Академический Документы
Профессиональный Документы
Культура Документы
Introduccin.
Tunelizacin.
Aplicaciones.
Introduccin
El nuevo concepto de la RED de la empresa, conocida como INTRANET, se extiende sobre
un rea geogrfica amplia, a veces un pas o un continente.
En los ltimos aos las redes se han convertido en un factor crtico para cualquier
organizacin. Cada vez en mayor medida, transmiten informacin vital para la empresa, por lo
tanto deben cumplir con atributos tales como:
Seguridad
Fiabilidad
Alcance geogrfico
Efectividad
Costos.
Las redes reducen en tiempo y dinero, eso significa una gran ventaja para las organizaciones
sobre todo las que tienen oficinas remotas. Esta situacin incit el crecimiento de Internet y sus
servicios de informacin popular, normalmente conocida como World Wide Web.
Al final de logr el xito que la comunidad haba estado esperando durante aos:
Protocolos simples
Plataforma independiente
Comunicacin ms eficaz.
Pero tambin es cierto que han provocado curiosidad, espionaje, ataques a los servidores por
diversin o por intereses, de manera de obtener informacin confidencial. Por tal motivo la
seguridad en las redes es de suma importancia, de all que escuchemos hablar tanto sobre
firewall y VPN
Las personas que acceden a la red pblica pueden o no tener nada en comn, y cualquier
persona dada en esa red slo puede comunicarse con un pequeo fragmento de sus potenciales
usuarios.
1
Una red privada est compuesta de computadoras de una sola organizacin que comparten la
informacin especficamente entre s.
En este caso existe la seguridad de que son los nicos que usan la red, y que la informacin
solo ser entre ellos. En el peor de los casos, slo podr ser vista por otros usuarios del mismo
grupo.
La tpica Red del rea Local corporativa (LAN) o la Red de rea Extensa (WAN) es un
ejemplo de una red privada.
La lnea de separacin entre la red privada y la pblica siempre ha sido trazada por el router.
Al puede colocarse un firewall para mantener alejado a los intrusos, o para impedir a los
usuarios interiores acceder a la red pblica
SERVIDOR
ROUTER
INTERNET
FIREWALL
Figura 18
Las redes privadas virtuales (VPN), desdibujan la lnea entre la red pblica y la red
privada.
Una VPN le permiten crear una red segura, sobre de una red pblica, usando software,
hardware, o una combinacin de los dos para crear un enlace seguro sobre la red pblica.
OFICINA
HOGAREA
CASA
CENTRAL
OFICINA
REMOTA
COMPAA
ASOCIADA USUARIO
(PARTNER) MVIL
Figura 19
Qu es una VPN?
Segn la definicin estndar proporcionada por el Internet Engineering Task Force (IETF),
una VPN es:
"An emulation of [a] private Wide Area Network (WAN) using shared or public facilities,
such as the Internet or private backbones".
"Una emulacin de una Red WAN usando medios compartidos o pblicos, como Internet o
backbones privados."
En trminos ms simples, una VPN es una extensin de una Intranet privada a travs una red
pblica (Internet) que asegura conectividad segura y confiable entre dos extremos. La Intranet
privada es extendida con la ayuda de "tneles lgicos" privados. Estos tneles permiten a los dos
extremos intercambiar datos de una manera parecida a una comunicacin punto a punto.
Resumiendo:
3
Una VPN es un una red privada que se extiende, mediante un proceso de encapsulacin
y encriptacin de paquetes creando un seguro tnel privado de comunicacin entre dos o
ms dispositivos a travs de una red pblica (por ejemplo Internet).
Una red privada virtual es una manera de simular una red privada sobre una red pblica, como
Internet. Se llama "virtual" porque depende del uso de conexiones virtuales, que son conexiones
temporales sin presencia realmente fsica. Solo consisten en el encaminamiento de paquetes a
travs de los distintos dispositivos dentro de la Internet. Las conexiones virtuales seguras son
creadas entre dos mquinas, una mquina y una red, o dos redes. Estos dispositivos pueden ser
cualquier computadora ejecutando software VPN o un dispositivo especial como por ejemplo un
router con facilidades VPN. Esto permite conectar la computadora hogarea a la red de la
oficina, tambin permite que dos computadoras en diferentes ubicaciones se conecten en forma
segura sobre Internet.
