnmente utilizada pues se

ajusta a la solucin de los problemas de interconexin de la empresa. Se
interconectar las oficinas separadas geogrficamente creando un tnel
PVN entre ambos; utilizando un firewall basado en Linux, en cada punto
de la interconexin para ser capaces de comunicarse entre s.
EQUIPOS UTILIZADOS EN LA IMPLEMENTACION DE LA VPN

Para la implementacin de VPN hacia Arequipa se utilizara una PC que
acte como VPN firewall en Lima y una PC para que trabaje como VPN
firewall en Arequipa.
Asimismo para la intercomunicacin con Trujillo se utilizara el Firewall VPN

que esta en Lima, colocndose una PC en Trujillo para que trabaje como
firewall VPN. Estos equipos tanto Lima Arequipa y Trujillo poseen las
mismas caractersticas, detalladas a continuacin:
CPU Compatible
PROCESADOR Amd K6 2 300 Mhz
MEMORIA 64 Mb de Ram
DISCO DURO 3 Gb
TARJETA DE RED Dos Tarjetas Dlink 538 TX
Adems se utilizara un teclado y mouse, para el correcto funcionamiento

de la PC. El monitor solo ser necesario a la hora de la instalacin ya que
despus la PC podr ser administrada y monitoreada por el software
PUTTY que trabaja por el puerto 23 y usa SSL
Cabe indicar que las tres CPU utilizadas en la construccin de la VPN que
interconectar Lima con Arequipa y Trujillo son de propiedad de la
empresa mantenidas como maquinas de reserva en el almacn sin uso
60
inmediato, lo que no consistir en una inversin efectiva.
PRODUCTO UTILIZADO PARA LA REALIZACION DE LA VPN

Dentro de la eleccin del producto a utilizar para la realizacin de la VPN
que interconecte las sucursales de Arequipa y Trujillo con la central en
Lima se ha escogido la herramienta CIPE debido a que nosotros
trabajaremos con el sistema operativo gratuito LINUX y en l tenemos
disponible este producto. Adems CIPE apoya el cifrado usando de los
algoritmos estndares del cifrado de Blowfish o de IDEA. Siendo
algoritmos de cifrado muy seguros y no fciles de crackear. Cabe
tambin mencionar que CIPE es software, cualquier mquina por ms
antigua que sea puede convertirse en una entrada de CIPE, ahorrando
para la organizacin el tener que comprar el hardware dedicado y costoso
de VPN para conectar dos LANs con seguridad.
CIPE se desarrolla activamente para trabajar conjuntamente con iptables,

ipchains, y otras reglas basadas en firewall. El punto de aceptacin de los
paquetes UDP entrantes de CIPE toda ves que sea necesario la
coexistencia con reglas de firewall existentes. La configuracin de CIPE se
hace a travs de archivos del texto, permitiendo que los administradores
configuren a sus servidores y a clientes de CIPE remotamente sin la
necesidad de las herramientas grficas abultadas que pueden necesitar
una mayor necesidad de hardware
7. PAQUETE DE ENCRIPTACIN IP
CAPAS Y CIFRADO DE RED

Existen diversos lugares en donde el encriptacin se puede construir dentro de una
infraestructura de red existente, correspondientemente a los protocolos de las
diferentes capas
En el nivel de Red: Los paquetes que viajan entre los hosts en la red son
encriptados. El motor de encriptacin se coloca cerca del driver que enva y recibe
los paquetes. Una implementacin se encuentra en CIPE.
En el nivel de Socket: Una conexin lgica entre los programas que funcionan en
diversos hosts (conexin TCP; capa de transporte o de sesin en OSI) es encriptada.
El motor de encriptacin intercepta o procura conexiones. SSH y el SSL trabajan
esta manera.
En el nivel de Aplicacin: Las aplicaciones contienen su propio motor del cifrado
y cifran los datos ellos mismos. El mejor ejemplo sabido es PGP para cifrar correo.
El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que
puede ser hecho para trabajar de manera transparente, sin ningn cambio a la
aplicacin software. En el caso de los paquetes de encriptacin IP, este puede ser
construido dentro de los routers IP que actan generalmente como "cajas negras"
entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los
routers. Un router de encriptacin se ve de manera tan exacta como un host que no
cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada
as en lugares donde no sean factibles los cambios de software a niveles ms altos.
61
El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en
un nivel ms alto, por ejemplo. usos de Troyanos, bug exploit dentro del software
del sistema o administradores pillos "sniffers" en los dispositivos terminales.
ENCAMINAMIENTO DEL IP Y REDES PRIVADAS VIRTUALES

Una red privada virtual (VPN) es una red que pertenece a una organizacin, que
usa su propio rango de direcciones, pero sobrepuesta en una infraestructura de red
existente. Esto permite construir un tnel IP-IP basados en IP - VPNs encima de
otras redes basadas en IP, tales como el Internet. Este tnel de cifrado previene
contra ataques pasivos (sniffing) y activos (inyeccin de mensajes falsificados)
contra la red del portador. La red del portador considera solamente datos cifrados.
Dependiendo de la eleccin del protocolo, toda la informacin que los paquetes
originales llevan pueden ser encriptados. Esto incluye no solamente los datos reales
(de la carga til) sino tambin las cabeceras TCP/IP, no saliendo de ellos ningn
rastro en cuanto a que direcciones y los servicios que realmente se utilizan. Los
ataques del anlisis de trfico, con los que se procura ganar la informacin til de
afuera sniffing (quin entra en contacto con quin), se hacen irrealizables. Una
tcnica an ms sofisticada para frustrar anlisis de trfico es la que emplea la
inyeccin de los paquetes simulados en la red, los cuales no lleve ninguna
informacin til, (en el nivel del portador) indistinguibles de los paquetes de la data
real.
El encaminamiento IP en una situacin de VPN consiste en el encaminamiento de
la red del portador, que en la mayora de las situaciones se ajusta una disposicin
estndar de Internet. Esto es ms fcil cuando el rango de direccin del portador y
de VPN no se traslapan de ninguna manera. Es comn para VPNs utilizar las
gamas de direccin 10.0.0.0/8 y 192.168.0.0/16, que no son parte del Internet y
nunca estn en conflicto as con el encaminamiento real del Internet: cualquier
direccin en esta gama debe ser local a la organizacin.
Los estndares de IPSEC definen un conjunto de protocolos que se pueden utilizar
(entre otras cosas) para construir VPNs cifrado. Sin embargo, IPSEC es algo
pesado y un protocolo complicado de configuracin con muchas opciones, las
puestas en prctica del sistema completo del protocolo todava se utilizan raramente
y algunas ediciones (manejo de llaves dinmicas) todava no se resuelven
completamente. CIPE utiliza un acercamiento ms simple, donde muchas cosas que
pueden ser parametrizadas (como escoger la actual encriptacin del algoritmo
usado) son una opcin de visualizacin fijada. Esto limita flexibilidad pero permite
una implementacin simple. (y por lo tanto eficiente, fcil eliminar errores...)
CMO CIPE TRABAJA

CIPE encapsula datagramas encriptados IP en datagramas UDP y los enva va el
mecanismo UDP normal. Esto es diferente para estndares de encriptacin IP - IP.
El UDP fue elegido porque esta manera muchos puntos finales se puede distinguir
fcilmente por nmeros de puertos; porque un nmero del protocolo IP autorizara
un registro formal; y porque la direccin de los datagramas UDP es ms fcil
manejarlo que usando un nmero separado del protocolo IP, especialmente en
disposiciones firewall. Especficamente, el UDP puede ser manejado por
aplicaciones de nivel de usuarios tales como con una capa SOCKS5. (es un proxy
de la capa de red tcp y udp para prcticamente todos los protocolos)
Un enlace CIPE conecta siempre exactamente dos puntos finales. De muchas
maneras, el acoplamiento trabaja como un enlace terminal de marcado manual del
62
PPP. Actualmente, cada enlace tiene su propia llave secreta de 128-bit que tiene que
ser reconocida por ambos extremos (y nadie mas). Esta llave de enlace (llamada
llave esttica en la descripcin del protocolo) se utiliza para negociar una llave
dinmica con frecuencia cambiante, que cifra los datos reales.
COMPONENTES DEL SOFTWARE CIPE

El paquete de CIPE consiste en un mdulo ncleo y un programa controlador. El
mdulo ncleo hace el direccionamiento del paquete IP: enviando y recibiendo los
paquetes, encapsulacin e incluyendo la encriptacin. Este implementa un
dispositivo de red virtual en ejecucin que se maneje como cualquier otro
dispositivo de red. La configuracin y el proceso de intercambio de llaves son
hechos por el programa ciped a nivel de usuario.
ciped se comportan algo similar a pppd. En particular, abrir y el cerrar del
dispositivo CIPE se desarrolla al comenzar y a terminar el proceso ciped (uno por
dispositivo).
NOTAS INTERNAS
El mdulo consiste en un driver de salida, un driver de entrada, las rutinas de la
encapsulacin y un poco de cdigo para mantenerla toda junta. El driver de salida
es en gran parte una versin adaptada new_tunnel de la distribucin de Linux. En
Linux 2.0 el envo de paquetes se hace va el motor del IP forwarding del ncleo.
Esto implica que (a) el forwarding se debe permitir en el ncleo y (b) los paquetes
cifrados, siendo paquetes UDP deben contener las direcciones de origen/destino
dadas como "m" y "peer", chequeadas en el forwarding del firewall(as como la
salida). (si no trabaja para usted, primero cercirese de que sus reglas del firewall
dejen los pasar paquetes!)
El driver de entrada es una adaptacin del receptor del ncleo UDP. Para activarlo,
ciped tiene que configurar el socket en un modo especial con una llamada ioctl.
Esto tiene que ser conectado al socket UDP. La llamada ioctl_attach(2cipe)
substituye las operaciones sendto(2) y recvfrom(2) del socket con las versiones
especiales que hacen la encriptacin del trfico interno y solamente pasen los
bloques de intercambio de llave a la capa del usuario. El trabajo del conjunto de
encriptacin y ruteo de entrada de trafico esta hecho dentro del bloque recvfrom(2).
Esto significa que un forwarding normal IP no deseado, es llamado desde el modo
usuario y el tiempo necesario de CPU est cargado en el proceso ciped, aunque los
datos nunca pasan en modo usuario. sendto(2) codifica el bloque como un bloque
de llaves de intercambio y lo enva al per. El socket no debe utilizar read(2)
write(2), select(2) o modo nonblocking (con todo).
Antes de unir el socket, los parmetros operacionales del dispositivo tienen que
estar configurados usando la llamada ioctl_setpar(2cipe). El proceso dominante de
intercambio de llaves provee llaves a la va del ncleo ioctl_setkey(2cipe).
El dispositivo de red (netdevice) puede ser abierto solamente (configurado "UP") si
tiene un socket controlador. Cuando el socket controlador es cerrado, el dispositivo
de red se cierra. Inversamente, el cierre del netdevice (con ifconfig(8)) cierra el
socket tambin. El cierre elimina toda informacin que este configurada por ciped
en el dispositivo.
Los dispositivos pueden ser dinmicamente alojados y desalojados usando una
llamada ioctl_alloc (cipe 2). El primer dispositivo siempre recuerda la ubicacin
colgada para las llamadas ioctl.
63
INSTALACIN DEL PAQUETE DE SOFTWARE CIPE

