UNIVERSIDAD NUEVA ESPARTA

FACULTAD DE CIENCIAS DE LA INFORMÁTICA

CÁTEDRA: TELECOMUNICACIONES II        PROF: HUGO MARCANO

 

 

 

V   P   N
Virtual Private Network (Red Privada Virtual)

 

 

¿Cómo trabaja una VPN?

En una VPN, una compañía usa el ancho de banda de Internet para establecer conexiones privadas y seguras entre sus empleados y oficinas remotas. Cada usuario remoto se conecta con el proveedor de servicio de Internet local en la misma forma que accesa a Internet por marcado telefónico, cable, DSL, ISDN, T1 o wireless.

Un proceso llamado "túnel" es usado para llevar la información sobre Internet. Sin embargo, el túnel por si solo no asegura la privacidad. Para asegurar una transmisión de túnel contra intercepciones, todo el tráfico sobre una VPN es encriptado para su seguridad.

 

 

 

 

Usando Internet para extender la red

Hoy, muchas empresas pequeñas y medianas, ya no tienen la simple tarea de tratar con personal de trabajo local. En lugar de eso, tienen que pensar en logísticas de administración de un lugar de trabajo distribuido que incluye ejecutivos de venta móviles, empleados remotos, oficinas remotas y sitios de oficina globales. Por consecuencia, las compañías están ahora enfrentándose al desafío de encontrar un forma de mantener en forma rápida, segura, confiable y rentable el acceso remoto a los recursos de la red, en cualquier lugar que su personal se encuentre.

Con la llegada de las tecnologías de acceso a Internet de banda ancha, como las conexiones ADSL y cable módem, ahora los negocios están cambiando al Internet y a las Redes Privadas Virtuales (denominada VPN, por sus siglas en inglés Virtual Private Networking) lo que significa extender sus redes.

Con conocimiento práctico de las Redes Privadas Virtuales (VPN), esta guía proporciona a las empresas pequeñas y medianas una evaluación de las opciones en tecnología VPN y una introducción a la solución RouteFinder VPN de Multi-Tech.

 

¿Qué es una Red Privada Virtual (VPN)?

Una VPN es una red privada que utiliza el Internet para conectar con seguridad usuarios o sitios remotos. En lugar de usar líneas dedicadas, una VPN utiliza una conexión "virtual" enrutada a través de Internet.

Desde la perspectiva del usuario, una VPN opera transparentemente, dándole la sensación como si estuviera trabajando en la oficina. El correo electrónico, bases de datos, Intranets, Voz sobre IP o cualquier otra aplicación puede pasar a través de una conexión de VPN.


Esto era antes...

Red de Área Amplia (denominada WAN, por sus siglas en inglés Wide Area Networking)

Las soluciones tradicionales de WAN requieren que las compañías mantengan enlaces directos entre la red corporativa y los sitios remotos. Para mantener esta conexión de Red-a-Red, las compañías típicamente tienen que contratar líneas privadas de datos.

Servicio de Acceso Remoto (denominado RAS, por sus siglas en inglés Remote Access Services)

Las soluciones tradicionales de acceso remoto Cliente-a-Red, usan lentas conexiones de marcado telefónico a través de módems o complicados servidores de acceso remoto. Estas conexiones de marcado telefónico son caras considerando los cargos de larga distancia que generan.


Esto es ahora...

Con la llegada más accesible de tecnologías de banda ancha, los negocios pequeños y medianos ahora pueden usar el Internet y las Redes Privadas Virtuales (VPN) para evitar el alto costo de las conexiones tradicionales de acceso remoto y WAN. Una VPN permite a una compañía aprovechar los beneficios del acceso remoto, sin el alto costo de la infraestructura técnica compleja.

