Red Privada Virtual (VPN)

c p

c

c

c
c

c
c
c
c
ccc

c
cc
c
c
c
c
c
c
c
c
c
c
c
c

c

c

!

c

c
Gc

c
Gc á
c Gc --
Gc p
c
Gc p
c c c c
c

En el presente trabajo queremos hacer un humilde

reconocimiento a todos los profesores de la
Universidad Nacional del Santa que han contribuyen
todos los días en la formación profesional y humana
durante estos 10 ciclos, que no sería igual sin las
enseñanzas y atenciones, tanto en los salones de
clases como fuera de ellos; los desvelos, la paciencia,
el amor y el apoyo frente a las adversidades para
continuar el camino de frente, sabiendo que una
caída implica la oportunidad de soportarla con
esperanza, con el consecuente de aprender de los
errores propios; así como, de la amistad, la cual no
podemos definir, pero sí intuir su grandeza y valía.
No seríamos los mismos sin todos

aquellos a quienes hemos conocido, a
quienes apreciamos y admiramos, de
quienes hemos recibidos grandes
lecciones. Por ello, aseguramos que no
seríamos mejor de lo que somos sin ellos.
Agradecemos en lo particular a:
A Dios, fuente de todo bien, por permitirnos el

suficiente entendimiento para llegar a este punto de
la vida, por concedernos salud para disfrutar estos
momentos y conciencia para discernir lo bueno que
hemos recibido, pues sin ello, no podríamos darnos
esta oportunidad de reconocer su presencia a través
de seres admirables en nuestra historia.
A nuestros amigos entrañables, que sin

importar el tiempo que nos conocemos, la
amistad que ha surgido se ha fortalecido,
permitiéndonos decir como Aristóteles
que ǲsin amigos nadie escogería vivir,
aunque tuviese todos los bienes
restantesǳ.
A todos muchas gracias.
]c c
c
c c c c
c
j

Estimado Profesor:
Cumpliendo con las disposiciones y recomendaciones para

el desarrollo del presente informe titulado:
rj j
Esperamos que el esfuerzo realizado en el desarrollo del

presente informe haya logrado obtener los objetivos
trazados, en caso de existir ciertas omisiones, apelamos a la
compresión de su persona distinguido profesor con el fin
de dispensar las mismas.
c c
c c
c
c c c c
c
ü

DEDICATORIA......................................................................................................................................................1c
PRESENTACIÓN ..................................................................................................................................................2c
ÍNDICE DE CONTENIDO..................................................................................................................................3c
RESUMEN...............................................................................................................................................................6c
INTRODUCCIÓN ..................................................................................................................................................7c
RED PRIVADA VIRTUAL (VPN) ...................................................................................................................8c
DEFINICIÓN ..........................................................................................................................................................8c
Ejemplo ........................................................................................................................................................... 10c
COMPONENTES QUE FORMAN UNA VPN ........................................................................................... 11c
CARACTERÍSTICAS......................................................................................................................................... 12c
EL CRECIMIENTO DE LAS VPN................................................................................................................. 13c
OBJETIVOS.......................................................................................................................................................... 14c
VENTAJAS ........................................................................................................................................................... 15c
ASPECTOS BASICOS DE TUNELES:......................................................................................................... 15c
ć PROTOCOLOS DE TUNEL .............................................................................................................. 15c
ć CÓMO FUNCIONAN LOS TÚNELES ........................................................................................... 16c
ć PROTOCOLOS DELTÚNEL Y LOS REQUERIMIENTOS BÁSICOS DEL TÚNEL ....... 17c
ć PROTOCOLO DE PUNTO A PUNTO (PPP). ............................................................................. 18c
ć PROTOCOLO DE TÚNEL DE PUNTO A PUNTO (PPTP). .................................................. 21c
ć REENVÍO DE NIVEL 2 (L2F)......................................................................................................... 22c
ć PROTOCOLO DE TÚNEL DE NIVEL 2 (L2TP) ....................................................................... 22c
ć PPTP COMPARADO CON EL L2TP. ............................................................................................ 24c
ć MODO DEL TÚNEL DE SEGURIDAD DE PROTOCOLO PARA INTERNET (IPSEC)
24c
TIPOS DE VPN ................................................................................................................................................... 25c
ć VPN DE ACCESO REMOTO ............................................................................................................ 25c
ć VPN PUNTO A PUNTO ..................................................................................................................... 25c
ć VPN over Lan ....................................................................................................................................... 26c
REQUERIMIENTOS ......................................................................................................................................... 26c
åc c
c
c c c c
c
FUNCIONAMIENTO ........................................................................................................................................ 27c