Pueden usarse redes privadas virtuales para extender el alcance de una Intranet. Dado que las
Intranets son tpicamente usadas para comunicar informacin propietaria, no es deseable que sea
accesible desde Internet.
Puede haber casos, sin embargo, dnde se querr compartir datos con usuarios remotos
conectados a su Intranet, y estos usuarios pueden usar Internet como medios de conexin. Una
VPN les permitir conectar seguramente a Intranet, sin temores de que la informacin sensible
quede desprotegida.
Podemos ver ahora como una VPN puede extender las funcionalidades de la Intranet. Bajo
este contexto no hay ninguna razn por qu los clientes o vendedores no puedan usar la Internet
para acceder al servidor web que aloja la base de datos de clientes por cuanto puede proporcionar
un enlace entre los usuarios mviles y el web server de la Intranet. Esto provee flexibilidad, y
permite que cualquier servicio de la red pueda ser usado a travs de la Internet.
Las primeras VPN, conocidas como SDN (Software Defined Networks), fueron ofrecidas por
AT&T en los 80. SDN permita construir WAN con enlaces dedicados o conmutados y basadas
en bases de datos para clasificar intentos de acceso local o remoto. Basado en esta informacin,
el paquete era ruteado a su destino a travs de la infraestructura de la red pblica conmutada.
Despus de la segunda generacin, el avance fue lento hasta la aparicin de las tecnologas
Frame Relay (FR) ATM. La 3ra generacin est basada en el concepto de conmutacin virtual de
circuitos en las cual los paquetes de datos no contienen las direcciones origen/destino, sino
indicadores de los circuitos virtuales involucrados en la transaccin origen/destino.
Ante las necesidades de e-commerce a mediados de los 90, los requisitos del usuario estaban
mejor definidos. Las organizaciones necesitaban una solucin fcil de implementar, escalar y
administrar; globalmente accesible y capaz de proporcionar alto nivel de seguridad de extremo a
extremo. La generacin actual de VPN (las IP VPN) renen todos estos requisitos mediante el
empleo de tecnologa de tunelizacin.
Dado que el paquete original puede ser de cualquier tipo, el tunneling soporta trfico multi-
protocolo, incluido IP, PPP, ISDN, FR y ATM.
Codificacin de datos: Los datos que a transmitir por la red pblica deben ser
previamente encriptados para que no puedan ser ledos por usuarios no autorizados.
Soporte a protocolos mltiples: debe ser capaz de manejar los protocolos comunes
que se utilizan en la red pblica. Estos incluyen el protocolo de Internet (IP), el
intercambio de paquete de Internet (IPX) entre otros.
CASA
CENTRAL
OFICINA
REMOTA
VPN DE ACCESO
REMOTO
* Muy segura
* Escalable
EXTRANET VPN * Tnel encriptados a
* Extiende la WAN a travs de redes
partners COMPAA pblicas mediante
* Provee seguridad de software del cliente
ASOCIADA USUARIO * Ahorro mediante
Capa 3 (L3)
(PARTNER) MVIL discado gratuito
Figura 20
En el modo tnel tambin se usa como protocolo de encapsulamiento IPSec, que opera tanto
en protocolos VPN site-to-site como de acceso remoto. IPSec debe ser soportado por ambas
interfaces del tnel.
7
Las Site-to-site VPN pueden ser de dos tipos:
En una VPN de acceso remoto, normalmente se utilizan protocolo basados en PPP (Point-to-
Point Protocol). PPP es el portador para otros protocolos de IP que se comunican a travs de la
red. El tunneling por acceso remoto confa en PPP.