 

 

 

 

TUNNELING

Tunneling es un metodo que consiste en utilizar la infraestructura de una interred (como Internet), para transportar datos de una red a otra.Los datos a ser transportados pueden ser los cuadros (o paquetes) deun protocolo diferente al que maneje la interred en cuestion, es decir, en lugar de enviar un cuadro tal y como fue producido por el nodo que lo origino, el protocolo de tunneling (ya sea L2TP, IPSec, etc) encapsula el cuadro en un header (encabezado) adicional que pertenece al protocolo de transporte de la interred sobre la cual se establece el tunel (por ejemplo, IP).Los paquetes encapsulados son entonces enrutados sobre la interred entre los extremos del tunel. A esa ruta logica a travez de la cual viajan los paquetes encapsulados sobre la interred se le llama 'tunel'.Cuando los paquetes (o cuadros) encapsulados llegan a su destino, el paquete es desencapsulado y reenviado a su destino final.

Algunos protocolos utilizados para tunneling son:

- Point-to-Point Tunneling Protocol (PPTP). Permite que el traficoIP, IPX o NetBEUI sea encriptado y encapsulado en encabezados IP para ser enviado a través de una interred IP como Internet. Este Protocolo fue creado por Microsoft, y existe una implementacion para Linux para una implementacion PPTP.

PPTP es un protocolo Layer 2 que encapsula cuadros PPP en datagramas IP para ser transportados sobre una interred IP, como Internet.

 Layer 2 Forwarding (L2F)

L2F es un protocolo de transmision que permite a un servidor dialup encuadrar trafico dial-up en PPP y transmitirlo sobre vinculos WAN aun servidor L2F. Este servidor desencapsula los paquetes y los inyecta a la red. En contraste con PPTP y L2TP, L2F no tiene un cliente definido. L2F es una tecnologia propuesta por Cisco.

- Layer 2 Tunneling Protocol (L2TP).

Permite que el trafico IP oIPX sea encriptado y enviado sobre cualquier medio que soporte entrega de datragramas punto-a-punto, tales como IP, X.25, Frame Relay o ATM- IP Security (IPSec) Tunnel Mode. Permite que paquetes IP sean encriptados y encapsulados en encabezados IP para ser enviados a traves de una interred IP.

L2TP es una combinacion de PPTP y L2F que encapsula cuadros PPP para ser enviados sobre redes IP, X.25, Frame Relay o ATM. Cuando se configura para usar IP, L2TP puede ser usado como protocolo de tunneling sobre Internet, aunque tambien puede ser usado directamente sobre una WAN (como Frame Relay) sin una capa IP de transporte. L2TP sobre interredes IP hace uso de UDP para mantener el tunel.

En vista de que PPTP y L2TP son muy similares, debemos hacer notar cuales son las diferencias entre ambos: - PPTP requiere forzosamente de una interred IP. L2TP solamente requiere que el medio de tunneling ofrezca conectividad punto-a-punto basada en paquetes, tales como IP (usando UDP), Frame Relay, X.25 o ATM.

 IPSec Tunnel Mode

IPSec es un protocolo Layer 3 que soporta la transferencia segura de informacion a traves de una interred IP. IPSec define el formato de paquetes para una modalidad de tunel IP-sobre-IP, llamada IPSec Túnel Mode. Un tunel IPSec consiste en un cliente tunel y un servidor tunel, los cuales estan configurados para usar tunneling IPSec y algun mecanismo de cifrado. IPSec Tunnel Mode utiliza un metodo de seguridad para encapsular y encriptar paquetes IP para transmitirlos de forma segura a traves de una interred IP privada o publica(Redes Internet).

 

Aplicaciones

VPN en Sucursal (reemplaza una WAN)

La aplicación de una VPN de Red-a-Red envía tráfico de red sobre la conexión de Internet de la Sucursal, en lugar de depender de conexiones de líneas dedicadas. Esto puede ahorrar miles de pesos en costos de líneas y reducir los altos costos en hardware y administración.