ć CONFIGURACION DEL KERNEL CON SOPORTE MPPE ................................................... 28c
ć CONFIGURACION DE PPPD CON SOPORTE MPPE ............................................................ 29c
ć CONFIGURANDO EL SERVIDOR VPN (PPTPD) ................................................................... 29c
ć CONFIGURANDO USUARIOS VPN.............................................................................................. 30c
ć FILTRADO DE PAQUETES ............................................................................................................. 31c
ć CONFIGURANDO CLIENTES VPN .............................................................................................. 32c
TIPOS DE CONEXIÓN..................................................................................................................................... 32c
ć CONEXIÓN DE ACCESO REMOTO .............................................................................................. 32c
ć CONEXIÓN VPN ROUTER A ROUTER ...................................................................................... 32c
ć CONEXIÓN VPN FIREWALL A FIREWALL ............................................................................. 33c
ESCENARIOS TÍPICOS DONDE USAS VPN ........................................................................................... 38c
ć BRANCH OFFICE O DELEGACIONES ........................................................................................ 38c
ć EXTRANET............................................................................................................................................ 38c
ć USUARIOS MÓVILES ........................................................................................................................ 39c
SEGURIDAD PARA LAS VPN....................................................................................................................... 39c
ć ENCRIPTACIÓN .................................................................................................................................. 39c
ć CLAVES ................................................................................................................................................... 40c
ć AUTENTICACIÓN............................................................................................................................... 40c
ć ENCAPSULAMIENTO ....................................................................................................................... 40c
ć PARA CIFRAR DATOS SE USAN PASSWORDS O CLAVES DE CIFRADO................... 40c
ć CIFRADO SIMÉTRICO Y CLAVES PRE-COMPARTIDAS .................................................... 41c
ć CIFRADO ASIMÉTRICO CON SSL/TLS ..................................................................................... 42c
ć SEGURIDAD SSL/TLS ...................................................................................................................... 42c
PROCEDIMIENTO PARA LA IMPLEMENTACIÓN DE UNA VPN Ȃ Configuración Básica
de una VPN en Windows XP Profesional ............................................................................................. 43c
ć CONFIGURACIÓN DEL SERVIDOR............................................................................................. 44c
ć CONFIGURACIÓN DEL CLIENTE ................................................................................................ 48c
ć GESTIÓN DE PUERTOS O CONFIGURACIÓN DEL SOFTWARE DE SEGURIDAD.. 51c
CONCLUSIONES ............................................................................................................................................... 52c
oc c
c
c c c c
c
ü c
c
cc
c
c ccc
cc cc
c ccc
cc cc
c ccc
cc c
cc
c
c ccc
cc cc!c
c!cc" c#$cc
c%c""&c
cc' cccc
c(c""&c
cc' c)cc
cc
c
c c
c$"" c ccc
cc " c
cc
c
c cc%c
cc*
c c c+ c c c c
c ,ccc
cc*
c c
-c
c
c
c

c c+ cc!c
cc."/c00" cc
0" cc(c
cc1 cc(c
cc2c& ccc
c!c0
c3"ccc
c%c0
c$3"ccc
c
c c
c
c c c c
c

c
ö c c c c
c Por:
Bedoya Cabrera Yessenia

Ipanaqué Rugel Erik
Mauricio Polo Miguel
Ulloa Rivera Elgin
Urrutia Olaya Jeanpierre
Una red privada virtual (VPN, <i>Virtual Private Network</i>) es la extensión de una red
privada que incluye vínculos de redes compartidas o públicas como Internet. Con una red
privada virtual, puede enviar datos entre dos equipos a través de una red compartida o
pública de forma que emula un vínculo privado punto a punto. Las funciones de red privada
virtual consisten en crear y configurar una red privada virtual.
Para emular un vínculo punto a punto, los datos se encapsulan o empaquetan con un
encabezado que proporciona la información de enrutamiento que permite a los datos recorrer
la red compartida o pública hasta alcanzar su destino. Para emular un vínculo privado, los
datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red
compartida o pública no se pueden descifrar si no se dispone de las claves de cifrado. El
vínculo en el que se encapsulan y cifran los datos privados es una conexión de red privada
virtual (VPN).
Los usuarios que trabajan en casa o que están de viaje pueden usar conexiones VPN para
establecer una conexión de acceso remoto al servidor de una organización mediante la
infraestructura que proporciona una red pública como Internet. Desde la perspectiva del
usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente VPN)
y el servidor de la organización (el servidor VPN). La infraestructura exacta de la red
compartida o pública es irrelevante dado que lógicamente parece como si los datos se
enviaran a través de un vínculo privado dedicado.
Las organizaciones también pueden utilizar conexiones VPN para establecer conexiones
enrutadas con oficinas alejadas geográficamente o con otras organizaciones a través de una
red pública como Internet al mismo tiempo que realizan comunicaciones seguras. Una
conexión VPN enrutada a través de Internet funciona lógicamente como un vínculo de WAN
dedicado.
Gracias al acceso remoto y a las conexiones enrutadas, una organización puede utilizar
conexiones VPN para realizar conexiones a larga distancia, o líneas concedidas para
conexiones locales o con un Proveedor de servicios Internet (ISP).
c c
c
c c c c
c