Los protocolos indicados en la figura 22, que son empleados por las VPN de acceso remoto,
usan la estructura bsica de PPP:
199.1.1.10
ISP Servidor de Tneles
Rango 199.1.1.245-254
199.1.1.24
ISP Tnel
Origen: 200.1.1.20
Destino: 199.1.1.10
Origen: Red 199.1.1.0/24
POP (Point of Presence) 199.1.1.245
200.1.1.20
Red 200.1.1.0/24 Destino: 199.1.1.69
Ping 199.1.1.69
Arquitecturas de VPN
Pueden realizarse de muchas maneras. Por ejemplo, si dependen de que extremo se
implementa, de los requisitos bsicos de seguridad, disponibilidad, QoS y as sucesivamente, se
pueden clasificar en tres categoras.
Si dependen de la capa del modelo OSI en la cual funciona la infraestructura global de VPN,
puede ser dividido en dos grupos.
Figura 24
Figura 25
9 Conexiones virtuales Frame Relay: Usa conexiones virtuales en la que ambos extremos
usan clocking adaptativo durante la transmisin. La tasa se ajusta a la aplicacin y
sealizacin. Tecnologa VPN barata y CIR garantizado.
9 Conexiones virtuales ATM: Similares a FR, pero usan infraestructura ATM. Son ms
rpidas y buena performance. Son ms caras que FR.
9 Multi-protocolo sobre ATM (MPOA): Basadas en ATM, pero soportan mltiples
protocolos dependientes de los routers localizados al borde de la red privada. No es popular
porque ATM no es aceptable en una intranet hbrida con varias tecnologas de gestin de
redes.
9 Multi-Protocol Label Switching (MPLS): Provee un medio eficaz para establecer VPN
basadas en IP a travs de backbones WAN ATM. El router construye la VPN en la tabla de
enrutamiento. A cada ruta se le asigna una etiqueta que enva informacin de ruteo a cada
router conectado. Durante la transmisin, el dispositivo MPLS que recibe estos paquetes IP
los encapsula usando etiquetas MPLS. Es la etiqueta MPLS y no el IP Header el que se usa
para rutear los paquetes a travs de la WAN. En el borde de la Intranet, cuando el paquete
est a punto de acceder a la infraestructura basada en IP, la etiqueta de MPLS es removida.
Network-layer VPN
Las VPN de Capa de Red, tambin conocidas como L3-VPN, usan la funcionalidad de la
Capa de Red y pueden organizarse dos categoras:
9 Modelo Peer-VPN: En este modelo, la Capa de Red enva los paquetes en un camino
basado en saltos (hop-to-hop). El camino a cada router es considerado como el camino a la
red destino. Todos los router en el camino de trnsito son consideradas como pares.
9 Modelo Overlay VPN: Al contrario del modelo Peer-VPN, este modelo no calcula el
camino a la red del destino en una base hop-to-hop. La infraestructura de internetworking
usa como un "cut-through" al prximo router en el camino de trnsito. Las tecnologas
VPN basadas en ATM, FR y VPN usando tunneling son algunos ejemplos del modelo
Overlay VPN.
Las redes VPN Layer 3 tambin son conocidas como VPDN (Virtual Private Dial Networks)
y usan dos tecnologas de tunneling de Capa 2: PPTP y L2TP.
El aspecto ms importante del tunneling es que el paquete original, tambin llamado carga
til (payload), puede pertenecer a un protocolo no soportado por la red. En lugar de transferir el
paquete original que no sera ruteable por la red el protocolo de tunneling subyacente anexa el
encabezado para el paquete tunelizado (tunneled packet). Este header proporciona la
informacin de asignacin de ruta necesaria para la entrega exitosa del paquete.
El tunnelig es anlogo al correo al enviar una carta. Luego de escribir la carta, la coloca en un
sobre. Este sobre lleva la direccin del destinatario y del remitente (direcciones origen y
destino). Cuando enva esta carta, se entrega al destinatario segn la direccin del sobre. El
destinatario necesita abrir el sobre para leer la carta. En tecnologa de tunnelizado, la carta es
equivalente a la carga til original y el sobre representa el paquete del protocolo ruteable que
encapsula la carga til. La direccin en el sobre representa la informacin de la asignacin de
ruta que se aade al paquete.