VPN de Usuario Remoto (reemplaza un Servicio de Acceso Remoto)

La aplicación de una VPN Cliente-a-Red envía el tráfico del usuario remoto sobre su conexión de Internet. La ventaja es que el usuario remoto puede hacer una llamada local a un proveedor de servicio de Internet, en comparación con una llamada de larga distancia al servidor de acceso remoto de la compañía.

 

Ventajas de la VPN

Además de reducir los costos de comunicaciones, una solución VPN también proporciona las siguientes ventajas:

Extiende la conectividad geográfica - Una VPN conecta a empleados remotos a los recursos centrales.

Crecimiento en productividad de empleados - Una solución de VPN permite a los empleados remotos aumentar su productividad un 22% - 45% (Gallup Organization and Opinion Research) eliminando tiempo.

Mejora la seguridad de Internet - Siempre en una conexión de banda ancha a Internet, hace a una red vulnerable a ataques de hacker's. Muchas soluciones de VPN incluyen medidas de seguridad adicional, tales como dispositivos de seguridad ("firewall") y anti-virus de chequeo para contrarrestar los diferentes tipos de amenazas a la seguridad de la red.

Fácilmente escalable - Una VPN permite a las compañías utilizar la infraestructura de los accesos remotos dentro de los ISP's. Por lo tanto, las compañías pueden agregar virtualmente una cantidad ilimitada de capacidad sin añadir infraestructura que sea significativa.

Simplifica la topología de Red - La eliminación de módems y una infraestructura de red privada, simplifica la administración de la red.

 

 

¿Qué es Encripción?

Encripción es el proceso de tomar toda la información que una computadora esta enviando a otra y codificarla de una manera que sólo la otra computadora será capaz de descifrarla. El paquete de datos IP que esta siendo enviado a través de Internet es primero encriptado y luego envuelto dentro de otro paquete IP. La Oficina corporativa y los ruteadores de Internet ven a los paquetes "envueltos", mientras que la información interna se mantiene segura en la sección de carga del primer paquete IP.

El protocolo IPSec usa el método Estándar de Encripción de Información (Data Encryption Standard, DES) para codificar y decodificar información. El rango de longitud de la llave de encricpión es de 56 bits (DES) a 168 bits (3DES). Hasta la fecha, triple DES es el nivel más fuerte de encripción pública disponible. Es exponencialmente más difícil de descifrar que DES; no es sólo tres veces más difícil. Microsoft®'s PPTP usa llaves de encripción de 40 o 128 bits.

 

Autentificación

Uno de los más importantes elementos de seguridad para una VPN es identificar al usuario. Esto es esencial para determinar a que recursos la persona esta autorizada a usar. IPSec permite a los dispositivos usar un procedimiento llamado Intercambio de Llave de Internet (Internet Key Exchange, IKE) para transferir llaves de seguridad.

Evaluando sus opciones de VPN

Seguridad

La privacidad y la protección de la información es lo de mayor importancia al desplegar servicios sobre Internet. Una solución VPN a todo riesgo debe estar desarrollada en una plataforma de seguridad integrada que soporte algunas o todas de las siguientes medidas de seguridad:

Firewall. Un dispositivo de seguridad que provee una barrera fuerte entre la red privada y el Internet. Puede ser instalado para restringir el número de puertos abiertos, el tipo de paquetes que pueden pasar y que protocolos son permitidos.

Una buena solución VPN debe proporcionar un dispositivo de seguridad ("firewall") repleto de funciones basado en la tecnología de Inspección de Estado de Paquetes ("Stateful Packet Inspection") y Traducción de Dirección de Red (Network Address Translation, NAT) para protección contra intrusos y ataques de Rechazo de Servicio (Denial of Service, DoS). Además, un dispositivo de seguridad ("firewall") puede proveer seguridad a nivel aplicación usando proxy's y filtros para bloquear contenidos específicos de Internet.