CIPE corre bajo Linux 2.0.* 2.0.12, 2.1.* 2.1.103, 2.2.* y 2.3.*/2.4.* desde el
2.3.48. Fue desarrollado para la arquitectura i386; en otras arquitecturas deberan
trabajar.
Asegrese que usted tiene la direccin completa de la fuente del ncleo que tiene
instalado (por lo general en '/usr/src/linux'). La versin y la configuracin de
las fuentes del ncleo deben emparejar el ncleo donde correr exactamente, o
usted se arriesgara de construir un mdulo que puede romperse. Usted tambin
tiene que usar la misma versin de compilador con el cual el ncleo fue compilado.
Despus de la nueva configuracin y la reconstruccin del ncleo, no olvide de
reconstruir tambin el mdulo CIPE. (Esto se aplica a todos los mdulos
compilados externamente) habilitando " versiones smbolos " en el ncleo, porque
esto protege contra las versiones sesgadas entre el ncleo y los mdulos.
El ncleo necesita " IP Forwarding/Gatewaying " permitido en la configuracin
para el ncleo 2.0. Asegrese de habilitar el IP forwardin con
echo 1>/proc/sys/net/ipv4/ip_forward
El dispositivo urandom debe estar disponible sobre el sistema corriendo con

ncleos 2.2 o posteriores y ncleos 2.0 recientes.
Una versin en serie del modulo utilitario (modprobe y friends) necesita estar
instalada
La herramienta PKCIPE necesita el paquete OpenSSL, versin 0.9.6 o posterior. Si
esto no est disponible, el resto del paquete de CIPE todava puede ser compilado e
instalado como siempre.
Desde la versin 1.3, CIPE usa un script de configuracin autoconf-generado para
configurar su Makefiles. Este scripts toma los siguientes parmetros sobre la lnea
de comando. Todos tienen por defectos los parmetros suficientes para una simple
instalacin.
with-linux = dir 'ruta del arbol de la fuente de linux (por ejemplo, '/usr/src/linux').
with-ssl-includes = dir ' Ruta del OpenSSL si el scripts no puede encontrarlo.
with-ssl-libs = dir ' El camino a las bibliotecas OpenSSL, si el scripts no puede
encontrarse.
enable-protocol = n ' Usar protocolo de encapsulacin 'n'. Los valores soportados en
CIPE 1.5 son 3 y 4. Por defecto es 3.
Enable-idea ' Uso del cifrado IDEA (por defecto es Blowfish).
Disable-debug ' Deshabilita el cdigo de eliminacin de fallos en el mdulo ncleo.
No usado realmente.
Disable-dyndev ' deshabilita la asignacin de dispositivo dinmico. No realmente
usado.
enable-logfacility=x ' El set syslog facilitado para ciped y pkcipe (por defecto
LOG_DAEMON).
disable-asm ' deshabilita el cdigo ensamblador. No realmente til.
enable-name=n ' Habilita un sufijo de nombre para el directorio de compilacin.
"enable-bug-compatible " ' Use la interpretacin vieja, rota de llaves.
disable-send-config ' No enva la informacin de configuracin al peer. Esto es
normalmente enviado en el arranque para ayudar al diagnostico desigual, pero es
enviado no cifrado, que puede ser no deseado.
disable-pkcipe ' No compila e instala el instrumento PKCIPE.
64
EL scripts busca ciertos parmetros (como si compilando para un sistema SMP) en

las cabeceras del ncleo, y crea un nuevo directorio llamado 2.2.6-i386-cb en el
cual la compilacin del mdulo y el demonio ocurrir. (Esto sera para Linux 2.2.6
sobre i386, protocolo 3 [el "c"], Blowfish ["la b"].)
El instrumento PKCIPE y algunos componentes de librera son construidos en sus
directorios fuente, ellos no dependen de la configuracin
PROTOCOLOS DE CIFRADO
CIPE soporta diferentes versiones del protocolo de encriptacin, que a su turno
puede ser usado con cifrados diferentes (algoritmos de cifrado). Cuando uno es
usado es escogido el tiempo de compilado con argumentos en el scripts de
configuracin.
Desde CIPE 1.5, las opciones siguientes son posibles:
La versin 3 de protocolo: es el protocolo por defecto y recomendado en su
mayora de usos. Este es descrito detalladamente en este documento (el protocolo
CIPE). Este dispositivo trabaja como un dispositivo IP punto - a - punto con SLIP o
PPP.
La versin 4 de protocolo: Este protocolo usa el mismo formato de datos que la
versin 3 de protocolo, excepto que los paquetes transmitidos contienen una
cabecera Ethernet Compatible a nivel de conexin. Con esto es posible correr
protocolos de carga til mas que IP, y en particular es posible hacer la parte de
dispositivo CIPE de un puente de Ethernet. La desventaja es que los paquetes se
hacen ms grandes que con el protocolo 3. Puede ser necesario poner la direccin
Mac que usa la opcin 'hwaddr' para hacerlo nico a travs del VPN. Con este
protocolo, el dispositivo tiene una mscara de subred y una direccin de broadcast
que puede ser configurar con opciones apropiadas.
Blowfish: Esto es el algoritmo de cifrado por defecto, usado con una llave de 128
bit.
IDEA: Un algoritmo de cifrado alterno con una llave de 128 bit. Este algoritmo es
patentado y puede necesitar una licencia para el empleo comercial. Es incluido
principalmente para la compatibilidad con las ms viejas instalaciones que tenan
slo este algoritmo disponible.
Desde CIPE 1.4, tanto Blowfish como IDEA estn disponibles en C genrico y
puestas en prctica de ensamblador i386. Las versiones de ensamblador son usadas
donde sea posible.
INSTALACIN
Un simple comando Make compila todo. El compilador advierte lo que no debera
ocurrir. Haga Make install como root para instalar los componentes de software
en su posicin final. Estos es un mdulo ncleo, llamado segn la versin del
protocolo y el algoritmo de cifrado seleccionado, y el programa driver, que es
(desde CIPE 1.3) tambin nombrado de la versin de protocolo y el algoritmo de
cifrado. El Makefiles acepta las opciones semiestndar BINDIR, MODDIR, INFODIR
para especificar donde esta el cdigo instalado.
Usted tiene que crear un directorio '/etc/cipe' que contiene al menos dos
archivos, options y ` ip-up '. Usted puede copiar los archivos del directorio
samples de la distribucin aqu, y corregirlos para satisfacer sus necesidades.
Errores de compilacin
Hay un problema conocido en las versiones 2.0.30 y 2.0.31 los pre- release
65
discrepan sobre si ellos tienen un cierta caracterstica (SO_BINDTODEVICE), y

descubriendo esta dependencia de versin va el nmero de versin no. es no es
prueba engaosa. Al parecer, desde el 2.0.32, este problema es resuelto. Si
output.c no compila bajo 2.0. *, cambiar la lnea:
*ifdef SO_BINDTODEVICE
a *if 1 o *if 0 como necesario.
Un problema similar existe en el 2.3.99 pre releases, donde la parte de nombre de
la estructura de net_device se ha cambiado. Si un error ocurre durante la
compilacin de 'device.c' bajo la 2.3.99pre-n, el cambio la definicin condicional
de HAVE_DEVNAME_ARRAY en 'cipe.h' a *if 1 o *if 0 como necesario. Ya que
la 2.4.0 prueba libera este problema es resuelto.
CORRIENDO CIPE
El nombre de mdulo es cip seguido de la versin de protocolo con una letra y la
primera letra del algoritmo de encriptacin. Por ejemplo cipcb para la versin 3 (p.
ej. "c"), Blowfish (por defecto). Los nombres de dispositivo que este mdulo
maneja son el nombre de mdulo seguido de un nmero, por ejemplo cipcb0.
Desde CIPE 1.3, el programa demonio es llamado ciped seguido del protocolo y
adems las letras de encriptacin. Por ejemplo ciped-cb. Donde este manual se
refiere a ciped, asuma el nombre real dado aqu.
Los parmetros de configuracin del ncleo y el demonio deben hacer juego (el
mdulo comprueba esto), pero el demonio no depende (al menos no en la teora)
sobre la versin ncleo. El esquema de nombramiento es escogido de modo que
todos los mdulos posibles y demonios sobre una mquina puedan coexistir.
CARGA DEL MDULO

El mdulo ncleo es cargado dentro del ncleo va el comando
Modprobe modulename parameter=value...
El mdulo CIPE acepta los siguientes parmetros adicionales:

cipe_debug = (nmero)
Configura el nivel de eliminacin de fallos. El archivo 'cipe.h' define los niveles

de eliminacin de fallos diferentes que son ORed. Configura a 0 si usted no
necesita la salida de eliminacin de fallos. La eliminacin de fallos de la salida es
emitida va mensajes del kernel.
cipe_maxdev = (nmero)
Configura el nmero de canales que este modulo maneja. Por ejemplo con
cipe_maxdev=4 los dispositivos cipcb0 y cipcb3 estn disponibles. El mximo es
99. Desde CIPE 1.2, no hay ninguna necesidad de poner esto, ya que los canales
son asignados dinmicamente.
El mdulo puede ser autocargado va kerneld/kmod. Los usuarios avanzados
reconocern las opciones siguientes en ` /etc/conf.modules' necesarios de
hacerlo trabajar correctamente:
Alias cipcb0 cipcb
66
Opciones cipcb cipe_debug=0
CORRIENDO DEL DEMONIO CIPED

El demonio ciped debe ser iniciado como root. (no hacer como setuid.) toma como
comando los argumentos en la lnea opcional `-o archivo ' parmetro que
especifica un archivo de opciones seguido de cualquier nmero de argumentos de
opciones individuales.
Excepto en el modo de eliminacin de fallos, el demonio se pone en el ultimo
termino y usa syslog (3) para registrar mensajes. La operacin normal causa
mensajes no logeados excepto los errores y un aviso cuando el demonio se termina.
Cerrando (con ifconfig (8)) un dispositivo CIPE termina su proceso de ciped,
y viceversa la finalizacin de un ciped cierra el dispositivo. Cuando un dispositivo
est cerrado, sus parmetros de configuracin incluyendo todas las llaves son
borrados. ciped no guarda(mantiene) ninguna llave en la memoria.
Cuando el dispositivo Ciped aparece, produce '/etc/cipe/ip-up' con los
parmetros descritos en la versin de ejemplo. Esto espera la terminacin del
scripts antes de que los datos puedan ser enviados sobre el dispositivo y antes de
que esto entre en el ultimo termino. El script es llamado con la entrada estndar, la
salida y el error a '/dev/null'. Esto tpica configuracin rutea y hace algunos
loggins. Desde CIPE 1.4,elscript es llamado con todas las opciones (excepto la
llave)dentro de las variables de ambiente que llama despus la opcin
Asimismo, cuando un dispositivo CIPE baja, '/etc/cipe/ip-down' es invocado.
ciped ingresa a la interfaz esttica cuando concluye.
El comando ciped terminar cuando un error ocurre. Esto incluye un mensaje "
una conexin rechazada ", que aparecer al detectar pares no-trabajo Este manejo
de defecto de error implica que los datos no pueden ser enviados sobre un enlace a
no ser que ambos puntos finales estn corriendo, o el primero de ellos llegue y salga
de nuevo inmediatamente. En particular, el comando ping en el ejemplo 'ip-up'
no debera ser activado durante ambos finales de un eslabn. Este comportamiento
puede ser personalizado
ESPECIFICACIN DE OPCIONES
Todos los parmetros de configuracin son procesados por el demonio ciped. Esto
toma parmetros desde (dados en ese orden)
el archivo de opciones por defecto (los/etc/cipe/options'),

un archivo de opciones especificado como `-o archivo ' sobre la
lnea de mando,
opciones particulares dadas sobre la lnea de mando,
El que significa, los parmetros en la lnea de comando supeditados desde archivos,

y parmetros desde un archivo de opciones explcitas supeditadas desde la carpeta
de opciones por defecto.
Las opciones pueden ser de tipo tipos: booleano, entero, string, IP address, IP
address con un numero de puerto. Los Booleanos son por defecto falsos y
especficamente como opcin las hacen verdaderos. IP address estn dadas como
notacion dot quad o nombre de dominio que pueden ser resueltos usando
gethostbyname (3). Las direcciones UDP o TCP son dadas como ip:port, donde
67
el puerto es un nmero o un nombre resoluble por getservbyname (3).