Cuando un paquete tunelizado es ruteado al destino, viaja por la red a travs de un camino
lgico. Este camino lgico es llamado el tnel. Al recibir un paquete tunelizado, el destinatario
devuelve el paquete a su formato original. La figura 26 muestra el proceso.
Figura 26
9 La red designada (Target network): Es la red que contiene los recursos que necesitan los
clientes para el acceso remoto que inician la sesin VPN. (La red designada tambin es
llamada la red residente (home network) en algunas VPN).
9 El nodo iniciador: Es el cliente remoto o servidor que inicia la sesin VPN. El nodo
iniciador puede ser una parte de una red local o puede ser un usuario mvil usando una
laptop.
9 Agente Local HA (Home Agent): La interface de software que reside en el nodo de acceso
(router) de la red designada. Sin embargo, un nodo destino, como un servidor de acceso
12
dial-up, tambin puede soportar el HA. El HA recibe y autentica el requerimiento entrante
para verificar que son confiables. Luego de la autenticacin exitosa, el HA permite el
establecimiento del tnel.
9 El Agente Externo FA (Foreign Agent). La interface de software que reside en el nodo
del iniciador o el nodo de acceso a la red (router) a la cual pertenece el nodo iniciador. El
nodo iniciador usa el FA para pedir una sesin VPN al HA de la red designada.
9 Fase I: El nodo iniciador (o cliente remoto) solicita una sesin VPN y es autenticado por el
correspondiente HA.
9 Fase II: La transferencia de datos ocurre a travs del tnel.
Si los dos extremos no usan el mismo protocolo de tunneling, son negociados los parmetros
variables de configuracin tnel, tales como encriptacin, parmetros de compresin, y
mecanismos de mantenimiento del tnel.
Figura 28
Como puede verse, un paquete tunelizado o Tunneled Packet, consiste de tres partes:
Figura 29
14
Encabezamiento del protocolo ruteable (Header routable protocol): Contienen las
direcciones del origen (FA) y del destino (HA). Como habitualmente las transacciones
son sobre Internet, este header generalmente es el estndar IP y contiene las IP
addresses del FA y HA involucrados en la transaccin.
Encabezamiento del paquete de tnel (Tunnel packet header): Este header
contiene los cinco campos siguientes:
9 Tipo de Protocolo. Indica el tipo del protocolo original del paquete de datos
(payload).
9 Checksum. Contiene la suma de verificacin usada para chequear si el contenido
del paquete se corrompi durante la transmisin. Esta informacin es opcional.
9 La clave (Key). Es usada para identificar o autenticar el origen de los datos
(iniciador).
9 Nmero de Secuencia. Contienen el nmero que indica la secuencia en la serie
de paquetes transmitidos.
9 Asignacin de ruta origen (Source routing). Contiene informacin adicional de
routing. Este campo es opcional.
Carga til (Payload). Es el paquete original enviado por el iniciador al FA. Tambin
contiene el encabezado original.
Protocolos de Tunneling
La tecnologa de Tunneling hace uso de tres tipos de protocolos:
Protocolo de Transporte (Carrier protocol): Este protocolo es usado para encaminar
los paquetes tunelizados al destino pretendido a travs de la red. El paquete tunelizado
es encapsulado dentro del paquete de este protocolo. Dado que debe enrutar el paquete
a travs de redes heterogneas, tales como Internet, este protocolo debe ser
ampliamente soportado. Como resultado, si el tnel es creado a travs de Internet, el
protocolo de transporte predominantemente usado es IP. No obstante, en caso de
intranet privada, los protocolos de enrutamiento nativos pueden tambin servir de
protocolo de transporte.
Protocolo de Encapsulamiento (Encapsulating protocol): Estos protocolos son
usados para encapsular la carga til original. Adems, tambin es responsable de la
creacin, mantenimiento y terminacin del tnel. Actualmente los ms usados son
PPTP, L2TP y IPSec
Protocolo Pasajero (Passenger Protocol): Los datos originales que necesitan ser
encapsulados para su transmisin a travs del tnel pertenecen a este protocolo. PPP y
SLIP son ejemplos de protocolos pasajeros.