 

Protección de Virus. Los virus de computadora son una de las amenazas líderes de seguridad para redes conectadas a Internet. Los usuarios pueden sin conocimiento descargar y llegar a peligrosos virus que pueden dañar la información o causar bloqueos a la computadora. Los virus pueden también ser usados como mecanismo de entrega de utilerías pirata, comprometiendo la seguridad de la red, aunque un dispositivo de seguridad ("firewall") este instalado. Una buena solución de VPN debe proveer una protección de virus en tiempo real utilizando un alto desempeño, un probador ICSA y un procesador anti-virus que revise entradas y salidas de correo electrónico.

Filtrado de Contenido. El filtrado de contenido le permite a las compañías controlar que información puede y no puede ser accesada desde sus computadoras. El bloqueo de URL, basado en una lista de filtro con actualización frecuente, es el método preferido de filtrado de contenido porque bloquea contenido censurable mientras conserva el acceso a recursos valiosos de Internet.

Fácil de usar

Una empresa de pequeña a mediana necesita una solución de VPN que sea suficientemente poderosa para proteger la red, pero suficientemente fácil de instalar y correr con recursos limitados de Tecnologías de Información (IT). Por lo tanto, busca una solución con una interfaz gráfica e intuitiva que le permita sacar el producto de la caja e instalarlo con un mínimo de configuración.


Escalable

Para proteger su inversión en VPN, usted necesita considerar el futuro crecimiento de la organización. Una plataforma de VPN debe proveer una ruta de actualización para soportar más usuarios, así como también integrar nuevos servicios de seguridad, tales como protección de virus y filtrado de contenido. Escoger una plataforma de seguridad que no puede ser escalable, significa actualizaciones más costosas.

 

 

 

 

 

 

 

TOPOLOGIAS VPN

Las redes privadas virtuales se emplean mediante tres tipos básicos de topologías: host-host, host-red y red-red.

HOST-HOST

La implementación más sencilla de una VPN es de un host a otro. Por simplificar, asumiremos que los hosts están conectados por medio de ethernet a una LAN que después se conecta a Internet.

Por supuesto, en una situación real, la comunicación se produciría a través de hubs, conmutadores, routers y nubes WAN. Además, si los hosts están conectados directamente mediante un cable ethernet de CAT5 (categoría 5), el único riesgo que estaríamos mitigando con una VPN serían las escuchas sobre el tendido: una habilidad difícil de encontrar y de ejecutar.

En un escenario host-host, tenemos dos hosts conectados a Internet en su punto más íntimo, ya sea mediante una línea dedicada o mediante una conexión de marcado telefónico. La comunicación entre estos dos hosts no es segura y es blanco de los salvajes de Internet. Al implementar una VPN host-host, todas las comunicaciones entre ambos hosts quedan protegidas por el transporte VPN autenticado y cifrado.

TOPOLOGIA HOST-HOST

HOST-RED

Un método fácil para ofrecer a los usuarios móviles la capacidad de conectar con la red de la empresa es mediante una red virtual segura, o una VPN host-red.

En esta configuración, cada host se conecta independientemente con una LAN mediante una puerta de enlace VPN. Se autentica cada host, y los túneles VPN se inician para cada uno de ellos. El host móvil puede conectarse mediante cualquier tipo de conexión, ya sea de marcación telefónica, una conexión LAN o un enlace inalámbrico.

Encontramos VPN host-red en situaciones de acceso remoto. Un usuario móvil puede tener software de VPN en su portátil y conectar con la Intranet a través de una puerta de enlace VPN. También podemos utilizar esta topología VPN para los empleados que trabajan desde casa. El lento, pero constante, crecimiento de los clientes de ADSL y el cable hace que trabajar desde casa sea una opción atractiva. Una VPN puede hacer que el tráfico sea privado e ilegible hasta que llega a la puerta de enlace VPN de la empresa.

RED-RED

La tercera topología VPN es la red-red. En esta configuración, cada puerta de enlace se ubica en un extremo de una red y proporciona un canal de comunicación seguro entre las dos (o más) redes.