La sintaxis para especificar opciones es name=value sobre la lnea de comando, y
el valor de nombre (una opcin por lnea, no continuadas, fugas, citando, etc.)
en el archivo de opciones.
Para motivos de seguridad, los archivos opciones deben ser dadas como caminos
absolutos, y ellos y todos sus directorios padres deben ser propios de la raz y no
escrito por ningn grupo, y el archivo opciones debe ser aun no leda por el grupo u
otro (porque puede contener llaves secretas)
LISTA DE TODOS LOS PARMETROS

( Req= Required parmetro)
Nombre Tipo Nueva

Nombre del dispositivo CIPE. Si no da, el sistema escoge
Dispositivo String no
uno libre.
No va al final, use stderr en vez de syslog. (Independiente
Debug Bool
del ncleo de opcin de driver debug.)
Ipaddr IP s Direccin IP del dispositivo CIPE.
Direccin IP del dispositivo par (p. ej. el dispositivo CIPE
Ptpaddr IP (s)
en el otro final). Para el protocolo 3.
mask IP no Mascara de red del dispositivo CIPE. Para el protocolo 4.
Direccin de difusin del dispositivo CIPE. Para el
bcast IP no
protocolo 4.
Dispositivo MTU (por defecto: estndar Ethernet MTU
mtu Int no
menos todas las cabeceras necesarias)
Dispositivo mtrico (no seguro si esto es usado en todas
Mtrico Int no
partes ...)
Lleva el valor TTL valor. Si no especificado o es 0, usar el
cttl Int no
valor TTL por defecto se recomienda 64
Son el portador de la direccin UDP. Si no se da IP o
Me UDP no
puerto, el sistema escoge uno y lo reporta va 'ip-up'.
par UDP s El portador de otro final, lleva direccin UDP.
La llave enlace. Para motivos de seguridad, la llave tiene
que ser configurada va un archivo de opciones, sujeto a las
Key string (s)
restricciones descritas arriba. La llave debe ser de 128 bits
en cdigo hexadecimal.
INCOMPATIBILIDAD DE LLAVES MS VIEJAS VERSIONES CIPE

Las versiones de CIPE antes 1.4.0 tienen un bug de manera que la opcin llave es
interpretada. Se supone ser un nmero hexadecimal de 128 bit. Sin embargo,
versiones anteriores interpretan los dgitos a por 'f' como '1' por '6'. Esto
reduce el espacio efectivo de la llave de 16^32 (32 dgitos hexadecimales) a 10^32
(32 dgitos decimales), o 109 bits. Peor, esto introduce vas de distribucin del bit
modelo en la llave efectiva.
Este bug tuvo que ser fijado tan pronto fue encontrado. Lamentablemente el fijar
significa que las viejas y nuevas versiones de ciped leern el mismo parmetro
clave de manera diferente, en otras palabras: las llaves no son compatibles entre
1.4.0 y ms viejas cuando ellos contienen cualquier dgito no decimal.
68
La solucin para hacerlas trabajar de nuevo es generar uno a uno ambos puntos
finales (recomendados), o generar las nuevas llaves que consisten slo en dgitos
decimales. Un mtodo posible de generar tal llave es
( ps aux|md5sum; ps alx|md5sum) | tr-cd 0-9
Alternativamente la versin 1.4 o nuevas versiones pueden dar la opcin - "

enable bug compatible " para usar la vieja llave rota analizada
TRABAJANDO CON SOCKS

Con la opcin SOCK, CIPE usa a un servidor SOCKS5 para enviar y recibir los
datos encriptados. UDP, SOCKS4 (que no soporta UDP) pueden no ser usados.
SOCKS5 tiene un nmero de mtodos de autenticacin. CIPE puede o no usar
autenticacin o Username/Password. Username y password son tomados de las
variables de ambiente SOCKS5_USER y SOCKS5_PASSWD.
El servidor SOCKS es libre de escoger cualquier direccin de IP, o al menos
cualquier nmero de puerto, como este parece accesar. As usando SOCKS implica
una direccin de portador dinmica. La puesta en prctica no est basada en una
librera SOCKS, no intente unir ciped con ello.
ciped de vez en cuando comprueba si el servidor de SOCKS ha cerrado la
conexin de control. Si el servidor de SOCKS baja, no hay ningn modo de
recuperar sin reiniciar el cliente (en este caso, ciped). Esto es una limitacin en el
protocolo SOCKS5.
DIRECCIONES DE PORTADOR DINMICA

CIPE puede manejar direcciones de portador que se cambian dinmicamente. Esto
es sujeto a ciertas restricciones, sin embargo cuando un enlace es establecido, un
punto final debe notificar cuando el portador de otro punto final cambia de
direccin. Las versiones desde de CIPE 0.5.1 hacen esto automticamente.
Cuando un enlace de un punto final est sobre una direccin IP dinmica real
(dispositivo IP - UP), debe notar cuando sus propias direcciones de portador
cambian. Esto requiere Linux 2.2 o ms, la versin CIPE 1.4.0 o superior y la
opcin de configuracin 'dynip'.
La parte engaosa que usa direcciones de portador dinmicas averigua la direccin
del par antes de que el enlace sea establecido. Cada CIPE tiene que conocer la
direccin de IP y el nmero de puerto de UDP para enviar paquetes. Normalmente
esto esta configurado en la opcin 'par'. En cuanto un paquete vlido es recibido
el conductor reconoce la direccin de par automticamente.
Con un final esttico y un dinmico (o Socks), esto es regularmente fcil.
Solamente asegrese que el final dinmico tenga la opcin correcta 'par', y
(slo) el final dinmico tenga el comando Ping en el ejemplo 'ip-up' activado. El
comando ping asegurar que el final dinmico informe al final esttico sus
direcciones de portador tan pronto sea posible. El final esttico debera usar un
modelo 'par' que no responda a los paquetes normalmente y a la opcin `
maxerr =-1 '. El enlace es iniciado antes del final dinmico.
Sea un enlace entre dos portadores dinmicos, es posible depender sobre la
situacin. Este debe ser posible para un punto final informando al otro final su
direccin corriente de algn modo fuera de CIPE, y debera ser posible iniciar un
nuevo reinicio inmediato del ciped.
El script 'ip-up' siempre da la correcta direccin en la variable de ambiente me.
69
Para direcciones dinmicas esto es la direccin comn y para el Socks esto es la

direccin de la nueva capa del Socks.
En tal configuracin, ambos puntos finales deberan usar ` maxerr =-1 ' y el
final de iniciacin debera usar ping.
ERROR QUE SE MANEJA EN CIPED

Cuando el comando remoto ciped se cae o no est disponible, el comando local
ciped dar un error "conexin rechazada ". En las antiguas versiones siempre
exista este error. Esto ha sido imprctico en algunas situaciones, entonces una
opcin suplementaria ha sido aadida: maxerr que determina cuntos errores de
red ciped tolerarn antes de salir. Este contador es receteado cuando la conexin da
ok (ms preciso cuando una llave cambia por que el paquete es recibido). Por
defecto, para maxerr es 8, como no variable de defecto en la versin 0.5.1. Un
valor de -1 har que ciped ignore cualquier error en la red. En este caso, esta
puede ser trada abajo manualmente.
El error que se maneja para Socks es independiente de esta opcin, sin embargo
cuando un error ocurre sobre la conexin de control de Socks (por ejemplo, el
servidor de Socks viene cayendo), ciped saldr. Este comportamiento es conferido
por mandato segn el protocolo SOCKS5.
CONSEJOS GENERALES
La direccin de IP de un dispositivo CIPE y su portador UDP deben ser
diferentes. Escoja una red de trnsito (por ejemplo direccin 192.168) para los
dispositivos CIPE si este no accesa dentro de las estructuras existentes.
La ruta al portador UDP (la direccin "par") no puede ir a travs del dispositivo
CIPE. Si ambos estn sobre la misma ruta (por ejemplo ambos estn sobre la
misma red, IP-address-wise), adicionar una ruta host a la direccin "par" a
travs del correcto dispositivo de entrada.
En Linux 2.0, la ruta adicional - host $5 dev $ 1 'IP - UP'. Es
requerida, sin esto el enlace no trabajar. Esto significa que el script 'IP
UP' para ella misma es obligatoria.
Las rutas a travs de un dispositivo CIPE deben ser configuradas solo en el
scripts 'IP UP'. Use el caso de seleccin en $ 1 o $ 5 si tiene algunos
enlaces CIPE. Use la ruta adicional gw $5, no la ruta adicional dev $ 1.
Recuerde que Linux borra cualquier ruta a travs de un dispositivo cuando este
dispositivo baja.
Si usted tiene una ruta por defecto, las direcciones alcanzadas va el enlace
CIPE son ruteadas va la ruta por defecto cuando el enlace cae. Esto puede
anular el propsito de un enlace encriptado. Para protegerlo contra esto,
configure una ruta de rechazo para las direcciones afectadas con mediciones
altas con el script del sistema de arranque.
A veces es necesario o aconsejable para anunciar la direccin del par va el
poder-ARP para evitar sistemas de encaminamiento ms complicados. El
ejemplo 'ip-up' muestra como esto puede ser hecho. En Linux 2.4 un sysctl
puede ser usado usar el poder-ARP para la red entera "detrs" del par.
Sobre un sistema que controla gated, gated es la nica cosa responsable de
configurar cualquier ruta y las rutas a travs del de dispositivo CIPE que
pertenece a 'gated.conf' como ruta esttica, o estn configuradas va un
protocolo de ruteo. Para gated, un enlace CIPE busca y conduce exactamente un
70
enlace dial - up. Para esto se recomiendan poner la interfaz gdc en 'ip-up'
as como 'ip-down' para decirle a gated sobre cual de los estados cambia.
La configuracin de ambos puntos finales de un enlace es simtrica. De un lado
ipaddr del otro es ptpaddr, y un lado m es el par del otro. Desde CIPE 0.5,
el par es recogido dinmicamente y el verdadero par puede ser diferente de
aquel juego en el archivo config (pero este artculo config todava debe estar
presente, esto debera especificar el revs de otro final como una falta
razonable).
Cuando se Disea una estructura de red, dibuje los enlaces CIPE como si ellos
fueran enlaces SLIP/PPP. Construya el ruteo con estos enlaces disponibles.
Luego busque la figura como si los enlaces CIPE no estuvieran all, asi usted
podr ver la ruta necesaria para la direccin UDP.
Las reglas del firewall que contienen un dispositivo son independientes del
dispositivo existente. Esto significa que ellos pueden ser establecidos antes que
el mdulo sea cargado y corra ciped, y una opcin de dispositivo
explcita debera ser usada si el nombre de dispositivo es usado en reglas
firewall.
Con PKCIPE, la posicin y el contenido de los archivos PID del script de
ejemplo ip-up son mandados de acuerdo a como se usen los archivos cerrados.
La omisin de estos puede causar la confusin cuando varias instancias de
PKCIPE corran al mismo tiempo
MODOS DE CONEXIN
Aqu est detalladamente como es posible construir enlaces CIPE entre diferentes
clases de portador. Estas clases estn, basadas en como son capaces de alcanzar el
Internet:
Conexin directa sobre una direccin de IP esttica.
Conexin directa sobre una direccin de IP dinmica.
Conexin indirecta por un servidor de SOCKS.
Conexin indirecta por NAT (masquerading).
Esto produce diez combinaciones diferentes:
- '1-1' Puede ser configurado estticamente como en el simple ejemplo. O
cualquier final puede correr un servidor PKCIPE y dejar a otro final conectarse.
- '1-2' El '1' el punto final puede controlar a un servidor CIPE y dejar el
'2' el punto conectar. CIPE da la correcta direccin IP en ambos puntos
finales, cambios posteriores son manejados automticamente.
- '1-3' Como '1-2', con un Ping en IP-UP en el punto final '3'. El punto
final '3' no es conocido su efectividad (como parece por el otro punto final)
de la direccin de portador, entonces el cambio de PKCIPE produce un error del
par parmetro incorrecto en el final '1'. El ping corrige esto enviando
paquetes con la direccin derecha.
- '1-4' Como '1-3'.
- '2-2' Un final controla a un servidor PKCIPE y publica su corriente direccin

IP usando algn servicio externo (como un servidor de web o DNS dinmico).
Otro final busca esta direccin conectando y procediendo como en '1-2'.
71
- '2-3' Como '1-3', excepto que el final '2'usa un servicio externo para
publicar su direccin corriente.
- '2-4' Como '1-4', excepto que el final '2' usa un servicio externo para
publicar su direccin corriente.
- '3-3' Esto no es fcilmente posible con el cdigo corriente porque ningn
final conoce sus direcciones de portador efectivas (p. ej. Los Socks UDP relevo
direccin) antes de que el enlace sea configurado y establecido, y ningn lado
puede enviar paquetes al otro. Esta informacin est disponible en la escritura
ip-up, pero transmitida al otro final necesitara algn medio fuera de CIPE. Es
planeado que futuras versiones que sern capaces de manejar esto va las
capacidades ampliadas de PKCIPE; esto tambin requerir un servicio externo
como DNS dinmico con un sistema especial.
- '3-4' Como '3-3'.
- '4-4' No posible. Ningn lado llega a conocer su direccin de portador eficaz