Figura 30
15
Tipos de Tneles
Hay dos tipos de tneles usados durante una sesin VPN. Basados en la forma en la cual es
creado un tnel, este puede ser voluntario u obligatorio
Tneles Voluntarios
Tambin conocidos como tneles extremo a extremo (end-to-end tunnels), son creados a
pedido del usuario (cliente). Como resultado, el nodo iniciador acta como punto final del tnel.
Por consiguiente, se crea un tnel por separado para cada sesin de usuarios. Despus de que la
comunicacin entre ambos extremos acaba, el tnel se termina.
Figura 31
En el caso de un cliente remoto que usa una conexin dial-up, el cliente necesita primero
establecer la conexin. ste es un paso preliminar para establecer los tneles y no es parte del
protocolo de establecimiento del tnel. Slo despus que la conexin dial-up se completa puede
el iniciador establecer el tnel al nodo destino. La situacin es menos compleja en el caso de un
cliente que est conectado a la red en forma permanente a la red local. Por consiguiente, no
necesita establecer una conexin dial-up.
Tneles Obligatorios
A diferencia de los tneles voluntarios, solicitados por los clientes, los tneles obligatorios (o
compulsivos) se configuran en un dispositivo intermedio. El NAS (Network Attached Storages)
o servidor dialup son tales dispositivos intermedios. Este tipo de tunneling es llamado
(compulsory tunneling) porque el iniciador debe usar el tnel creado por el dispositivo del
intermedio.
El dispositivo intermedio usado para preparar los tneles VPN es conocido por los diferentes
protocolos de tunelizacin. Por ejemplo, en la terminologa L2TP un dispositivo intermedio se
llama LAC (L2TP Access Concentrator). En la terminologa PPTP el dispositivo es conocido
como FEP (Front End Processor). Para IPSec, el dispositivo intermedio que prepara el tnel
durante una sesin VPN normalmente se llama IP Security Gateway.
En el caso de tunneling compulsivo, como el mostrado en la figura 32, tanto el cliente remoto
como el cliente conectado a la LAN deben conectarse al dispositivo intermedio generalmente
16
localizado en POP del ISP. Despus de que la conexin se establece con xito, el dispositivo
intermedio crea el tnel.
Figura 32
Dado que el nodo iniciador no participa en la creacin o configuracin del tnel, no acta
como punto final del mismo. En este caso, el dispositivo intermedio responsable del tnel, acta
como punto final. Los tneles compulsivos pueden ser compartidos por mltiples
comunicaciones. El tnel no termina hasta que la ltima comunicacin se haya completado.
Algunos expertos definen dos tipos de tneles basados en el periodo de actividad, as tenemos
tneles estticos y tneles dinmicos. Los estticos permanecen activos hasta que son
finalizados, sin tener en cuenta la transmisin de datos. Estos tipos de tneles son caros y se usan
en VPN site-to-site. Los tneles dinmicos solo se activan, cuando se necesita transferir dato.
Son ms seguros que los estticos.
Figura 32
17
Estos incluyen los protocolos PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2
Forwarding) y L2TP (Layer 2 Tunneling Protocol).
Antes de discutir sobre estos protocolos, es conveniente conocer al protocolo PPP (Point-to-
Point Protocol) esencial para todos los protocolos de tunelizacin de Capa 2 que usan PPP.
Un estndar para encapsular paquetes de datos sobre enlaces punto a punto. Este estndar
de encapsulamiento de paquetes es similar al protocolo HDLC. Sin embargo hay algunas
diferencias entre ambos.