Este tipo de comunicación es el que mejor se adapta a la conexión de redes LAN separadas geográficamente. Una ventaja importante de esta configuración es que las LAN remotas de la VPN son transparentes para el usuario final. De hecho, las puertas de enlace VPN tienen la apariencia de routers para los usuarios.

Podemos utilizar las VPN red-red para conectar intranets, lo que hace que parezca que las redes son adyacentes. Los datos transferidos entre las intranets son confidenciales durante el tránsito. También podemos utilizar esta topología para extranets entre varias empresas, en caso de que cada empresa comparta recursos particulares sólo con los socios de negocio.

 

 

TOPOLOGIA HOST-RED

TOPOLOGIA RED-RED

Términos comunes de VPN

Autenticación - establecer la identidad de un usuario para transacciones seguras de e-commerce y VPN.

DES (Estándar de Encripción de Información, 3DES, Data Encryption Standard) -
Un método de criptografía estándar del NIST de clave secreta que usa un llave de 56 bits (DES) o una llave de 168 bits (3DES).

Rechazo de Servicio (denominado DoS, por sus siglas en inglés Denial of Service) - un ataque de hacker diseñado para deshabilitar un servidor o red al saturarlo con solicitudes de servicio el cual previene a usuarios legítimos de accesar a los recursos de la red.

Encripción - el proceso de tomar toda la información que una computadora esta enviando a otra y codificarla de una manera que sólo la otra computadora será capaz de decodificarla.

Firewall - a dispositivo de seguridad que controla el acceso desde Internet a una red local usando información asociada con paquetes TCP/IP para hacer decisiones sobre si se permiten o niegan accesos.

Asociación Internacional de Seguridad Computacional (denominada ICSA, por sus siglas en inglés International Computer Security Association) - fija estándares de desempeño para productos de seguridad de información y certifica cerca del 95% de la base instalada de dispositivos de seguridad ("firewall"), antivirus, criptografía y productos IPSec.

Protocolo de Seguridad de Internet (IPSec, Internet Protocol Security) - un estándar IETF robusto de VPN que abarca autentificación y encripción de tráfico de datos sobre Internet.

Traductor de dirección de red (denominada NAT, por sus siglas en inglés Network Address Translation) - un estándar de seguridad que convierte múltiples direcciones IP en la red local privada a una dirección pública que es enviada al Internet.

Protocolo de Túnel Punto a Punto (denominado PPTP, por sus siglas en inglés Point-to-Point Tunneling Protocol) - un protocolo que esta integrado en el sistema operativo Windows de Microsoft que permite acceso remoto con seguridad a redes corporativas sobre Internet (VPNs).

Inspección de Estado de Paquetes (Stateful Packet Inspection) - un dispositivo de seguridad ("firewall"), basado en la tecnología avanzada de filtrado de paquetes, que es transparente para los usuarios de la red local, no requiere configuración del cliente y asegura el arreglo más amplio de protocolos IP.

Túnel - la ruta a través de la cual un paquete de datos VPN con seguridad, viaja a través de la red interna.

Virus - programas de software dañino que atacan aplicaciones y archivos en memoria o discos.

 

 

¿Quién es Multi-Tech?

El éxito se debe a la comunicación. Multi-Tech esta haciéndola más fácil. Creamos mejores formas para compartir remotamente la información y sobre el Internet. Las soluciones Multi-Tech ponen el estándar para la comunicación eficiente y efectiva en una información ávida de hacer época. Nuestros productos son conocidos por su fiabilidad, desempeño y flexibilidad. Con accesos a Internet, accesos remotos y productos de telefonía, Multi-Tech esta creando un mundo donde técnicamente, todo es posible.

 

ELABORADO Y DISEÑADO :

 AVILA ROBINSON     -     QUINTERO M. NEYLA Y.     -    QUINTERO M. CARLOS L.