Las redes de área local (LAN) son las redes internas de las organizaciones, es decir las
conexiones entre los equipos de una organización particular. Estas redes se conectan
cada vez con más frecuencia a Internet mediante un equipo de interconexión. Muchas
veces, las empresas necesitan comunicarse por Internet con filiales, clientes o incluso
con el personal que puede estar alejado geográficamente.
Sin embargo, los datos transmitidos a través de Internet son mucho más vulnerables
que cuando viajan por una red interna de la organización, ya que la ruta tomada no
está definida por anticipado, lo que significa que los datos deben atravesar una
infraestructura de red pública que pertenece a distintas entidades. Por esta razón, es
posible que a lo largo de la línea, un usuario entrometido, escuche la red o incluso
secuestre la señal. Por lo tanto, la información confidencial de una organización o
empresa no debe ser enviada bajo tales condiciones.
La primera solución para satisfacer esta necesidad de comunicación segura implica

conectar redes remotas mediante líneas dedicadas. Sin embargo, como la mayoría de
las compañías no pueden conectar dos redes de área local remotas con una línea
dedicada, a veces es necesario usar Internet como medio de transmisión.
Una buena solución consiste en utilizar Internet como medio de transmisión con un
protocolo de 2 , que significa que los datos se encapsulan antes de ser enviados de
manera cifrada. El término (abreviado j ) se utiliza para hacer
referencia a la red creada artificialmente de esta manera.
Se dice que esta red es m 2 porque conecta dos redes "físicas" (redes de área local)
a través de una conexión poco fiable (Internet) y m porque sólo los equipos que
pertenecen a una red de área local de uno de los lados de la VPN pueden "ver" los
datos.
Por lo tanto, el sistema VPN brinda una conexión segura a un bajo costo, ya que todo
lo que se necesita es el hardware de ambos lados. Sin embargo, no garantiza una
calidad de servicio comparable con una línea dedicada, ya que la red física es pública y
por lo tanto no está garantizada.
c
*c c
c
c c c c
c
j j

c
Es de noche. La calle está llena de gente. Estamos esperando a cruzar la acera, cuando de
repente vemos pasar una limusina. Tiene los cristales tintados, que reflejan las luces del neón,
pero no podemos ver quién hay dentro ni lo que está haciendo. Estamos acostumbrados a ver
otro tipo de coches, así que nos preguntamos ¿quién viajará ahí dentro? ¿Un político? ¿un
actor?. De repente las luces del semáforo cambian y nos vemos arrastrados por la multitud al
otro lado de la calle. La limusina se desvanece en la noche, dejando atrás todas nuestras
especulaciones.
Si trasladamos esta experiencia al mundo IP, nos daremos cuenta de las ventajas de las VPN
(Virtual Private Network). La analogía reside en que al igual que la limusina viaja por la calle
sin mostrar que ocurre en su interior, la comunicación en una VPN viaja a través de Internet,
pero está encapsulada y encriptada por lo que su contenido es secreto. Sólo el emisor y el
receptor legítimo del mensaje pueden verla en su estado normal. Así el camino de un mensaje
a través de una VPN tiene luz en los extremos, y oscuridad entre ellos, por lo que también se le
llama, metafóricamente hablando, un túnel VPN.
Hablando en un lenguaje algo más técnico, básicamente una VPN es una unión de redes
dispersas en Internet con una relación de confianza (configurable) entre las mismas, y niveles
de autenticación y cifrado. Como indica su nombre, es una red privada, puesto que brinda
autenticación y cifrado (privacidad en definitiva) y virtual porque se implementa sobre las
redes públicas existentes y que no tienen los niveles de seguridad adecuados.
A pesar del retroceso que atraviesan las inversiones en tecnología, el mundo empresarial
continúa viendo a Internet una manera de hacer negocios. La tecnología VPN está pasando de
ser una nueva palabra de moda, a ser esencial para las empresas que quieren estar
intercomunicadas. De hecho, mientras que las redes privadas están únicamente al alcance de
grandes corporaciones que pueden costear su propia red, la tecnología VPN permite
prácticamente a cualquier persona que tenga un ordenador y una línea telefónica usar datos
de manera confidencial.

Desde una perspectiva histórica, el término Red privada virtual (VPN) comenzó a forjar su
camino a principios de 1997, pero hay quienes están en desacuerdo con esta afirmación, lo
cual provoca ciertas confusiones como la fecha exacta en que apareció esta tecnología. Si bien
es verdad que la tecnología subyacente utilizada en las redes privadas virtuales es el conjunto
TCP/IP que se desarrolló en los sesenta, algunos de sus conceptos datan de mucho antes.

Ac c
c
c c c c
c

!

"

!
# $% "á&

'

á
"

"
&

" (
á

"

)

!

ÿ 2
2 2 2 2

2
2 22 m 2 m 2

2 22

j

2 2 2 2
2 2
Además una Red Privada Virtual puede ser vista como:

2
2 2 m 2
2
2 22

2
m
2
2 2
2
` c] c c c c
c c
c
c c c c
c

La RPV es una tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.
El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la
conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo
doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la
infraestructura de Internet.
` c c c]cc c
` cå c c cc c
]c c
c
c c c c
c
j j
Una conexión de red privada virtual (VPN) consta de los siguientes componentes:
Yc j
Un equipo que acepta conexiones VPN de clientes VPN.
Normalmente es un componente hardware, aunque también lo puede ser software. Puede
actuar como un gateway (
2 2 2 2 2 2
2 2 m
2 2

