Implementación de las redes

privadas virtuales
VPNs (redes privadas Virtuales) introducción
• Una VPN es una red privada que se crea mediante el uso de túneles
sobre una red pública, usualmente Internet.
• En lugar de utilizar conexiones físicas dedicadas, una VPN utiliza
conexiones virtuales enrutadas a través de Internet, desde la
organización hasta el sitio remoto.
• Una VPN es un entorno de comunicaciones en el que el acceso está
estrictamente controlado para permitir conexiones entre pares
dentro de una comunidad de interés definida.
• La confidencialidad se logra mediante el cifrado del tráfico dentro de
la VPN.
Las VPNs tienen muchos beneficios:
• Costos menores
• Las VPNs permiten a las organizaciones utilizar Internet, un medio de
transporte rentable provisto por terceros, para conectar oficinas y usuarios
remotos al sitio principal de la corporación.
• Las VPNs eliminan los costosos enlaces WAN dedicados y los bancos de
módems.
• Seguridad
• Las VPNs proveen el más alto nivel de seguridad utilizando protocolos
avanzados de cifrado y autenticación, los cuales protegen los datos del acceso
no autorizado.
Las VPNs tienen muchos beneficios:
• Escalabilidad
• Las VPNs permiten que las corporaciones utilicen la infraestructura de
Internet disponible en los dispositivos y proveedores de servicio de Internet
(Internet Service Providers - ISPs).
• Esto facilita la incorporación de nuevos usuarios, por lo que la corporación
puede incrementar su capacidad en forma importante sin incorporar
infraestructura significativa.
• Compatibilidad con tecnología de banda ancha
• Las VPNs permiten que los trabajadores móviles, los trabajadores remotos y
aquellas personas que quieran extender su jornada laboral aprovechando la
ventaja de la conectividad de banda ancha de alta velocidad, obtengan acceso
a sus redes corporativas, proveyendo a los trabajadores de una mejor
flexibilidad y eficiencia.
En general……
• En el sentido más simple, una VPN
conecta dos extremos sobre una red
pública para formar una conexión
lógica.
• Las tecnologías VPN pueden clasificarse
en líneas generales, de acuerdo a estos
modelos de conexión lógica, como
VPNs de capa 2 o VPNs de capa 3.
• Establecer la conectividad entre sitios
con una VPN de capa 2 o de capa 3 es lo
mismo.
• Se agrega un encabezado de entrega al
inicio de los datos, para que alcance el
sitio de destino.
Ejemplos comunes de VPNs de capa 3 son
GRE, MPLS e IPsec.
• Las VPNs de capa 3 pueden ser conexiones de sitios punto a punto, como
GRE e IPsec o pueden establecer conectividad "any-to-any" entre varios
sitios utilizando MPLS.
• El protocolo GRE (Generic Routing Encapsulation) fue desarrollado
originalmente por Cisco define el encabezado de entrega IP para GRE.
• Un túnel GRE entre dos sitios con accesibilidad IP pueden ser considerados una VPN,
dado que los datos privados entre los sitios están encapsulados en un encabezado de
entrega.
• MPLS fue primero conocido como conmutación de etiquetas y luego
estandarizado por el IETF como MPLS. Cada vez más, los proveedores de
servicios despliegan MPLS para ofrecer servicios de VPN MPLS a sus
clientes.
• Las VPNs MPLS utilizan etiquetas para encapsular los datos originales o "carga útil",
para formar una VPN.
¿Cómo logra el administrador de la red prevenir
las capturas ilegales de los datos en una VPN?
• Cifrar los datos es una forma de protegerlos. El cifrado de datos se
logra desplegando dispositivos de cifrado en cada extremo.
• IPsec es un conjunto de protocolos desarrollado con el respaldo de
IETF para obtener servicios seguros sobre redes IP de conmutación de
paquetes.
• Internet es la red de conmutación de paquetes más omnipresente.
Por lo tanto, una VPN IPsec implementada sobre la Internet pública
puede proveer importantes reducciones de costos a una corporación,
en comparación con una VPN de línea arrendada.
IPSEG
• Los servicios IPsec proporcionan
autenticación, integridad, control de
acceso y confidencialidad. Con IPsec,
la información intercambiada entre
los sitios remotos puede ser cifrada y
verificada. Tanto las VPNs de acceso
remoto como las de sitio a sitio
pueden implementarse utilizando
IPsec.
Topologias VPN
• Existen dos tipos básicos de redes VPN:
• Sitio a sitio
• Una VPN de sitio a sitio se crea cuando los dispositivos de conexión
en ambos extremos de la conexión VPN conocen la configuración VPN
de antemano.
• La VPN permanece estática y los hosts internos no tienen
conocimiento de la existencia de la VPN.
• Las redes Frame Relay, ATM, GRE y MPLS son ejemplos de VPNs de
sitio a sitio.
Topologias VPN
• Acceso remoto
• Una VPN de acceso remoto se crea cuando la información de la VPN no se
configura en forma estática, sino que se permite que la información cambie
en forma dinámica y puede ser habilitada o deshabilitada.
• Considere un trabajador a distancia que necesita acceder a datos
corporativos a través de Internet.
• Su conexión VPN puede no estar activa en todo momento.
• La PC del trabajador es responsable de establecer la VPN.
• La información requerida para establecer la conexión VPN, como puede ser
la dirección IP del trabajador a distancia, cambia dinámicamente de
acuerdo a la ubicación del mismo.
VPN de sitio a sitio