en absoluto.
DESCRIPCIONES DEL PROTOCOLO CIPE
El objetivo primario de este software es de proporcionar la seguridad (contra la
escucha disimulada, incluyendo el trfico analsyis, y la inyeccin de mensaje
falsificada) la interconexin segura de una subred a travs de una red de paquete
insegura como el Internet.
1. Descripcin
Este protocolo fue diseado para ser simple y eficiente, y trabajar sobre
instalaciones de comunicacin existentes, sobre todo por encapsulacin en paquetes
UDP. La compatibilidad con protocolos existentes tales como el IPSEC RFCs no
fue un acuerdo. La primera puesta en prctica de prueba fue hecha completamente
sobre el nivel de usuario, mientras el ahora el publicado consiste en un mdulo
kernel y un programa de nivel de usuario.
El modelo de CIPE asume una conexin fija entre dos pares que intercambian
datagramas (packetwise, no necesariamente confiable). El modo ms comn de
poner en prctica tal cosa enva mensajes UDP entre ellos. (El otro sera
encapsulacin en PPP, etc.)
Nada que puede ser dado parmetros es dentro del alcance de este protocolo y su
puesta en prctica. Esto es delegado al arreglo previo o a un protocolo an por ser
definido en el nivel de aplicacin. Lo ms notablemente posible, esto implica el
intercambiar de una llave secreta compartida ahora, e implica la opcin del
algoritmo del cifrado.
El protocolo CIPE consiste en dos partes: Cifrado y checksumming de los paquetes
de datos y cambio dinmico clave.
2. Cifrado de paquete
Cada datagramas IP es tomado en un todo, incluyendo las cabeceras. Esto es
rellenado al final con cero a siete octetos aleatorios hasta que el total de la longitud
en octetos sea congruente tres mdulo ocho. El paquete rellenado se le aade un
octeto del valor P descrito debajo y el CRC-32 sobre el paquete construido hasta
ahora, incluyendo P. (Esto hace la longitud de paquete completa una mltiple de
ocho octetos.)
72
Este paquete entonces es encriptado a travs de un bloque de cifras de 64 bit en el

modo CBC con un IV como descrito debajo, usando envos de llaves esttica o
dinmica de la interfaz de salida (para la definicin de llaves ve debajo). El
algoritmo de cifra de falta es la IDEA. La implementacin corriente tambin apoya
Blowfish con la llave de 128 bit.
El paquete cifrado es preponderante con el bloque IV. El bit de orden alto del
primer octeto del IV es cero, si la llave esttica es usada, uno si la llave dinmica es
usada. El resto de los 63 Bits restantes son arbitrarios, pero primeros 31 de ellos no
deberan ser todos los ceros (p. ej. un IV/PACKET que comienza con hexadecimal
0000 0000 o 8000 0000 no se permiten). Tales paquetes son reservados para
extensiones de protocolo posteriores.
El CRC es sobre el polinomio
X^32+X^26+X^23+X^22+X^16+X^12+X^11+X^10+X^8+X^7+X^5+X^4+X^2+X^1+X^0
y representado en la red el bit de orden

El valor de P se da as: los bits 6,5,4 indican la longitud del relleno entre el final de
paquete original y P. Los bits 2,1 son de tipo cdigo e indican la clase de paquete
este es. Los bits restantes 7,3,0 son reservados y deben ser el cero.
Los cdigos de tipo son:

00 - datos
01 - la llave cambia
10 - reserv
11 - reservado
Para descripcin, primero compruebe el bit ms alto del primer octeto y selo para
seleccionar la llave. Descifre el paquete, calcule el CRC sobre el paquete menos los
ltimos cuatro octetos, compare esto con lo ltimos cuatro octetos. De ser vlido,
quite los ltimos octetos con valor P, quite el relleno dado por los bits 6,5,4 de P y
procese el paquete indicado por los bits 2,1 de P.
3. Cambio clave
Cada interfaz esta asociado con una llave esttica, una llave dinmica de envo y
una llave dinmica de recepcion. (Un interfaz es un punto final de una conexin,
que puede usar protocolos como UDP para el transporte pero para el objetivo de
CIPE son siempre enlaces punto a punto.) Sobre el arranque, slo la llave esttica
es vlida. El cifrado usa la llave esttica si y slo si la llave dinmica de envo es
invlida. El valor 0 (todos los bits cero) para la llave esttica es reservado para
futuras extensiones y no debera ser usado.
La llave dinmica es configurada segn un procedimiento de dilogo que implica
mensajes con bits de cdigo de tipo 01. Estos son cifrados justo como indica arriba.
Los paquetes consisten en un octeto de tipo seguido del protocolo de datos seguidos
de una cantidad arbitraria a rellenar datos arbitrarios, de modo que el paquete sea al
menos 64 octetos de largo. Una llave consiste en 16 octetos, una llave CRC es el
CRC-32 sobre la llave que transfiere la orden en la red.
Los mensajes siguientes existen:
NK_REQ: Tipo cdigo 1, no data: Solicita que el par inmediatamente iniciar una
llave de negociacin (send NK_IND). Esto debera ser enviado cuando un paquete
es recibido y encriptado con una llave dinmica pero no recibe llave dinmica
vlida. (Que puede pasar cuando el lado de recibo de una conexin es reanudado
73
mientras que el lado de envo permanece corriendo.)

NK_IND: Tipo cdigo 2, los datos esta en la nueva llave seguida de la llave CRC.
Especifica un nuevo envo de llave dinmica para este remitente. Solicita que el par
inmediatamente conteste con NK_ACK.
NK_ACK: Tipo cdigo 3, los datos son CRC de la llave permanente aceptada.
Confirma el recibo de NK_IND.
El procedimiento de negociacin clave normalmente corre as:
El remitente enva un NK_IND con la nueva llave, luego invalida su propia envio
de llave. Al recibir de NK_IND, el receptor comienza a usar esta llave como su
llave de recepcin y enva un NK_ACK. Cuando el remitente recibe NK_ACK,
esto comienza a usar la nueva llave como su llave de envo. Si cualquiera de
NK_IND O NK_ACK esta perdido en la transmisin, ninguna nueva llave ser
usada. El remitente debera enviar nuevo NK_IND (con la nueva llave) si ninguna
coincidencia NK_ACK es recibida dentro de una cantidad de tiempo razonable (la
especificacin corriente: 10 segundos).
Si cualquiera de los chequeos de suma contenidos en los datos de negociacin
llaves no coinciden, el contenido o la llave asignada de este paquete es ignorado y
adems no toma accin .
Una envo de llave dinmica debe ser invalidado despus de ser usado durante un
cierto perodo de tiempo o cantidad de datos y un nuevo NK_IND debe ser enviado.
El proceso es simtrico y ambos lados actan independientemente para su propio
envo de llaves. El tiempo de vida de la llave dinmica no debera exceder 15
minutos y la cantidad de datos enviados usando una llave dinmica no debera
exceder 2^32 paquetes.
Opcionalmente, la llave intercambia paquetes que pueden ser de tiempo de
sellado (timestamped). El timestamped es un entero sin signo de 32 bit en el orden
de red que representa el tiempo de UNIX de un host de enviado, colocado en
octetos 56-59 (comenzando en el cero) de una llave que cambia paquetes. El
receptor puede ser configurado para ignorar el timestamped, o este puede ser
configurado para rechazar todos las llaves de intercambio de paquetes quienes el
timestamped difiere del tiempo corriente UNIX de un host recibidor por mas de una
cantidad definida. Que ese tiempo no exceda los 30 segundoa
4. consideraciones de seguridad
Los paquetes que actualmente se transmiten no llevan ninguna informacin
utilizable relacionada con la longitud del datagrama IP original, llenada de un
mltiplo de 8. Este debera proteger efectivamente contra mas aspectos del trafico
de anlisis. La nica informacin visible previo al descifre del paquete es el bit que
cuenta si la llave esttica o dinmica fue usada. Ya que la llave esttica tiene una
vida potencialmente larga esperan que ello est acostumbrado a ser usada raras
veces. Normalmente es usado slo en el perodo corto de tiempo durante un cambio
clave. La llave dinmica es cambiada a menudo. Estas precauciones se dan por que
la aplicacin esta dispuesta a conocer y escoger sus ataques y la intencin es de
prohibir la alimentacin de grandes cantidades de datos a travs de una llave.
Como el tipo de cdigo y la longitud del relleno son encriptados con el paquete,
ellos no pueden ser deducidos del ciphertext. Sobre todo, no es posible determinar
si el paquete es una data o un intercambio de llave de paquete. (Por lo general, el
ltimo paquete de una secuencia de paquetes dinmicos de llaves seguidos de una
secuencia de paquetes estticos llaves es un NK_IND, pero el NK_ACK y un
segundo posible NK_IND no pueden ser adivinados de esta manera, as no hay
ninguna provisin para contar si el cambio de llave tuvo xito. Sin embargo, esto es
una pequea pero verdadera debilidad.)
74
El servicio CRC sirve como una comprobacin si la llave de cifrado fue vlida - p.
ej. algn tipo de firma para la autenticidad del paquete. Adems, los paquetes de
datos todava deberan formar cabeceras IP vlidos (con su propio chequeo de
suma de 16 bits) y paquetes de intercambio de llave llevan su propio chequeo de
suma como se definido anteriormente.
Loa paquetes IP llevan unos supuestos plaintext en las ciertas posiciones de su
cabecera. La potencial explotacin de esta realidad debera ser mitigada por el uso
limitado de la llave descrito arriba. El empleo de un ramdom IV para cada paquete
implica que al menos paquetes encriptados idnticos (retransmitidos)para
diferentes ciphertexts (texto de cifra).
El protocolo solamente brinda proteccin limite contra ataques sucesivos. Un
paquete permanece vlido mientras la llave se encuentre validamente encriptada.
Sin embargo, la explotacin activa es improbable como el paquete de llevada no
muestra ninguna indicacin de su significado. (Excepto para secuencias y
NK_IND. La repeticin de NK_IND podra ser peligroso. Remedio posible:
almacene la ltima N aceptando la llave CRCs [para la N grande] y rechaze aceptar
NK_INDs con el mismo CRC que uno ya a asignado.)
Si el fechado de paquetes de llaves de intercambio es usado, esto debera protegerse
contra el replay de paquetes de intercambio de llaves. Sin embargo, esto requiere
que el cierre de ambas mquinas estn en la sincronizacin.
La negacin de ataques de servicio es posible por ejemplo por enviando a las
cantidades grandes de paquetes falsos, que deberan afectar solamente la
perfonrmance. Una vulnerabilidad contra la interrupcin del proceso de generacin
de llaves existe si el remitente es invadido, invadioendo con paquetes falsos de
modo que esto falle con el porceso NK_ACK, efectivamente comienza a validar
para usar su llave de envio esttico durante un perodo prolongado de tiempo. Una
salida posible de este problema debe dejar de enviar datos completamente despus
de romper el envo de llave esttica, enviando slo NK_INDs y reasumiendo slo
despus de que NK_ACK vlido ha sido procesado. Entonces este ataque se hara
una negacin-de-servicio simple.
EL PROGRAMA CIPED
Ciped software responsable de la creacin de los tneles entre los puntos
de la conexin VPN es la descripcin del script que realiza la creacin de
tneles y el demonio Ciped que maneja todo el proceso dominante de
CIPE
#!/bin/sh
#
# Startup script for the CIPE VPN
#
# chkconfig: 345 11 89
# description: CIPE is used to create encrypted IP-IP
# processname: ciped-cb
# pidfile: /var/run/cipcb*.pid
# config: /etc/cipe/options.cipcb*
# Source function library.
. /etc/rc.d/init.d/functions
75
# Source networking configuration.

. /etc/sysconfig/network
# Which connections are we handling?

# Default is all
if [ -z $2 ] ; then
CONN=`ls -1 /etc/cipe | grep -w -eoptions | sed -e s/options\.//`
else
CONN=$2
fi
# Check that networking is up.