2 2 2 2 ) en una red o en un
único computador. Debe estar siempre conectado y esperando a que clientes VPN se
conecten a él. El software para el Servidor VPN es bastante frecuente. Sistemas como
>
permiten alojar un Servidor VPN.
Yc j
Un equipo que inicia una conexión VPN a un servidor VPN. Un cliente VPN puede ser un
equipo individual o un enrutador.
En la mayoría de los casos un componente software, aunque puede ser también un
componente hardware. Un cliente realiza una llamada al servidor y se conecta. Entonces la
computadora cliente podrá comunicarse con el Servidor VPN, ya que ellos se encuentran
en la misma red virtual. El software para un cliente VPN es bastante común. Cuando se
carga en la computadora este software permite crear un túnel seguro VPN a través de
Internet para poder comunicarse con el Servidor VPN.
Yc
La parte de la conexión en la que se encapsulan los datos.
Los túneles permiten la encapsulación de un paquete de un tipo de protocolo dentro del
datagrama a un protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes
IP a través de una red pública, como Internet. Es posible configurar una solución VPN
basada en el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa dos
(L2TP) o el protocolo de túnel de sockets seguros (SSTP).
PPTP, L2TP y SSTP dependen en gran medida de las características especificadas
originalmente para el protocolo punto a punto (PPP). PPP se diseñó para enviar datos a
través de conexiones punto a punto de acceso telefónico o dedicado. Para IP, PPP
encapsula los paquetes IP dentro de tramas PPP y luego transmite los paquetes PPP
encapsulados a través de un vínculo punto a punto. PPP se definió originalmente como el
protocolo que debía usarse entre un cliente de acceso telefónico y un servidor de acceso a
la red.
Yc j
La parte de la conexión en la que se cifran los datos. En las conexiones VPN seguras, los
datos se cifran y encapsulan en la misma parte de la conexión.

Es posible crear un túnel y enviar los datos a través del túnel sin cifrarlos. No se trata de
una conexión VPN debido a que los datos privados se envían a través de una red
compartida o pública sin cifrar y en forma fácilmente legible.
]]c c
c
c c c c
c
Gc j

m 2 2
2 2 2 m m
2 m 2 2
2 2 2

Gc

m 2

2 m 2m m 2 2 m
Gc

m
2 m 2m 2 ÿ 2
m 2 2 22 22 m
` co c ccc c c c

Normalmente, el túnel y la conexión VPN se encuentran en la misma parte de la

conexión.
ü
Yc Las Redes Privadas Virtuales utilizan tecnología de túnel (tunneling) para la transmisión
de datos mediante un proceso de encapsulación y en su defecto de encriptación, esto es
importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta
última utiliza líneas telefónicas dedicadas para formar la red.
Yc
ÿ 2 2
2 2 m m
22
Yc
ë2 2
m 22 m m

2

m

2 2

2 m ÿ 2
2
2 2 2 m

2
2

2 ! m
Yc
!
ÿ 2 m 22
2
] c c
c
c c c c
c
Yc !

- 2 "ë m # -
$ ë % ! 2
Yc

2

Yc :
ë

2 m 2
j
Internet ha crecido más allá de las expectativas de cualquiera, y algunas estimaciones

establecen que habrá más de 250 millones de usuarios dentro de algunos años. Los estudios
difieren de uno a otro, pero todos aceptan que entre 60 y 100 millones de usuarios tienen
acceso a Internet actualmente. La alta tasa de crecimiento de Internet y el número de
usuarios, así como la cantidad de tráfico en el web y los registros de dominios individuales
han desatado la tendencia hacia arriba de esta tasa de crecimiento. El Departamento de
Comercio de Estados Unidos estimaba que para el año 2000 habría más de un millón de
empresas conectadas a Internet. Esto ilustra claramente el impacto que tiene y tendrá
Internet en el nuevo siglo. Se realizaron muchos estudios sugiriendo que para el cambio de
siglo, entre 50 y 80 por ciento de todos los negocios utilizarían algún tipo de servicio de RPV.
También sugieren que las corporaciones multinacionales de Estados Unidos con al menos 200
usuarios remotos pueden ahorrar más de $1.5 millones de dólares en 4 o 5 años al emplear
Internet en vez de líneas rentadas.
Los PSI (proveedores de servicio de internet) han intentado manejar las crecientes solicitudes
para el acceso a Internet con más bancos de módems y conductos con mayor ancho de banda.
Desafortunadamente, incluso con esta demanda, los PSI siguen perdiendo dinero al
proporcionar el acceso básico a Internet. Esto es evidente por el hecho de que muchos PSI han
comenzado a cancelar su servicio de acceso mensual o de acceso ilimitado. Siendo éste el caso,
los PSI deben ir ahora tras los clientes empresariales y corporativos, y deben ofrecer lo que
estos negocios pidan.
El acceso global, la investigación de mercado, las ventas, la recopilación de datos y el apoyo a

clientes son sólo una pequeña parte de las solicitudes hechas por los clientes empresariales a
los PSI. Los negocios requieren estos servicios, así que los PSI deben ofrecerlos. Sin embargo,
estos nuevos servicios tienen un precio. Uno es el desempeño; el tráfico adicional que estos
nuevos servicios generan es una pesada preocupación sobre la actualización de la
infraestructura de los PSI. Otra área importante es la seguridad. Cualquiera que esté en
Internet potencialmente tiene el poder de ver los datos que pasan por la red, tener acceso a
ellos, modificarlos y utilizar esa información para su beneficio propio. Por lo tanto, la duda es
la seguridad esta implementada de tal manera que sea posible hacer negocios lo
suficientemente confiables como para que Internet se utilice como medio para conducir una
empresa? No muchos PSI quieren tener la responsabilidad de garantizar la seguridad de los
datos conforme viajan por la red. Entonces, ¿será la ocasión para que los vendedores quienes
ofrecen productos para Internet, como enrutadores y los llamados cortafuegos, garanticen la
seguridad? No necesariamente, pero los datos pueden protegerse al comprender los riesgos
]åc c
c
c c c c
c
de seguridad y los procedimientos asociados para prevenirlos, además de emplear el sentido