Un estndar para establecimiento, configuracin y prueba de la conexin punto a punto
con ayuda del protocolo LCP (Link Control Protocol)
Un estndar para el establecimiento y configuracin de varios protocolos de Capa de Red
y deteccin de errores durante la transmisin en la forma del protocolo NCP (Network
Control Protocol)
Figura 33
19
Un cliente PPTP
Un Servidor de Acceso de Red (NAS - Network Access Server)
Un servidor PPTP
Figura 34
Clientes PPTP
Un cliente PPTP es un nodo de la red que soporta PPTP y puede requerir otro nodo para una
sesin VPN. Si la conexin es solicitada desde un servidor remoto, el cliente PPTP debe usar los
servicios NAS de un ISP. Para esto, el cliente debe conectarse a un mdem que se usa para
establecer una conexin PPP dial-up al ISP. El cliente PPTP tambin debe conectarse a un
dispositivo VPN para que pueda tunelizar la demanda (y los datos subsecuentes, si la demanda se
acepta) al dispositivo VPN en la red remota. El enlace al dispositivo VPN remoto usa la primera
conexin dial-up al NAS del ISP para establecer un tnel por Internet u otra red.
A diferencia de los requerimientos remotos de sesiones VPN, las demandas para una sesin de
VPN a un servidor local no requieren una conexin al NAS del ISP. Tanto el cliente y el servidor
estn fsicamente conectados a la misma red (LAN), haciendo una conexin al NAS del ISP
innecesaria. El cliente, en este caso, slo requiere una sesin dial-up con el dispositivo de VPN
en el servidor.
Como los requisitos de asignacin de ruta a los paquetes PPTP para una demanda remota y
una local son diferentes, se procesan los paquetes asociados con dos demandas diferentemente.
Los paquetes PPTP se ubican en un servidor local en el medio fsico conectado al adaptador de
red del cliente PPTP. Recprocamente, el paquete PPTP a un servidor remoto se rutea a travs de
los medios de comunicacin fsicos conectados a un dispositivo de la telecomunicaciones, como
un router. La colocacin de paquetes PPTP en los medios de red se ilustra en la figura 35.
20
PPTP Servers
Los Servidores PPTP son nodos de la red que soportan PPTP y son capaces de satisfacer
demandas de servicio para sesiones VPN de otros nodos remotos o locales. Para responder a las
demandas remotas, estos servidores deben soportar tambin capacidades de enrutamiento. Un
Servidor de Acceso Remoto (RAS - Remote Access Server) y cualquier otro Sistema Operativo
de Red (NOS) que soporte PPTP, como Windows NT Server 4.0, puede actuar como un servidor
de PPTP.
Figura 35
Procesos PPTP
PPTP emplea tres procesos para afianzar la comunicacin basada en PPTP sobre medios de
comunicacin no seguros. Estos procesos son
Cuando los datos PPTP son transferidos con xito al destino, este debe procesar el paquete
tunelizado para extraer los datos originales. El proceso de extraccin de los datos PPTP es
exactamente a la inversa del tunelizado de los datos PPTP.
22
La mayor desventaja asociada con PPTP es su dbil mecanismo de seguridad debido a la
encriptacin simtrica en el cual la clave se deriva de la contrasea del usuario. Esto es
ms arriesgado porque las contraseas se envan en formato en claro para la
autenticacin.
Cisco, junto con Nortel, fueron los principales proveedores que comenzaron a trabajar en una
solucin que deba:
Figura 36
23
Procesos L2F
Cuando un cliente remoto inicia una conexin dial-up a un host ubicado en una intranet
privada, los siguientes procesos se ejecutan secuencialmente:
1. El usuario remoto comienza una conexin PPP a su ISP. Si el usuario remoto es parte de
una LAN, puede emplear ISDN u otro medio de conectividad para conectar al ISP. Como
alternativa, si el usuario no es parte de alguna intranet, necesitar usar servicios PSTN.
2. Si los NAS presentes en el POP del ISP acepta la demanda, la conexin PPP se establece
entre el NAS y el usuario.
3. El usuario es autenticado por el ISP. Para este propsito es usado CHAP o PAP.
4. Si no existe ningn tnel a la entrada de la red destino, se comienza uno.
5. Despus de establecido un tnel, se asigna una MID (Multiplex ID) nica a la conexin.
Un mensaje de notificacin se enva a la entrada del gateway de la red del host. Este
mensaje notifica al gatgeway acerca de la demanda para la conexin del usuario remoto.