[ ${NETWORKING} = "no" ] && exit 0
RETVAL=0
start() {
echo "Start"
for each in $CONN; do
if [ -f /var/run/$each.pid ] ; then
echo "CIPE interface " $each " is already running"
exit 1
fi
action "Starting CIPE interface $each: " /usr/sbin/ciped-cb -o
/etc/cipe/options.$each
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/ciped.$each
done
}
stop() {
for each in $CONN; do
action "Shutting down CIPED interface $each: " [ -f /var/run/
$each.pid ] &&
kill `eval cat /var/run/$each.pid`
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ciped.$each
done
}
# See how we were called.

case "$1" in
start)
start
;;
stop)
stop
;;
status)
status ciped-cb
76
RETVAL=$?
;;
restart)
stop
start
RETVAL=$?
;;
condrestart)
CONN=`ls -1 /var/lock/subsys | grep -w -eciped | sed -e s/ciped\.//`
stop
start
;;
reload)
stop
start
;;
*)
echo "Usage: $0 {start|stop|restart|reload|status}"
RETVAL=1
esac
exit $RETVAL
77
8. ESQUEMA DE LA SOLUCION CON VPN CIPE Figura III.7.1: Esquema

Propuesto
78
IV. IMPLEMENTACION DE LA SOLUCION
La implementacin de la VPN se inicia con la instalacin y

configuracin del sistema operativo Linux, y como esta se desarrollar
de manera similar en todas las maquinas que sirvan de firewall VPN, se
explicara la instalacin y configuracin de Linux por nica vez en el
inicio de la implementacion, as como la configuracin e instalacin de
algunos paquetes necesarios para que el sistema operativo trabaje de
manera correcta y con los servicios necesarios, sin necesidad de cargar
el sistema operativo con servicios que no van a ser de necesidad a
nuestro propsito
1. INSTALACIN DE LINUX
Pasos para la instalacin de Linux
Iniciaremos instalando nuestro sistema operativo en modo texto
Boot: EXPERT TEXT
La instalacin se har con los instaladores provenientes del disco duro?
Do you have driver disk? NO
Elija el idioma que desee en la instalacin
Idioma : SPANISH
Si no tiene los instaladores en el disco duro de donde provienen los

instaladores
Modo de instalacin: LOCAL CD ROM
Elegir el tipo de instalacin
Tipo de instalacin: PERSONALIZADA
Creacin de las particiones del Disco Duro: Particin manual de disco

duro
DISK DRUID
PARTICION SWAP 256 Mb
PARTICION RAIZ (/) 7797 Mb (resto del disco)
Activar el control de bloques daados durante el formato
Eleccin del gestor de arranque
Configuracin de LILO
ACTIVACIN DE LILO EN EL MASTER BOOT RECORD
79
Crear un disco de arranque
Desactivar creacin de disco de arranque

(si lo requiere puede crear un disco de arranque)
Configurar la primera Tarjeta de Red
DIRECCION IP 192.160.78.1
MASCARA DE RED 255.255.255.0
RED 192.160.78.0
BROADCAST 192.160.78.255
NOMBRE DE HOST lima.cooperativa
PUERTO DE ENLACE ----------------
DNS PRIMARIO 192.160.78.2
DNS SECUNDARIO 200.14.241.36
DNS TERCIARIO 200.14.241.38
Elegimos el nivel de seguridad
Nivel de seguridad NINGUN FIREWALL
Elegimos el idioma para el sistema operativo
Soporte para el Idioma: SPANISH PERU
Elegimos el uso horario en que se encuentra nuestro servidor
Seleccin del huso horario: AMERICA LIMA
Definimos la contrasea de nuestro servidor
Definicin de contrasea de root
Eleccion de los servicios necesarios para nuestro servidor firewall VPN

Opciones de instalacin:
Activar:
WINDOWS SYSTEM
KDE
HERRAMIENTAS MAIL / WWW/ NEWSTOOLS
ESTACION DE TRABAJO PAATRABAJO EN RED
ADMINISTRACION DE RED EN LA ESTACION DE
TRABAJO
UTILIDADES
Configuracin de la tarjeta de Video
Configuracin de la tarjeta de Vdeo

TRIDENT 3DIMAGE 975
80
Configuracin del monitor
UNPROBED MONITOR
Sync Horizontal 31.5 48.5 Khz
Sync Vertical 50 70 Hz
Propiedades de color
PROPIEDADES DE COLOR: 65.536 COLORES

TIPO DE LOGIN: TEXTO
RESOLUCION DE PANTALLA: 1024 x 768
2. CONFIGURACIN DE LA TARJETA DE RED EN EL

SERVIDOR
Como el servidor VPN va a tener una interfaz interna y otra externa se
debe configurar dos tarjetas de red que dependiendo de la marca de la
tarjeta de red se va a tener que configurar, veamos un ejemplo:
De ser una tarjeta D-link o 3-Com el sistema operativo la detecta, de
no ser asi y usar una tarjeta N-2000 se tiene que configurar la tarjeta
de la siguiente manera
Editamos el archivo modules.conf

Se ingresa al archivo modules.conf:
vi /etc/modules.conf
En este script se agregan estas lneas de cdigo:
alias eth1 ne
options eth1 irq = 3 io = 0x300
Se prueba la verificacin del irq e io con:
modprobe ne
Creacin y configuracin del script para la segunda

tarjeta:
Se ingresa al directorio network-scripts:
cd /etc/sysconfig/networkscripts
Se hace una copia del script de la tarjeta eth0 para la tarjeta eth1:
cp ifcfgeth0 ifcfgeth1
Luego se procede a su configuracin:
vi ifcfgeth1
81
DEVICE = eth1
BOOTPROTO = static
BROADCAST = 200.62.136.255
IPADDR = 200.62.136.242
NETMASK = 255.255.255.240
NETWORK = 200.62.136.240
ONBOOT = yes
USERCTL=no
Grabar y reiniciar
Editando el archivo network ( configurando la puerta de

enlace gateway)
Se ingresa al directorio sysconfig:
cd /etc/sysconfig
vi network
NETWORKING = yes
HOSTNAME = lima.santodomingo.com
GATEWAYDEV = eth1
GATEWAY = 200.62.136.241
Grabar
Probar el servicio de red
Service network restart
CONFIGURACION DE SERVICIOS Y TERMINALES EN EL

SERVIDOR
Deshabilitar servicios no usados en el servidor
Ingresar al directorio cd /etc/rc3.d
Eliminamos algunos servicios que no van a ser de utilidad para el

proposito de nuestro servidor. Los servicios que quedan son:
S10network
S12syslog
S17keytable
S20random
S28autofs
S40atd
S55sshd
S90crond
S90xfs
S95anacrom
S99local
82
3. DESHABILITAR ALGUNAS TERMINALES Y PONER EL MODO

DE ARRANQUE EN 3
(multiusuario) editando en el archivo inittab
Se ingresa al directorio etc:
cd /etc
Luego se procede a la configuracin del archivo inittab:
vi inittab
Se edita la siguiente lnea
id:3:initdefault:
y colocar en comentario las siguientes lneas
# rum getys in standar rumlevels

# 3 2345:respwn:/sbin/mingetty tty2
Grabamos...
83
4. DIAGRAMA DE LA CONFIGURACION DE LA VPN LIMA

AREQUIPA
Lima Arequipa
Figura IV.4.1: Diagrama de la configuracin Arequipa - Lima
Definimos las direcciones de Lima
Lima
Internal Nic : eth0 192.160.78.1

External Nic : eth1 200.62.136.242
Cipcb1 : 192.168.252.1
Arequipa

Cipcb1 : 192.168.252.254
Segmentos de Redes
192.168.78.0 LAN LIMA

192.168.80.0 LAN AREQUIPA
192.168.252.0 TUNEL
84
5. CONFIGURACION DEL SERVIDOR VPN FIREWALL DE LIMA

PARA AREQUIPA
CONFIGURACION PARA LA RESOLUCION DE NOMBRES

Editando el archivo resolv.conf
cd /etc/resolv.conf:
vi resolv.conf
Se editan las siguientes lneas:
SEARCH cooperativa
NAMESERVER 206.138.05.37
Grabar
En el archivo /etc/nsswitch.conf se edita la lnea
hosts : files dns
CONFIGURACION DE CIPE
Instalacin de CIPE Pasos:
Montamos la unidad de diskette:
mount /mnt/floppy
Se copia el archivo CIPE al directorio root :
cp /mnt/floopy/cipe1*.rpm /root
Se ingresa al directorio root:
cd /root
Se instala CIPE:
rpm ivh cipe*.rpm
Creando el script que lanza el demonio CIPE
Se ingresa al directorio init.d:
cd /etc/rc.d/init.d
Se copia el script ciped del diskette
85
cp /mnt/floppy/ciped ciped
CONFIGURACION DEL TUNEL LIMA-AREQUIPA

Crear la clave secreta para encriptar los datos, esta clave debe ser
igual en ambos puntos del tnel
En la lnea de comandos escribir:
Ps | md5sum
Como resultado se obtiene la clave secreta.
NOTA: Slo generar en caso de que no exista y debe ser igual para
ambos terminales del tnel.
Configurar la interface para Lima
Se copia el script options.cibcb0 del diskette
cp /mnt/floppy/options.* /etc/cipe/options.cipcb1
Ingresamos al directorio cipe:
cd /etc/cipe
Editamos el archivo options.cipcb1: vi options.cipcb1
device cipcb1
me 200.64.136.242:2002
Ipaddr 192.168.252.1
Ptpaddr 192.160.252.254
Peer 64.76.129.152:2002
Key d41d8cd98f00b204e9800998ecf8427e
Maxerr -1
Grabar
Se asigna permisos al archivo options.cipcb1
chmod 600 options.cipcb1
Probamos si se inicia el ciped
Service ciped start
Detenemos el servicio del ciped
Service ciped stop

CONFIGURACION DEL FIREWALL
Se copia el script rc.firewall del diskette
86
cp /mnt/floppy/rc.firewall /etc/rc.d/rc.firewall
Ingresamos al directorio rc.d
cd /etc/rc.d
Editamos el archivo rc.firewall:
vi rc.firewall
cipe0 = cipcb1
intlan = 192.160.78.0/255.255.255.0
CONFIGURACION DEL SCRIPT QUE LEVANTA LAS

INTERFACES DE CIPE
cd /etc/cipe
Editamos el archivo ip-up:
vi ip-up
route add net 192.160.79.0 netmask 255.255.255.0 gw

$5
CONFIGURACION DEL SERVICIO AUTOMATICO DE LOS

SERVDORES
Se ingresa al directorio rc3.d:
cd /etc/rc3.d
Se crea los siguientes enlaces de la siguiente manera:
ln -s ../init.d/ciped S80ciped
ln -s ../rc.firewall S85firewall
87
INSTALACION DEL DHCP
Editamos el archivo dhcp.conf:
vi /etc/dhcpd.conf
subnet 216.244.169.160 netmask 255.255.255.240

{
}
subnet 192.168.254.0 netmask 255.255.255.0
{
}
subnet 192.168.79.0 netmask 255.255.255.0
{
}
subnet 1920.168.78.0 netmask 255.255.255.0
{
allow bootp;
option routers 192.160.78.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.160.78.255;
option domain-name cooperativa;
option domain-nameserver 206.138.05.37,
200.14.241.38;
range dynamic-bootp 192.160.78.50 192.160.78.150;
default-lease-time 18000;
max-lease-time 18000;
get-lease-hostnames on;
}
Crear el archivo dhcpd.leases, donde se guardan todas las direcciones

dinmicas asignadas por el servidor
cd /var/lib/dhcp
touch dhcpd.leases
Se crea los siguientes enlaces:
ln -s ../init.d/dhcpd S70dhcpd
Probando el servicio dchp:
service dhcpd start
Detenemos el servicio con:
service dhcpd stop
NOTA: Si el servidor dhcp no est instalado, instarlo con el siguiente

comando:
rpm ivh dhcpd*.rpm
88
El archivo de instalacin se encuentra en el CD 2 de RedHat.
INSTALACION DE SAMBA
Montamos la unidad de CD 1 de la instalacin del RedHat:
mount /mnt/cdrom
Se instala el archivo samba-client y samba-common:
cd /RedHat/RPMS
rpm ivh samba*.rpm
Desmontamos unidad de CD:
umount /mnt/cdrom
mount /mnt/cdrom
Se instala el archivo samba 2.07-36.i386.rpm ( servidor samba ):
rpm ivh samba 2.07-36.i386.rpm
INSTALACION DE WEBMIN
Webmin es una herramienta que sirve para administrar un servidor en

forma grfica y remota.
Descargar el rpm webmin
Instalar el rpm
rpm ivh webmin*.rpm
al finalizar la instalacin se visualizara el siguiente mensaje:
webmin install complete. You can now login to
http://lima.cooperativa:10000/
as root with your root password
89
CONFIGURACION DE WEBMIN
Para configurar el webmin se ingresa al navegador de Internet y se

escribe en la barra de direccin:
http://192.160.78.1:10000/
Ingresar a Configuracin de Webmin, Control de acceso a IP
Figura IV.5.1: Configuracin de Webmin
6. CONFIGURACION DEL SERVIDOR VPN FIREWALL DE

AREQUIPA
cd /etc /resolv.conf
vi resolv.conf
SEARCH cooperativa
Grabar
En el archivo nsswitch.conf se edita la lnea:
/etc/nsswitch.conf
hosts : files dns
90
Instalacin de CIPE Pasos:
mount /mnt/floppy
cd /root
Se instala CIPE:
rpm ivh cipe*.rpm
cd /etc/rc.d/init.d
CONFIGURACION DEL TUNEL AREQUIPA-LIMA

Configurar la interface para Arequipa
Ingresamos al directorio cipe: cd /etc/cipe
Editamos el archivo options.cipcb1:
vi options.cipcb1
device cipcb1
me 64.76.129.152:2002
Ipaddr 192.168.252.254
Ptpaddr 192.168.252.1
Peer 200.62.136.242:2002
Key d41d8cd98f00b204e9800998ecf8427e
91
Maxerr -1
Grabar
service ciped start
service ciped stop
cd /etc/rc.d
Editamos el archivo rc.firewall: vi rc.firewall
cipe0 = cipcb1
intlan = 192.160.80.0/255.255.255.0