común.
Las RPV juegan un papel importante en el proceso que permite a las compañías conducir sus
negocios en una forma menos cara. Las RPV ofrecen a las compañías una manera de reducir
sus costos, mejorar sus servicios y mantener su base de clientes. Algunas de las razones por
las que muchos negocios utilizaran las RPV para conducir sus negocios son las siguientes:
Yc Las RPV utilizan Internet como su medio de transporte.
Yc Internet es un medio propicio tanto para clientes comerciales como privados.
Yc Internet se extiende por todo el mundo.
Yc La conductividad en Internet es extremadamente eficiente en el mercado actual, y muchos

PSI procuran mantener la conexión.
Yc Las RPV son flexibles, dinámicas y escalables.
Yc Las RPV (en algunos casos) pueden utilizar la inversión que la compañía haya hecho en
hardware.
Yc La tecnología base de las RPV es el conjunto de protocolos TCP/IP de Internet, lo cual la

hace mas fácil de comprender e implementar que una tecnología completamente nueva.
!"
Los objetivos básicos que persigue una empresa cuando decide instalar un servidor de VPN en
una o varias de sus sedes son los siguientes:
Yc Proporcionar movilidad a los empleados.
Yc Acceso a la base de datos central sin utilización de operadores telefónicos.
Yc Interconexión total a la red de todos los comerciales (empleados), de forma segura a

través de una infraestructura pública.
Yc Intercambio de información en tiempo real.
Yc Correo electrónico corporativo
Yc Acceso remoto a la información corporativa
Yc Teletrabajo.
Yc Flexibilidad y facilidad de uso.
]oc c
c
c c c c
c
Yc Obtención de la máxima velocidad de transferencia de datos usando con eficiencia los

recursos empleados.
Yc Fácil adaptación a las nuevas tecnologías.

c
c
c
"
Además de reducir los costos de comunicaciones, una solución VPN también proporciona las
siguientes ventajas:
Yc

2

2 2
Yc

2

2
2 2 m &&! '
(! ") 2 * $
2

Yc

22 m 2
+ -
2

2 m ", ,$ 2 'm 2 2
2 2

Yc

2
- 2 2 2
2 2
22
- m 2
2 2
2
- 2 2 2 m
Yc #
m

2 2 m

2

j !

ć j
Para que se establezca un túnel tanto el cliente del túnel como el servidor del tunnel
deberán utilizar el mismo protocolo de túnel. La tecnología de túnel se puede basar ya sea
en el protocolo del túnel de Nivel 2 ó de Nivel 3. Estos niveles corresponden al Modelo de
referencia de interconexión de sistemas abiertos (OSI). Los protocolos de nivel 2
corresponden al nivel de Enlace de datos, y utilizan tramas como su unidad de
intercambio. PPTP y L2TP y el envoi de nivel 2 (L2F) son protocolos de túnel de Nivel 2;
ambos encapsulan la carga útil en una trama de Protocolo de punto a punto (PPP) que se
enviará a través de la red. Los protocolos de Nivel 3 corresponden al nivel de la red y
]c c
c
c c c c
c
utilizan paquetes. IP sobre IP y el modo de túnel de seguridad IP (IPSec) son ejemplos de

los protocolos de túnel de Nivel 3. Estos protocolos encapsulan los paquetes IP en un
encabezado adicional IP antes de enviarlos a través de una red IP.
c
` c c!c
c
ć
$
Para las tecnologías de túnel de Nivel 2 como PPTP y L2TP, un túnel es similar a una
sesión; los dos puntos finales del túnel deben estar de acuerdo respecto al túnel y deben
negociar las variables de la configuración, como son asignación de dirección o los
parámetros de encriptación o de compresión. En la mayoría de los casos, los datos que se
transfieren a través del túnel se envían utilizando protocolos basados en datagramas. Se
utiliza un protocolo para mantenimiento del túnel como el mecanismo para administrar al
mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado
fuera de banda todos los temas relacionados con la configuración, normalmente por
medio de procesos manuales. Sin embargo, puede no haber una fase de mantenimiento de
túnel. Para los protocolos de Nivel 2 (PPTP y L2TP), se debe crear, mantener y luego dar
por terminado un túnel. Una vez que se establece el túnel, se pueden enviar los datos a
través del mismo. El cliente o el servidor del túnel utilizan un protocolo de transferencia
de datos del túnel para preparar los datos para su transferencia. Por ejemplo, cuando el
cliente del túnel envía una carga útil al servidor del túnel, el cliente del túnel adjunta
primero un encabezado de protocolo de transferencia de datos de túnel a la carga útil.
Luego, el cliente envía la carga útil encapsulada resultante a través de la red, la cual lo
enruta al servidor del túnel. El servidor del túnel acepta los paquetes, quita el encabezado
del protocolo de transferencia de datos del túnel y envía la carga útil a la red objetivo. La
información que se envía entre el servidor del túnel y el cliente del túnel se comporta de
manera similar.
]c c
c
c c c c
c
ć j $ % !& $
Debido a que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como
PPTP y L2TP) heredan un conjunto de funciones útiles. Como se señala más adelante,
estas funciones, y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la
VPN.