• Una VPN de sitio a sitio es una extensión de

una red WAN clásica.
• Las VPNs de sitio a sitio conectan redes
completas entre sí.
• Por ejemplo, pueden conectar redes de
sucursales a la red de la oficina central de la
compañía.
• En una VPN de sitio a sitio, los hosts envían y
reciben tráfico TCP/IP normal a través del
gateway VPN, el cual puede ser un router, un
firewall, un concentrador.
• El gateway de la VPN es responsable de
encapsular y cifrar el tráfico saliente de un sitio
en particular y enviarlo a través del túnel VPN
sobre Internet hacia otro gateway de VPN en el
sitio de destino.
VPN de acceso remoto
• Las VPNs de acceso remoto son una
evolución de las redes de conmutación de
circuitos, tales como el servicio de
telefonía básica (POTS) o ISDN.
• Las VPNs de acceso remoto pueden cubrir
las necesidades de tráfico de los
trabajadores a distancia, los usuarios
móviles y los clientes de la empresa.
• Las VPNs de acceso remoto soportan una
arquitectura cliente-servidor, donde un
cliente VPN (el host remoto) requiere un
acceso seguro a la red de la empresa
mediante un servidor VPN instalado en el
límite de la red.
Introducción a IPSEC
• IPsec no está asociado a ningún tipo de cifrado, autenticación,
algoritmos de seguridad o tecnología de claves específicos.
• IPsec se basa en algoritmos existentes para implementar el cifrado, la
autenticación y el intercambio de claves.
• IPsec funciona en la capa de red, protegiendo y autenticando los
paquetes IP entre los dispositivos IPsec participantes (pares).
• Todas las implementaciones de IPsec tienen un encabezado de capa 3
en texto plano, para evitar problemas en el enrutamiento.
IPsec provee las siguientes funciones
esenciales de seguridad:
• Confidencialidad
• IPsec asegura la confidencialidad
mediante el uso de cifrado.
• Integridad
• IPsec asegura que los datos llegan a
destino sin modificaciones, utilizando
algoritmos de hash como MD5 y SHA.
• Autenticación
• IPsec utiliza IKE (Internet Key Exchange)
para autenticar a los usuarios y
dispositivos que puedan llevar a cabo
comunicaciones en forma independiente.
• Intercambio seguro de claves
• IPsec utiliza el algoritmo DH para proveer
un método de intercambio de claves
públicas entre los pares, para establecer
una clave compartida secreta.