INTERFACES DE CIPE
cd /etc/cipe
vi ip-up

$5
92

SERVDORES
cd /etc/rc3.d
mount /mnt/cdrom
.Se instala el archivo samba-client y samba-common:
cd /RedHat/RPMS
rpm ivh samba*.rpm
umount /mnt/cdrom
mount /mnt/cdrom
CONFIGURACION DE SAMBA
Ingresamos al directorio samba:
cd /etc/samba
Editamos el archivo smb.conf:
vi smb.conf
[global]
workgroup=cooperativa
netbios name=arequipa
comment=Servidor de Arequipa
wins support=no
wins server=192.160.78.2
93
domain master=no
local master=yes
preferred master=no
os level=1
hosts allow=192.160.80. 192.160.78. 127.
printcap name=/etc/printcap
load printers=yes
printing=lprng
security=share
encrypt passwords=yes
smb passwd file=/etc/samba/smbpasswd
socket options=TCP_NODELAY SO_RCVBUF=8192
SO_SNDBUF=8192
name resolve order = wins lmhosts bcast
wins proxy=yes
dns proxy=no
guest account=anonimo
[printers]
comment=Impresora
path=/var/spool/samba
browseable=no
public=yes
printable=yes
guest only=yes
[download]
comment=directorio de descarga
path=/home/download
browseable=yes
public=yes
printable=no
writable=yes
guest only=yes
Grabar
Creamos el siguiente enlace:
ln -s ../init.d/smb S82smb
Agregando un usuario Samba
adduser -g users -s /bin/false anonimo
Eliminamos la carpeta anonimo:
rm fr /home/anonimo
Luego creamos el usuario anomino para samba:
94
smbpasswd a anonimo
Se muestra el siguiente mensaje, pulsamos enter para dejar sin

contrasea.
New SMB password

Add user anonimo
Crear el directorio download:
mkdir /home/download
Dar permiso de acceso a la carpeta Download :
chmod 777 Download

Instalar el rpm
rpm ivh webmin*.rpm
al finalizar la instalacin se visualizar el siguiente mensaje:
http://arequipa.cooperativa:10000/

http://192.160.80.1:10000/
95
7. DIAGRAMA DE LA CONFIGURACION DE LA VPN LIMA

TRUJILLO
Lima Trujillo
Figura IV.7.1: Diagrama de la Configuracin de Trujillo Lima
Definimos las direcciones de Lima
Lima

Cipcb1 : 192.168.253.1
Trujillo

Cipcb1 : 192.168.253.254
Segmentos de Redes
192.168.78.0 LAN LIMA

192.168.80.0 LAN TRUJILLO
192.168.253.0 TUNEL
96
8. ONFIGURACION DEL SERVIDOR VPN FIREWALL LIMA

PARA TRUJILLO
CONFIGURACION DEL TUNEL LIMA-TRUJILLO EN EL

FIREWALL LIMA
Crear la clave secreta para encriptar los datos, esta clave debe ser
igual en ambos puntos del tnel
En la lnea de comandos escribir:
Ps | md5sum
Como resultado se obtiene la clave secreta.
NOTA: Slo generar en caso de que no exista y debe ser igual para
ambos terminales del tnel. En este caso se utilizar la clave generada
para Lima - Arequipa
Configurar la interface para Lima
cd /etc/cipe
Editamos el archivo options.cipcb0: vi options.cipcb0
device cipcb0
me 200.62.136.242:2002
Ipaddr 192.160.253.1
Ptpaddr 192.160.253.254
Peer 216.244.169.173:2002
Key d41d8cd98f00b204e9800998ecf8427e
Grabar
Service ciped start
97
Service ciped stop
9. CONFIGURACION DEL SERVIDOR DE TRUJILLO
CONFIGURACIN DE LA TARJETA DE RED EN EL SERVIDOR

Se edita el archivo ifcfg-eth1:
vi ifcfgeth1
DEVICE = eth1
BOOTPROTO = static
BROADCAST = 192.168.1.255
IPADDR = 192.168.1.2
NETMASK = 255.255.255.0
NETWORK = 192.168.1.0
ONBOOT = yes
Grabar y reiniciar
Editando el archivo network ( configurando la puerta de enlace

gateway)
Se ingresa al directorio sysconfig:
cd /etc/sysconfig
vi network
NETWORKING = yes
HOSTNAME = trujillo.cooperativa
GATEWAYDEV = eth1
GATEWAY = 192.168.1.1
Grabar
Probar el servicio de red

cd /etc/resolv.conf:
vi resolv.conf
98
SEARCH cooperativa
Grabar
En el archivo nsswitch se edita la lnea:
/etc/nsswitch.conf
se edita la liea:
hosts : files dns
Instalacin de CIPE - Pasos
mount /mnt/floppy
cd /root
Se instala CIPE:
rpm ivh cipe*.rpm
cd /etc/rc.d/init.d
99
CONFIGURACION DEL TUNEL TRUJILLO-LIMA

Configurar la interface para Trujillo
cd /etc/cipe
Editamos el archivo options.cipcb0:
vi options.cipcb0
device cipcb0
ping 5
me 192.168.1.2.:2001
Ipaddr 192.168.252.254
Ptpaddr 192.160.252.1
Peer 200.62.136.242:2001
Key d41d8cd98f00b204e9800998ecf8427e
Grabar
Service ciped start
Service ciped stop
cd /etc/rc.d
Editamos el archivo rc.firewall:
100
vi rc.firewall
cipe0 = cipcb0
intlan = 192.160.79.0/255.255.255.0

INTERFACES DE CIPE
cd /etc/cipe
vi ip-up

$5

SERVDORES
cd /etc/rc3.d
Se crea los siguientes enlaces de la siguiente manera:
INSTALACION DEL DHCP
Editamos el archivo dhcp.conf:
vi /etc/dhcpd.conf
subnet 216.244.169.160 netmask 255.255.255.240

{
}
subnet 192.160.254.0 netmask 255.255.255.0
{
}
subnet 192.160.78.0 netmask 255.255.255.0
{
}
subnet 1920.160.79.0 netmask 255.255.255.0
{
101
allow bootp;
option routers 192.160.79.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.160.79.255;
option domain-name cooperativa;
option domain-nameserver 200.14.241.36,
200.14.241.38;
range dynamic-bootp 192.160.78.50 192.160.78.150;
default-lease-time 18000;
max-lease-time 18000;
get-lease-hostnames on;
}
Crear el archivo dhcpd.leases, donde se guardan todas las direcciones

dinmicas asignadas por el servidor
cd /var/lib/dhcp
touch dhcpd.leases
ln -s ../init.d/dhcpd S70dhcpd
Probando el servicio dchp:
service dhcpd start
Detenemos el servicio con:

service dhcpd stop
NOTA: Si el servidor dhcp no est instalado, instarlo con el siguiente

comando:
rpm ivh dhcpd*.rpm
El archivo de instalacin se encuentra en el CD 2 de RedHat.
mount /mnt/cdrom
Se instala el archivo samba-client y samba-common:
cd /RedHat/RPMS
rpm ivh samba*.rpm

umount /mnt/cdrom
102
mount /mnt/cdrom
CONFIGURACION DE SAMBA
Ingresamos al directorio samba:
cd /etc/samba
Editamos el archivo smb.conf:
vi smb.conf
[global]
workgroup=cooperativa
netbios name=trujillo
comment=Servidor de Trujillo
wins support=no
wins server=192.160.78.2
domain master=no
local master=yes
preferred master=no
os level=1
hosts allow=192.160.79. 192.160.78. 127.
printcap name=/etc/printcap
load printers=yes
printing=lprng
security=share
encrypt passwords=yes
smb passwd file=/etc/samba/smbpasswd
socket options=TCP_NODELAY SO_RCVBUF=8192
SO_SNDBUF=8192
name resolve order = wins lmhosts bcast
wins proxy=yes
dns proxy=no
guest account=anonimo
[printers]
comment=Impresora
path=/var/spool/samba
browseable=no
public=yes
printable=yes
guest only=yes
[download]
103
comment=directorio de descarga
path=/home/download
browseable=yes
public=yes
printable=no
writable=yes
guest only=yes
Grabar
Creamos el siguiente enlace:
ln -s ../init.d/smb S82smb
Agregando un usuario Samba
adduser -g users -s /bin/false anonimo
Eliminamos la carpeta anonimo:
rm fr /home/anonimo
Luego creamos el usuario anomino para samba:
smbpasswd a anonimo
Se muestra el siguiente mensaje, pulsamos enter para dejar sin

contrasea.
New SMB password

Add user anonimo
Crear el directorio download:
mkdir /home/download
Dar permiso de acceso a la carpeta Download:
chmod 777 Download

Instalar el rpm
rpm ivh webmin*.rpm
104
al finalizar la instalacin se visualizar el siguiente mensaje:
http://trujillo.cooperativa:10000/

http://192.160.79.1:10000/
Figura IV.9.1: Configuracin del Webmin
105
V. CONCLUSIONES
Actualmente las VPN ofrecen un servicio ventajoso para las empresas

que quieran tener una comunicacin segura con sus proveedores,
clientes u otros, de forma segura, sin necesidad de implantar una red
de comunicacin costosa que permita lo mismo.
Los innegables beneficios en infraestructura y costos que ofrece la

implantacin de Redes Privadas Virtuales como soporte de las
comunicaciones corporativas en la empresa Santo Domingo son el
principal logro que otorga este proyecto de tesis en la interconexin de
una empresa. Esta implementacin de la VPN ofrece garanta de
seguridad en los datos y que hace fcil y factible su empleo, mucho
mas cuando el medio sobre el que se montan es totalmente abierto y,
para determinados propsitos incluso hostil.
Adems esta solucin VPN nos permitir no solo crear la interconexin

con dos sucursales sino que es escalable, es decir nos permitir crear
conexiones virtuales con otros puntos cuando la empresa lo requiera,
generando solo un gasto de mnimo con el PSI de la localidad en la que
esta destinados la interconexin y un CPU con mnimas caractersticas
El factor crtico en la operacin de las VPN no est en el tnel de

conexin, sino en los mecanismos de seguridad que preservan la
intimidad e integridad de la comunicacin. La principal ventaja de usar
una VPN es que permite disfrutar de una conexin a red con todas las
caractersticas de la red privada a la que se quiere acceder. El cliente
VPN adquiere totalmente la condicin de miembro de esa red, con lo
cual se le aplican todas las directivas de seguridad y permisos de un
ordenador en esa red privada, pudiendo acceder a la informacin
publicada para esa red privada: bases de datos, documentos internos,
etc. A travs de un acceso pblico. Al mismo tiempo, todas las
conexiones de acceso a Internet desde el ordenador cliente VPN se
realizaran usando los recursos y conexiones que tenga la red privada.
Por ultimo las VPN representan una gran solucin para las empresas en
cuanto a seguridad, confidencialidad e integridad de los datos y
prcticamente se ha vuelto un tema importante en las organizaciones,
debido a que reduce significativamente el costo de la transferencia de
datos de un lugar a otro, el nico inconveniente que pudieran tener las
VPN es que primero se deben establecer correctamente las polticas de
seguridad y de acceso porque si esto no esta bien definido pueden
existir consecuencias serias.
106
VI. RECOMENDACIONES
El estudios de las redes de computadoras es un tema apasionante y a

la vez emocionante dentro del mundo de las comunicaciones y la
informtica, es por eso que a medida que el tiempo transcurre es
bueno estar al pendiente de las nuevas tecnologas y ventajas que nos
ofrece este inquietante mundo, generalmente las herramientas Open
Source se estn actualizando constantemente gracias a la contribucin
y colaboracin de personas interesadas va Internet.
Cabe desatacar que algunas aplicaciones que necesitan de procesos

bastantes complejos se tienen que correr en maquinas solamente
dedicadas a esas operaciones ya que como son procesos bastantes
pesados como calculo de planillas, requieren ser procesadas por
maquinas potentes y dedicadas a esta labor para que no se sienta
algn retardo o problema en la interconexin.
Otro punto a tener en cuenta es el proveedor de servicio de Internet a

utilizar, si bien es cierto existen varios proveedores que nos pueden
proporcionar este servicio, algunos que nos proporcionan un buen
servicio son realmente muy caros para mantener en una empresa
relativamente pequea, y los que ofrecen una interconexin a Internet
con precios mdicos, su servicio es muy inestable y en algunos casos
con interrupciones en el servicio de manera constante haciendo
imposible una conexin VPN cuando se corren procesos largos, es por
eso necesario la constante evaluacin de los proveedores de
servicio de Internet,
Pensando en el proveedor de servicio de Internet y pensando en lo

pesado que pueden ser algunas aplicaciones que corren en nuestro
ERP, fue utilizado la herramienta CIPE; ya que si bien existen muchos
productos que pudieron ser utilizados, este se caracterizo por ser
liviano y manejar el flujo de la informacin de manera mas rpida, sin
descuidar la seguridad y la contabilidad que debe proporcionar el
servicio, mas se debe de estar pendiente a las nuevas tecnologas y
productos que aparezcan con nuevos y mejores mecanismos de
seguridad y contabilidad para proporcionar este servicio
107
VII. APENDICE
A
Administracin remota
Administrar un equipo desde otro equipo a travs de la red.
Arquitectura cliente-servidor
Estructura de servicios que se ejecuta en Internet o en una intranet. El
equipo cliente tiene acceso al servidor Web, que proporciona al cliente
recursos o informacin no encontrada en el propio host del cliente.
Adems, las aplicaciones CGI e ISAPI puede realizar procesamientos en
el servidor Web y devolver los resultados al cliente.
Asignacin de Extensin de correo Internet multipropsito