Los protocolos de túnel Nivel 2 heredan los esquemas de
autenticación del usuario de PPP, incluyendo los métodos EAP que se comentan a
continuación. Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales
han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una
excepción es la negociación IPSec ISAKMP, la cual proporciona una autenticación mutua
de los puntos finales del túnel. (Nótese que la mayor parte de las implementaciones IPSec
dan soporte sólo a certificados basados en equipo, más que en certificados de usuarios.
Como resultado,cualquier usuario con acceso a uno de los equipos de punto final puede
utilizar el túnel. Se puede eliminar esta debilidad potencial de seguridad cuando se
conjunta el IPSec con un protocolo de Nivel 2 como el L2TP.)

'
Al utilizar el Protocolo de autenticación ampliable (EAP),
los protocolos de túnel Nivel 2 pueden dar soporte a una amplia variedad de métodos de
autenticación, incluyendo contraseñas de una sola vez, calculadores criptográficos y
tarjetas inteligentes. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares;
por ejemplo, IPSec define la Autenticación de los certificados de llaves públicas en su
negociación ISAKMP/Oakley.

El túnel de Nivel 2 da soporte a la asignación
dinámica de direcciones de clientes basadas en un mecanismo de negociación de
Protocolo de control de la red (NCP). Por lo general, los esquemas de túnel de Nivel 3
suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Los
esquemas para la asignación de direcciones en el modo de túnel IPSec están actualmente
en desarrollo y no están disponibles aún.

Los protocolos de túnel Nivel 2 dan soporte a esquemas de
compresión basados en PPP. Por ejemplo, las implementaciones de Microsoft tanto de
PPTP como L2TP utilizan Microsoft Point-to-Point Compression (MPPC). La IETF está
investigando mecanismos similares (como la compresión IP) para los protocolos de túnel
Nivel 3.

Los protocolos de túnel Nivel 2 dan soporte a mecanismos de
encriptación de datos basados en PPP. La implementación de Microsoft de PPTP da
soporte al uso opcional de Microsoft Point-to-Point Encription (MPPE), basado en el
algoritmo RSA/RC4. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares;
por ejemplo, IPSec define varios métodos de Encriptación opcional de datos que se
negocian durante el intercambio ISAKMP/Oakley . La implementación de Microsoft del
protocolo L2TP utiliza la encriptación IPSec para proteger el flujo de datos del cliente al
servidor del túnel.

MPPE, un protocolo de Nivel 2, se basa en las claves iniciales
generadas durante la Autenticación del usuario y luego las renueva periódicamente. IPSec
]*c c
c
c c c c
c
negocia explícitamente una llave común durante el intercambio ISAKMP y también las
renueva periódicamente.
El sistema de túnel de Nivel 2 da soporte a protocolos

múltiples de carga útil, lo cual hace más fácil para los clientes de túnel tener acceso a sus
redes corporativas utilizando IP, IPX, NetBEUI, etc. En contraste, los protocolos de túnel
Nivel 3, como el modo de túnel IPSec, típicamente dan soporte sólo a redes objetivo que
utilizan el protocolo IP.
ć j j j jjj
Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones

originalmente especificadas para PPP, vale la pena examinar este protocolo más de cerca.
PPP se diseñó para enviar datos a través de conexiones de marcación o de punto a punto
dedicadas. PPP encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP y
luego transmite los paquetes encapsulados del PPP a través de un enlace punto a punto. El
PPP se utiliza entre un cliente de marcación y un NAS. Existen cuatro fases distintivas de
negociación en una sesión de marcación del PPP . Cada una de estas cuatro fases debe
completarse de manera exitosa antes de que la conexión del PPP esté lista para transferir
los datos del usuario. Estas fases se explican más adelante.
(c
(
jjj. PPP utiliza el Protocolo de control de enlace
(LCP) para establecer, mantener y terminar la conexión física. Durante la fase LCP
inicial, se seleccionan las opciones básicas de comunicación. Nótese que durante la
fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de
Autenticación, pero no se implementan efectivamente hasta la fase de
Autenticación de conexión (Fase 2). De manera similar, durante el LCP, se toma
una decisión en cuanto a que si dos iguales negociarán el uso de compresión y/o
encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de
compresión/encriptación y otros detalles.
c

En la segunda fase, la PC cliente presenta las
credenciales del usuario al servidor de acceso remoto. Un esquema seguro de
Autenticación proporciona protección contra ataques de reproducción y
personificación de clientes remotos. (Un ataque de reproducción ocurre cuando un
tercero monitorea una conexión exitosa y utiliza paquetes capturados para
reproducir la respuesta del cliente remoto, de tal manera que pueda lograr una
conexión autenticada. La personificación del cliente remoto ocurre cuando un
tercero se apropia de una conexión autenticada. El intruso espera hasta que se
haya autenticado la conexión y luego atrapa los parámetros de conversación,
desconecta al usuario autenticado y toma control de la conexión autenticada.)
La mayoría de las implementaciones del PPP proporcionan métodos limitados de