6. El gateway puede aceptar la demanda de conexin o puede rechazarla. Si la demanda se
rechaza, se notifica al usuario sobre el fracaso de la demanda y la conexin dial-up
finaliza. Por otro lado, si la demanda se acepta, el gateway enva al cliente remoto la
notificacin del establecimiento inicial. Esta respuesta puede incluir informacin de
autenticacin usada por el gateway para autenticar al usuario remoto.
7. Despus de que el usuario es autenticado por el gateway de la red del host, se establece
una interface virtual entre ambos extremos.
Figura 37
24
Tunelizado L2F
Cuando un usuario remoto se autentica, se establece un tnel entre el NAS del ISP y el
gateway de la red del host remoto, como se muestra en la figura 38.
Figura 38
Despus de haber establecido un tnel entre ambos extremos, pueden intercambiarse las
tramas de Capa de Enlace sobre el tnel como sigue:
Cualquier respuesta del host destino sufre el proceso inverso. Es decir, el host enva una trama
normal de Capa de Enlace de Datos (Data Link) al gatgeway, el cual encapsula la trama en un
paquete L2F, y lo remite al NAS localizado en el ISP. El NAS despoja la informacin de la
trama L2F y agrega la informacin propia de la Capa de Enlace de el. La trama se remite
entonces al usuario remoto.
25
intercambio de claves, IPSec usa un tercer protocolo llamado el Internet Llave Intercambio IKE
(IKE - Internet Key Exchange).
Parecido a PPTP, L2F tambin usa servicios de seguridad soportados por PPP para la
autenticacin. Como resultado, L2F usa PAP para autenticar un cliente remoto cuando una
gateway L2F recibe una peticin de conexin. L2F tambin usa los siguientes esquemas de
autenticacin para mejorar la seguridad de los datos:
CHAP (Challenge Handshake Authentication Protocol). CHAP fue desarrollado para
evitar enviar contraseas en texto claro como es el caso de PAP. En CHAP, cuando un
cliente es desafiado para su identificacin, responde con un valor hashed secreto derivado
del algoritmo de hashing MD5. Si es calculado el mismo valor de hash en el servidor que
usa el mismo procedimiento del cliente, este es autenticado con xito. Por consiguiente,
no se intercambia ninguna contrasea en texto claro durante el proceso. Otro problema
normalmente asociado con PAP es que los usuarios slo se autentican una vez durante el
proceso de comunicacin. CHAP, sin embargo, puede forzar mltiples desafos de
autenticacin durante una sesin lo que hace ms a un hacker irrumpir en la
comunicacin.
L2F tambin usa SPAP (SPAP - Shiva Password Authentication Protocol) para la
autenticacin. SPAP es un protocolo propietario que usa contraseas encriptadas y puede
soportar mejoras de funcionalidad, como intercambio de contraseas y soporte de mecanismos
de callback.
26
remoto no autentica a estos usuarios. La autenticacin RADIUS y TACACS generalmente se
lleva a cabo en el ISP y grande organizaciones.
Las ventajas principales de llevar a cabo una solucin basada en L2F incluyen lo siguiente:
A pesar de las ventajas arriba mencionadas, existen algunas desventajas asociadas con L2F:
Con el desarrollo de L2F, haba dos tecnologas de tunneling, PPTP y L2F, compitiendo por
el control del mercado de VPN. Estos dos protocolos eran incompatibles. IETF decidi acabar
con la confusin combinando los rasgos de ambas tecnologas para producir un protocolo que se
usara como un estndar en las soluciones VPN. El protocolo de Tunneling de Capa 2 (L2TP -
Layer 2 Tunneling Protocol) era el resultado de este mandato.
Soporta mltiples protocolos y tecnologas de networking como IP, ATM, FR, y PPP.
Provee acceso a Internet y otras redes pblicas, como PSTN.