(MIME)
Forma de configurar exploradores para ver archivos que estn en
varios formatos.
Autentificacin
Determinar si un usuario tiene permiso de acceso a un recurso o para
realizar una operacin.
B
Base de datos de informacin de administracin (MIB)
Software que describe aspectos administrable de su red utilizando el
Protocolo de administracin de red simple (SMNP). Los archivos de MIB
incluidos en el directorio Sdk del disco compacto de Microsoft Windows
NT pueden utilizarse por monitores SNMP de terceros para activar la
monitorizacin SNMP de los servicios WWW, Gopher y FTP de Microsoft
Internet Information Server.
Bits por segundo (bps)

Medida de velocidad a la que se transfieren los datos a travs de la
red.
Bps
Vea bits por segundo.
Bridges (puentes):
Nos permiten dos cosas: primero, conectar dos o ms Intranets entre
s, aun teniendo diferentes topologas, pero asumiendo que utilizan el
mismo protocolo de red, y segundo, segmentar una Intranet en otras
menores. Los puentes trabajan en el nivel de enlace del modelo OSI de
la ISO. Algunos de los motivos que nos pueden inducir a instalar un
puente son ampliar la extensin de una Intranet y/o el nmero de
nodos que la componen; reducir el cuello de botella del trfico causado
por un nmero excesivo de nodos unidos o unir Intranets de topologas
similares como bus y anillo. Los puentes se pueden crear incorporando
dos tarjetas de red (una de cada una de las Intranets a interconectar)
dentro del mismo servidor (conectado obviamente a ambas redes),
108
siempre que el sistema operativo de red de dicho servidor sea capaz

de gestionarlo. Existe dos tipos de puentes: locales y remotos. Los
puentes locales sirven para segmentar una Intranet y para
interconectar Intranets que se encuentren en un espacio fsico
pequeo, mientras que los puentes remotos sirven para interconectar
redes lejanas.
C
Cach
Almacn de archivos de un servidor Web que, para conseguir un
acceso ms rpido, se copian localmente. Para configurar su cach en
el explorador de Internet Explorer, elija Configuracin del cach en el
men Ver.
Centro de informacin de la red Internet (InterNIC, Internet

Network Information Center)
Coordinador de registro DNS.
CGI
Vea Interfaz de gateway comn (CGI).
cifrado
Forma de hacer que no se puedan descifrar los datos mientras se
envan de un equipo a otro.
Cliente
cualquier estacin de trabajo de una Intranet que solicita servicios a un
servidor de cualquier naturaleza.
control del ancho de banda

Definir la capacidad mxima que puede utilizar un servicio. Es posible
limitar deliberadamente la carga de trabajo de Internet de un servidor
impidindole recibir peticiones a plena capacidad con el fin de ahorrar
recursos para otros programas, como correo electrnico.
cortafuegos (Firewall)
Sistema o combinacin de sistemas que impone un lmite entre dos o
ms redes y mantiene a los piratas fuera de las redes privadas.
criptografa
Mtodo para asegurar las transmisiones de datos a y desde su servidor
Web.
D
DHCP
Vea Protocolo de configuracin dinmica de host (DHCP).
Direccin IP
Vea Direccin IP (Protocolo Internet).
109
Direccin IP (Protocolo Internet)

Direccin exclusiva que identifica a un host en una red. Identifica un
equipo como una direccin de 32 bits que es exclusiva en una red
TCP/IP. Las direcciones IP suelen representarse mediante notacin
decimal con puntos, que muestra cada octeto (ocho bits o un byte) de
una direccin IP como su valor decimal y separa cada uno de los
octetos mediante un punto, por ejemplo: 102.54.94.97.
Direccin URL
Vea Localizador de recursos uniforme (URL).
DNS
Vea Sistema de nombres de dominio (DNS).
Dominio
En el caso de Windows NT Server, un conjunto de equipos que
comparten una base de datos de dominios y una poltica de seguridad
comn. Cada dominio tiene un nombre exclusivo.
DSN
Vea Nombre de origen de datos (DSN).
E
Encaminador
Dispositivo hardware o software que dirige el trfico de una red.
Estacin de trabajo
Cualquier ordenador conectado a la red. Antiguamente slo se llamaba
estacin de trabajo a los ordenadores ms potentes, en la actualidad
no es as. Evidentemente todas las estaciones de trabajo deben
incorporar su tarjeta de red; esto no impide que la estacin pueda
trabajar de forma independiente y utilizar los servicios de la Intranet
cuando le sea necesario.
Explorador de Web
Programa software, como Internet Explorer, que recupera un
documento de un servidor Web, interpreta los cdigos HTML y presenta
al usuario el documento con tantos grficos como pueda proporcionar
el software.
F
FTP
Vea Protocolo de transferencia de archivos (FTP).
110
G
Gateways (pasarelas):
Se trata de ordenadores que trabajan a nivel de aplicacin del modelo
OSI de la ISO. Es el ms potente de todos los dispositivos de
interconexin de Intranets. Nos permiten interconectar Intranets de
diferentes arquitecturas; es decir, de diferentes topologas y
protocolos; no slo realiza funciones de encaminamiento como los
routers, sino que tambin realiza conversiones de protocolos,
modificando el empaquetamiento de la informacin para adaptarla a
cada Intranet.
H
Hipertexto
Documentos con vnculos a otros documentos. Para presentar el otro
documento, haga clic en un vnculo.
Hubs (concentradores):
dispositivo que centraliza la conexin de los cables procedentes de la
estaciones de trabajo. Existen dos tipos de concentradores: pasivos y
activos. Los concentradores pasivos son simplemente cajas que
disponen de unos puertos a los que se conectan las estaciones de
trabajo dentro de una configuracin en forma de estrella. nicamente
se trata de un cuadro de uniones.
Un concentrador activo es un concentrador que dispone de ms
puertos que un concentrador pasivo para la conexin de estaciones y
que realiza ms tareas, como puede ser la de amplificacin de la seal
recibida antes de su retransmisin. A veces se utilizan para estructurar
la topologa de una Intranet, permitiendo mayor flexibilidad en la
modificacin de sta.
HTML
Vea Lenguaje de marcado de hipertexto (HTML).
HTTP
Vea Protocolo de transferencia de hipertexto (HTTP).
I
Integridad de los datos
Forma de evitar que se alteren los datos en el trnsito.
Interfaz de gateway comn (CGI)

Interfaz utilizada por aquellas aplicaciones que se ejecutan en un
servidor Web cuando un cliente las solicita.
Internet
Red global de equipos cuyas comunicaciones se realizan mediante un
protocolo comn, TCP/IP.
InterNIC
Vea Internet Network Information Center (InterNIC).
111
Intranet
Red TCP/IP que puede conectarse a Internet pero que suele estar
protegida por un cortafuegos u otro dispositivo (por ejemplo, una red
de una organizacin).
IP
Vea Protocolo Internet (IP).
ISDN
Vea Red digital de servicios integrados (ISDN o RDSI).
ISP
Vea Proveedores de servicios de Internet (ISP).
L
Lenguaje de marcado de hipertexto (HTML)
Lenguaje de formato utilizado en los documentos de World Wide Web.
limpiador de cach de objetos
Cdigo que busca peridicamente en cach aquellos objetos que hay
que eliminar. Elimina de la cach los archivos que no se han utilizado
recientemente y, por tanto, es poco probable que vuelvan a utilizarse
en el futuro.
Llamada a procedimiento remoto (RPC)

Mtodo para transferir mensajes que permite que una aplicacin
distribuida llame a los servicios disponibles en varios equipos de una
red.
Localizador de recursos uniforme (URL)

Convencin de denominacin que identifica de forma exclusiva la
ubicacin de un equipo, directorio o archivo en Internet. La direccin
URL tambin especifica el protocolo apropiado de Internet, como
Gopher, HTTP, etc.
M
Marcado
Conexin telefnica a un equipo a travs de mdem.
Mscara de subred
Parmetro de configuracin TCP/IP que extrae la configuracin de la red
y el host de una direccin IP.
Medio de transmisin
Se trata de cualquier medio fsico, incluso el aire (como por ejemplo en las
comunicaciones inalmbricas o por radio), que pueda transportar informacin en
forma de seales electromagnticas. El medio de transmisin es el soporte de toda
la Intranet: si no tenemos medio de transmisin, no tenemos Intranet. Existen
diferentes medios de transmisin: cable coaxial, fibra ptica, par trenzado,
112
microondas, ondas de radio, infrarrojos, lser, etc. La eleccin del medio de

transmisin para una red no se hace de forma aleatoria; existen un serie de
factores que lo determinan: la velocidad que queramos en la red, la arquitectura, el
ruido e interferencias que va a tener que soportar, la distancia, etc.
Mtodo de acceso al medio:

una vez que se tiene seleccionado el medio de transmisin que se va a
utilizar para implementar la red, se debe elegir el mtodo que los
diferentes nodos de la red van a emplear para acceder a dicho medio.
En un principio se podra obviar esta cuestin, pero si el lector se
detiene un momento a pensar en el siguiente ejemplo, se dar cuenta
de la necesidad de esta poltica. El ejemplo es el siguiente: Imagine,
que tiene dos ordenadores de su Intranet que quieren utilizar la red
para enviar informacin en un instante determinado. Si los dos
ordenadores colocan en el medio fsico, sin ms, la informacin, puede
ser que ambos paquetes de informacin choquen y de deterioren, no
llegando ninguno de ellos a su destino. Obviamente, cuando varios
dispositivos estn compartiendo un medio comn, es necesaria la
implantacin de una poltica de uso de dicho medio: se trata de un
mtodo de acceso al medio. Se podran citar como medios ms
comunes el paso de testigo, acceso mltiple por deteccin de
portadora con y sin deteccin de colisiones, polling, contencin simple,
etc. En cada topologa de red se utiliza el ms conveniente de estos
mtodos; por ejemplo, cuando se tiene una red en anillo, el mtodo de
acceso al medio utilizado es el paso de testigo, mientras que si
tenemos una topologa en bus, los mtodos de contencin son lo ms
adecuados. Los mtodos de control de acceso al medio se encuentran
dentro del nivel de enlace de la torre OSI, por lo que en realidad
pueden entenderse como protocolos de red.
MIB
Vea Base de datos de informacin de administracin (MIB).
N
NNTP
Vea Protocolo de transferencia de noticias de red (NNTP).
Nodo
cualquier estacin de trabajo, terminal, ordenador personal, impresora
o cualquier otro dispositivo conectado a la Intranet. Por lo tanto, este
trmino engloba al anterior. Los dispositivos pueden conectarse a la
Intranet a travs de un ordenador, o bien directamente si stos son
capaces de soportar una tarjeta de red.
Nombre amistoso
Nombre que sustituye a una direccin IP, por ejemplo,
www.microsoft.com en lugar de una direccin IP como 157.45.60.81.
113
Nombre de origen de datos (DSN)

Nombre que posibilita una conexin con un origen de datos ODBC,
como por ejemplo una base de datos de SQL Server. Este nombre se
definen utilizando la aplicacin ODBC del Panel de control.
Nombre de origen de datos (DSN) del sistema

Nombre que cualquier proceso puede utilizar en el equipo. Internet
Information Server utiliza DNS de sistema para tener acceso a orgenes
de datos ODBC. Vea tambin Nombre de origen de datos (DSN).
nmero de puerto
Nmero que identifica una aplicacin determinada de Internet. Por
ejemplo, el numero de puerto predeterminado del servicio Gopher es
70 y el del servicio WWW es 80.
O
Objetos voltiles
Normalmente, archivos que el administrador de sitios Web actualiza
con frecuencia.
P
Pgina
Vea pgina Web.
Pgina Web
Documento de World Wide Web. Las pginas pueden contener casi de
todo, incluyendo noticias, imgenes, pelculas o sonidos.
Paquete
Informacin que se enva a travs de la red.
Protocolo
Software que permite a los equipos comunicarse a travs de una red.
El protocolo de Internet es TCP/IP.
Protocolo de administracin de red simple (SNMP)