Autenticación, típicamente el Protocolo de autenticación de contraseña (PAP), el
Protocolo de autenticación de saludo Challenge (CHAP) y Microsoft Challenge
Handshake Authentication Protocol (MSCHAP).
]Ac c
c
c c c c
c
j

'jj El PAP es un esquema simple
y claro de autenticación de texto. El NAS solicita al usuario el nombre y la
contraseña y el PAP le contesta el texto claro (no encriptado). Obviamente, este
esquema de autenticación no es seguro ya que un tercero podría capturar el
nombre y la contraseña del usuario y utilizarlos para tener un acceso subsecuente
al NAS y todos los recursos que proporciona el mismo. PAP no proporciona
ninguna protección contra ataques de reproducción o personificación de cliente
remoto una vez que se ha escrito la contraseña del usuario.
j

)j El CHAP es un
mecanismo de autenticación encriptado que evita la transmisión de contraseñas
reales en la conexión. El NAS envía un Challenge, que consiste de una
identificación de sesión y una extensión challenge arbitraria al cliente remoto. El
cliente remoto deberá utilizar el algoritmo de control unidireccional MD5 para
devolver el nombre del usuario y una encriptación del challenge, la identificación
de la sesión y la contraseña del cliente. El nombre del usuario se envía sin
verificar.
` c cc
c"c
El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de

texto transparente sobre el enlace. En su lugar, se utiliza la contraseña para crear
una verificación encriptada del challenge original. El servidor conoce la contraseña
del texto transparente del cliente y por lo tanto puede duplicar la operación y
comparar el resultado con la contraseña enviada en la respuesta del cliente. El
CHAP protege contra ataques de reproducción al utilizar una extensión challenge
arbitraria para cada intento de autenticación. El CHAP protege contra la
personificación de un cliente remoto al enviar de manera impredecible challenges
repetidos al cliente remoto a todo lo largo de la duración de la conexión.

*)
j *)j
El MS-CHAP es un mecanismo de autenticación encriptado muy similar al CHAP.

Como en el CHAP, el NAS envía un challenge, el cual consiste en una identificación
]c c
c
c c c c
c
de sesión y una extensión challenge arbitraria, al cliente remoto. El cliente remoto

debe devolver el nombre del usuario y una verificación MD4 de la extensión
challenge, el identificador de sesión y la contraseña MD4 verificada. Este diseño,
que manipula una verificación del MD4 de la contraseña, proporciona un nivel
adicional de seguridad debido a que permite que el servidor almacene las
contraseñas verificadas en lugar de contraseñas con texto transparente. MS-CHAP
también proporciona códigos adicionales de error, incluyendo un código de
Contraseña ha expirado, así como mensajes adicionales cliente-servidor
encriptados que permiten a los usuarios cambiar sus contraseñas. En la
implementación de Microsoft del MS-CHAP, tanto el Cliente como el NAS generan
de manera independiente una llave inicial para encriptaciones subsecuentes de
datos por el MPPE. El último punto es muy importante, ya que explica la forma en
que se requiere la autenticación del MSCHAP para poder permitir la encriptación
de datos con base en MPPE. Durante la fase 2 de la configuración del enlace del
PPP, el NAS recopila los datos de autenticación y luego valida los datos contra su
propia base de datos del usuario o contra un servidor central para la autenticación
de base de datos, como el que mantiene un Controlador del dominio primario
Windows NT, un servidor de Servicio remoto de usuario con marcación de
autenticación (RADIUS).
åc
å jjj La implementación de Microsoft del PPP
incluye una Fase opcional de control de rellamado. Esta fase utiliza el Protocolo de
control de rellamado (CBCP) inmediatamente después de la fase de autenticación.
Si se configura para rellamado, después de la autenticación, se desconectan tanto
el cliente remoto como el NAS. Entonces, el NAS vuelve a llamar al cliente remoto
en el número telefónico especificado. Esto proporciona un nivel adicional de
seguridad a las redes de marcación. El NAS permitirá conexiones partir de los
clientes remotos que físicamente residan sólo en números telefónicos específicos.
oc
o

. Una vez que se hayan terminado
las fases previas, PPP invoca los distintos Protocolos de control de red (NCPs) que
se seleccionaron durante la fase de establecimiento de enlace (Fase1) para
configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta
fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a
un usuario de marcación. En la implementación del PPP de Microsoft, el protocolo
de control de compresión se utiliza para negociar tanto la compresión de datos
(utilizando MPPC) como la encriptación de datos (utilizando MPPE) por la simple
razón de que ambos se implementan en la misma rutina.
c