No requiere software extra, como drivers adicionales o soportes del sistema operativo.
Permite a los usuarios con IP privadas acceder a la red remota a travs de la red pblica.
La autenticacin y autorizacin de L2TP es ejecutada por los gateway de la red. Por
consiguiente, los ISP no necesitan mantener una Base de Datos de autenticacin o de
derechos de acceso para los usuarios remotos.
27
La principal caracterstica de L2TP es establecer tneles PPP que, a diferencia de PPTP, no
son terminados por el ISP cercano. Estos tneles se extienden en el gateway destino), como se
muestra en la Figura 39.
Cuando las tramas PPP se envan a travs del tnel L2TP, se encapsulan como mensajes UDP
(UDP User Datagram Protocol).
Componentes L2TP
Las transacciones basadas en L2TP bsicamente emplean tres componentes, un Servidor de
Acceso de Red (NAS - Network Access Server), un Concentrador de Acceso L2TP (LAC -
L2TP Access Concentrator), y un servidor de Red L2TP (LNS - L2TP Network Server).
28
La cosa ms importante a acordarse de los LAC es que generalmente se localizan en el ISP.
Sin embargo, el usuario remoto tambin puede actuar como LAC en el caso de tunelizado L2TP
voluntario.
L2TP soporta tneles de dos modos, el modo compulsivo (compulsory tunnel mode) y el
modo voluntario (voluntary tunnel mode). Estos tneles juegan un papel importante en la
transmisin segura de datos de un extremo a otro.
Seguridad L2TP
L2TP usa mtodos de autenticacin de usuarios PPP. Los esquemas de autenticacin L2TP
son:
PAP y SPAP
EAP
CHAP
Adems de los mecanismos de autenticacin mencionados, L2TP tambin usa IPSec para
autenticar los paquetes de datos individuales. Aunque esto reduce la velocidad de transacciones
considerablemente, mientras se use IPSec para la autenticacin del paquete, asegura que hackers
y crackers no tengan chances con los tneles y datos.
L2TP usa a menudo ECP para la encriptacin. ECP (Encryption Control Protocol) soporta el
protocolo de encriptacin y se usa para negociar los algoritmos de encriptacin como DES,
despus de que el enlace establecido. Por consiguiente, ECP ofrece capacidades de encriptacin
avanzada adems de construir mecanismos de encriptacin soportados por PPP. Sin embargo, la
desventaja principal asociada con ECP es que las claves, una vez intercambiadas entre los dos
extremos, no se refrescan peridicamente. Esto aumenta la posibilidad de que un hacker pueda
descubrir las claves en sesiones prolongadas
L2TP es una solucin genrica. En otras palabras, es una plataforma independiente, que
soporta varias tecnologas de networking. Adems, puede soportar transmisiones a travs
de enlaces WAN no IP sin necesidad de IP.
29
El tunneling L2TP es transparente al ISP as como a l usuario remoto. Adems, no
necesita configuracin adicional del usuario o del ISP.
L2TP permite controlar la autenticacin de usuarios en lugar del ISP.
L2TP provee control de flujo y como resultado los paquetes de datos pueden ser
descartados arbitrariamente si el tnel est congestionado. Esto hace que las
transacciones basadas en L2TP sean ms rpidas que las basadas en L2F.
L2TP permite a los usuarios con direccin es IP no registradas (o privadas) el acceso a la
red de la empresa a travs de la red pblica.
L2TP ofrece mejoras en la seguridad debido al uso de encriptacin de carga til basada
en IPSec durante el tunneling, y a la capacidad de implementacin de autenticacin de
paquetes IPSec.
L2TP es ms lenta que PPTP o L2F debido al uso de autenticacin IPSec de cada paquete
recibido.
Aunque PPTP se usa como una solucin para construir VPN, un servidor RRAS (RRAS -
Routing and Remote Access Server) necesita extensa configuracin.
Puede referirse a la RFC 2661 para la informacin detallada sobre L2TP. Esta RFC est
disponible en http://www.armware.dk/RFC/rfc/rfc2661.html.
30