Protocolo para monitorizar su red. Vea tambin Base de datos de
informacin de administracin (MIB).
Protocolo de configuracin dinmica de host (DHCP)

Protocolo estndar de la industria que asigna configuraciones de
Protocolo Internet (IP) a equipos.
Protocolo de control de transmisin/Protocolo Internet (TCP/IP)

Protocolo de red que permite a los equipos comunicarse a travs de
redes interconectadas e Internet. Todos los equipos de Internet son
compatibles con TCP/IP.
114
Protocolo de transferencia de archivos (FTP)

Estndar de la industria para compartir archivos entre equipos.
Protocolo de transferencia de correo simple (SMTP)

Protocolo utilizado para intercambiar correo en Internet.
Protocolo de transferencia de hipertexto (HTTP)

Protocolo mediante el cual se comunican los clientes y servidores de
WWW.
Protocolo de transferencia de noticias de red (NNTP)

Protocolo para leer mensajes enviados en miles de grupos de noticias
de Internet.
Protocolo Internet (IP)

Parte de TCP/IP que encamina los mensajes desde una ubicacin de
Internet a otra.
Proveedores de servicios de Internet (ISP)

Proveedores pblicos de conexiones remotas con Internet.
Proxy
Programa software que conecta un usuario a un destino remoto
mediante una puerta de enlace o gateway intermediaria.
Puerta de enlace o gateway

Dispositivo hardware o software que dirige el trfico de la red.
R
RAS
Vea Servicio de acceso remoto (RAS).
Red digital de servicios integrados (ISDN o RDSI)

Conexin a Internet instalada por su proveedor de servicios de Internet
(ISP). Una lnea de marcado de ISDN (RDSI) puede ofrecer una
velocidad mxima de 128.000 bps.
Routers (encaminadores):
Se trata de dispositivos que interconectan Intranets a nivel de red del
modelo OSI de la ISO. Realizan funciones de control de trfico y
encaminamiento de paquetes por el camino ms eficiente en cada
momento. La diferencia fundamental con los bridges es que stos no
son capaces de realizar tareas de encaminamiento en tiempo real, es
decir, una vez tienen asignado un camino entre un nodo origen y uno
destino siempre lo utilizan, aunque est saturado de trfico, mientras
que los routers son capaces de modificar el camino establecido entre
dos nodos dependiendo del trfico de la red y otros factores.
RPC
Vea Llamada a procedimiento remoto (RPC).
115
S
Secure Sockets Layer (SSL)
Protocolo que proporciona comunicaciones de datos seguras mediante
codificacin y decodificacin de datos.
Seguridad SSL
Vea Secure Sockets Layer (SSL).
Servicio
Uno de los tres servicios proporcionados por Internet Information
Server: WWW, Gopher o FTP.
Servicio de acceso remoto (RAS)

Servicio que permite a los clientes remotos que ejecuten Microsoft
Windows o Windows NT marcar para entrar en una red.
Servidor
Se trata de una estacin de trabajo que gestiona algn tipo de
dispositivo de la Intranet, como pueden ser impresoras, faxes,
modems, discos duros, etc., dando servicio al resto de las estaciones,
no siendo necesario que dichos dispositivos estn conectados de forma
directa a esta estacin. Por tanto, se puede hablar de servidor de
impresin, servidor de comunicaciones, servidor de ficheros, etc. Estos
servidores pueden ser dedicados, cuando no pueden utilizarse para
otra cosa, o no dedicados, cuando funcionan como un ordenador ms
de la Intranet, adems de prestar servicios como servidor de algn
elemento
Servidor de Servicio de nombres Internet de Windows (WINS)

Protocolo para asignar direcciones IP (Protocolo Internet) a nombres
fciles de utilizar. Vea tambin Sistema de nombres de dominio (DNS).
Servidor de WINS
Vea servidor de Servicio de nombres Internet de Windows (WINS).
Servidor Web
Equipo dotado del software del servidor con el fin de responder a las
peticiones de los clientes Web, como por ejemplo las peticiones de un
explorador de Web. Los servidores Web utilizan los protocolos HTTP,
FTP y Gopher de Internet para comunicarse con los clientes en una red
TCP/IP.
Sistema de nombres de dominio (DNS)

Protocolo y sistema utilizados en toda la red Internet para asignar
direcciones de Protocolo Internet (IP) a nombres fciles de utilizar. A
veces, a DNS se le denomina servicio BIND.
SMTP
Vea Protocolo de transferencia de correo simple (SMTP).
116
SNMP
Vea Protocolo de administracin de red simple (SNMP).
T
TCP/IP
Vea Protocolo de control de transmisin/Protocolo Internet (TCP/IP).
U
Usenet
La jerarqua de grupos de noticias ms conocida en Internet.
V
vnculo
Forma de saltar a otro lugar en Internet. Los vnculos suelen aparecer
en un formato distinto al texto normal. Para iniciar el salto, es
necesario hacer clic en el vnculo.
VPN
Enlace de red privada, transportado sobre una red pblica mediante el
uso de tunelizacin. La comunicacin probablemente utilice tcnicas
de encriptado.
W
World Wide Web (WWW)
El servicio ms grfico de Internet. El Web tambin tiene las
capacidades de vinculacin ms sofisticadas.
WWW
Vea World Wide Web (WWW).
VIII. BIBIOGRAFIA
LINKS INTERNET
Unix VPN
http://www.crosswinds.net/nuremberg/~anstein/unix/vpnd.html ,
Internet
Networking
http://www.linuxpowered.com/html/links/networking.html, Internet
Vpn - Howto
http://www.linuxdoc.org/HOWTO/VPN-HOWTO.html, Internet
Tuneling
http://www.worldvisions.ca/tunnelv/, Internet
117
Cipe
http://sites.inka.de/sites/bigred/devel/cipe.html, Internet
Grupo Calidad y Mantenimiento.

http://www.canaljuridico.com/calyman/servinformatica.htm, Internet
ADSLNet.
http://www.adslnet.ws/vpn_firewalls.htm, Internet
Microsoft.
http://www.microsoft.com/Latam/OEM/ntw/Brk/documents/vpn.doc,
Internet
Microsoft Technet.
http://www.microsoft.com/Latam/technet/articulos/200007/art08/defaul
t.asp, Internet
LaCompu.com.
http://www.lacompu.com/desarrollo/notas/redesprivadasvirtuales/2.php
3, Internet
Cisco System.
http://www.cisco.com/warp/public/cc/pd/rt/7100/prodlit/vpnsp_pg.ppt,
Internet
UNICOM.
http://www.unicomsecurity.com/informacion/glosario/glosario.asp,
Internet
IBER-X.
http://www.iber-x.com/glosario.php , Internet
E-Siglo.
http://www.e-siglo.com/flosario.htm, Internet
Universidad de Valencia.
http://www.uv.es/ciuv/cas/vpn/, Internet
OpenBSD.
http://www.openbsd.org/faq/faq13.html , Internet
Interdic.
http://www.arrakis.es/~aikido/interdic/in_q_z.htm, Internet
Nortel Networks,
vate Networks (VPNs), Tutorial,
IEC Webproforum Tutorials.
http://www.webproforum.com , Internet.
Psinet,
Intranets and Virtual Private Networks (VPNs),
118
Tutorial, IEC Webproforum Tutorials.

http://www.webproforum.com/ , Internet
Cisco Systems,
Overview of Access VPNs and Tunneling Technologies,
http://www.cisco.com/ , Internet.
Ascend Communications,
Virtual Private Networks Resource Guide, Arquivo PDF.
http://www.lucent.com/ins/library/pdf/techdocs/vpnrg.pdf , Internet.
Microsoft Corporation,
Understanding Point-to-Point Tunneling Protocol (PPTP), Janeiro de
1997,
http://msdn.microsoft.com/library/backgrnd/html/understanding_pptp.h
tm
LIBROS
HABRAKEN, Joe.
"Routers Cisco".
Editorial Pretince Hall. Espaa.
COMER, Douglas.
"Redes globales de informacin con Internet y TCP/IP Principios bsicos,
protocolos y arquitectura".
Editorial Pearson.
3ra Edicin. Mexico.
SCOTT, CHARLY, WOLFE, PAUL, ERWIN, MIKE.

"Virtual Private Networks",
2 edicin, OReilly & Associates,
Enero 1999.
BELLOVIN, S. M.
Problem Areas for the IP Security Protocols. In Proceedings of the
Sixth
Usenix Security Symposium,
1996.
Cruz, Patio Hctor Ral.

Anlisis y Modelado de Mecanismos para la Implementacin de Redes
con Calidad de Servicio.
Tesis de Maestra, Departamento de Electrnica y Telecomunicaciones,
CICESE. Agosto 2001.
CISCO SYSTEMS.
Packcet - Cisco Systems Users Magazine
Vol.12, N1,
Primer Trimestre/2000
CHIN, Liou Kuo.
119
Red Privada Virtual - VPN, RNP News Generation

Volumen 2, nmero 8:
13 de Noviembre de 1998,
120

Desarrollo de Una Virtual Private Networ

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Desarrollo de Una Virtual Private Networ

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

(Universidad del Per, DECANA DE AMERICA)

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMTICA

DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN)

TESISTA :PERCY VIVANCO MUOZ

ASESOR :VICTOR BUSTAMANTE OLIVERA

Virtual Private Net (VPN) connects the components of a net on another

Hereby, the Integrated System of the company demands monthly

It is because of it the need to establish a connection (a sure conduit)

The process of investigation and development raised in the development

(Universidad del Per, DECANA DE AMERICA)___________________________________________1

DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN) PARA LA

Figura I.2.1: Componentes tpicos de un sistema en red.................................................... 16

La idea de red es probablemente tan vieja como la de las

2. CONCEPTO DE UNA RED

La ms simple de las redes conecta dos computadoras, que comparten

Figura I.2.1: Componentes tpicos de un sistema en red

El sistema operativo de red (NOS, Network Operating System) presenta

Con Servidor Dedicado:

Definicin de Red y Operador

Hay que sealar una diferencia entre el trmino subred y red:

La subred lleva asociada una uniformidad tecnolgica y sobre todo, de

3. COMPONENTES DE UNA RED

Una red de computadoras esta formada por la conexin del hardware y

A continuacin se listan los componentes, tal como se muestran en la

Figura I.3.1: Componentes de una red

Tarjetas o Placas de Interfaz de Red:

Recursos y Perifricos Compartidos:

Un sistema operativo de red (SOR):

4. COBERTURA DE LAS REDES

En la figura 4.1 se muestra el mbito de cobertura de las redes.

Figura I.4.1: mbito de cobertura de las redes

Red de rea Local (LAN)

Cuando no posee conexin con otras ciudades porque no est conectada

La topologa o la forma de conexin de la red, depende de la distancia

Red Metropolitana (MAN)

Red de Gran Alcance (WAN)

Algunas redes de rea extendida estn conectadas mediante lneas

5. CLASIFICACION DE LAS REDES DE ACUERDO A SU

Dependiendo de su arquitectura y de los procedimientos empleados para

Una transmisin de este tipo tiene 3 fases :

Se entiende por conmutacin en un nodo, a la conexin fsica o lgica, de

Las redes conmutadas se dividen en :

Caractersticas importantes de su funcionamiento son :

En cada nodo intermedio se apunta una relacin de la forma :

La arquitectura de una red viene definida por su topologa, el mtodo de

Bsicamente existen tres topologas de red:

Figura I.6.1: Topologa en Estrella

Red en Canal o Bus

Cada una de las computadoras revisa el mensaje y comparar la direccin

Figura I.6.2: Topologa de Canal o Bus

La forma interna de comunicacin, de una computadora a otra, es similar

Tal como se aprecia en la figura 6.3, que a continuacin se detalla

Figura I.6.3:Topologa de Anillo

Enlace principal (Backbone)

Hace algunos aos era impredecible la evolucin de las comunicaciones

La interconexin de redes permite ampliar el tamao de una intranet. Sin

El nmero de ordenadores que componen una intranet es limitado,

Habitualmente la seleccin del tipo y los elementos fsicos de una

Cuando se tiene una red grande se divide en trozos, llamados

Segmentar una Intranet es dividirla en subredes para as poder aumentar

Cuando se segmenta una intranet, lo que se esta haciendo es crear

Conectan a nivel fsico dos intranets, o dos segmentos de intranet. Hay