Una vez que se han terminado las cuatro fases de
negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada
paquete de datos transmitidos se envuelve en un encabezado del PPP el cual quita
el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se
negoció en la fase 4, los datos se comprimirán antes de la transmisión. Si se
seleccionaron y se negociaron de manera similar la encriptación de datos, los
datos (comprimidos opcionalmente) se encriptarán antes de la transmisión.
c c
c
c c c c
c
ć j $ j j jjj
El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP
para transmisión sobre una red IP, como la de Internet. También se puede utilizar el PPTP
en una red privada de LAN a LAN. El PPTP se documenta en el RFC preliminar, ǲProtocolo
de túnel de punto a puntoǳ (pptp-draft-ietf - ppext - pptp - 02.txt). Este proyecto se
presentó ante el IETF en junio de 1996 por parte de las compañías miembros del Foro
PPTP incluyendo Microsoft Corporation, Ascend Communications, 3Com/Primary Access,
ECI Telematics y US Robotics (ahora 3Com). Protocolo de túnel de punto a punto (PPTP)
utiliza una conexión TCP para mantenimiento del túnel y tramas del PPP encapsuladas de
Encapsulación de enrutamiento genérico (GRE) para datos de túnel. Se pueden encriptar
y/o comprimir las cargas útiles de las tramas del PPP encapsulado. La Figura 5 muestra la
forma en que se ensambla el paquete del PPTP antes de la transmisión. El dibujo muestra
un cliente de marcación que crea un túnel a través de una red. El diseño de la trama final
muestra la encapsulación para un cliente de marcación (controlador de dispositivo PPP).
` c* c
ccc #cc
]c c
c
c c c c
c
ć ü
L2F, una tecnología propuesta por Cisco, es un protocolo de transmisión que permite que
los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP y lo
transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). El servidor L2F
envuelve entonces los paquetes y los inyecta en la red. A diferencia del PPTP y L2TP, L2F
no tiene un cliente definido. Nótese que L2F funciona sólo en túneles obligatorios. (Para
un análisis detallado de los túneles voluntarios y obligatorios, véase la sección ǲTipos de
túnelesǳ, más adelante en este documento.)
ć j $ j
L2TP es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP
represente las mejores funciones del PPTP y L2F. L2TP es un protocolo de red que
encapsula las tramas del PPP que se enviarán sobre redes IP, X.25, Frame Relay o Modo de
transferencia asíncona (ATM). Cuando está configurado para utilizar al IP como su
transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre
Internet. También se puede utilizar al L2TP directamente sobre varios medios WAN
(como Frame Relay) sin nivel de transporte IP. El 2TP sobre las redes IP utilizan UDP y
una serie de mensajes del L2TP para el mantenimiento del túnel. El L2TP también utiliza
UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el
túnel. Se pueden encriptar y/o comprimir las cargas útiles de las tramas PPP
encapsuladas. La Figura 6 muestra la forma en que se ensambla un paquete L2TP antes de
su transmisión. El dibujo muestra un cliente de marcación que crea un túnel a través de
una red. El diseño final de trama muestra la encapsulación para un cliente de marcación
(controlador de dispositivos PPP). La encapsulación supone el L2TP sobre IP.
c c
c
c c c c
c
` cA c
ccc #c c
åc c
c
c c c c
c
ć jjjj j
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los
datos y luego incluir encabezados adicionales para transportarlos a través de la red. Los
dos protocolos son muy similares. Sin embargo, existen diferencias entre el PPTP y L2TP:
El PPTP requiere que la red sea de tipo IP. El L2TP requiere sólo que los medios del túnel
proporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar
L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVCs), circuitos
virtuales X.25 (VCs) o VCs ATM. El PPTP sólo puede soportar un túnel único entre puntos
terminales. El L2TP permite el uso de varios túneles entre puntos terminales. Con el L2TP,
uno puede crear diferentes túneles para diferentes calidades de servicio. L2TP
proporciona la compresión de encabezados. Cuando se activa la compresión de
encabezado, el L2TP opera sólo con 4 bytes adicionales, comparado con los 6 bytes para el
PPTP. L2TP proporciona la autenticación de túnel, mientras que el PPTP no. Sin embargo,
cuando se utiliza cualquiera de los protocolos sobre IPSec, se proporciona la autenticación
de túnel por el IPSec de tal manera que no sea necesaria la autenticación del túnel Nivel 2.
ć $ jj

j
El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida

de información a través de una red IP. En su conjunto se describe con mayor detalle en la
sección de Seguridad avanzada más adelante. Sin embargo, hay un aspecto del IPSec que
debe analizarse en el contexto de los protocolos de túnel. Además de su definición de
mecanismos de encriptación para tráfico IP, IPSec define el formato de paquete para un
modo de túnel IP sobre IP, generalmente referido como un modo de túnel IPSec. Un túnel
IPSec consiste en un cliente de túnel y un servidor de túnel, ambos configurados para
utilizar los túneles IPSec y un mecanismo negociado de encriptación.
El modo del túnel del IPSec utiliza el método de seguridad negociada (de existir) para
encapsular y encriptar todos los paquetes IP para una transferencia segura a través de una
red privada o pública IP. Entonces, se vuelve a encapsular la carga útil encriptada con un
encabezado IP de texto y se envía en la red para su entrega a un servidor de túnel. Al
recibir este datagrama, el servidor del túnel procesa y descarta el encabezado IP de texto y
luego desencripta su contenido para recuperar el paquete original IP de carga útil.
Entonces, se procesa el paquete IP de carga útil de manera normal y se enruta su destino
en la red objetivo. El modo de túnel IPSec tiene las siguientes funciones y limitaciones:
Sólo da soporte a tráfico IP. Funciona en el fondo de la pila IP; por lo tanto, las aplicaciones
y protocolos de niveles más altos heredan su comportamiento. Está controlado por una
política de seguridadȄun conjunto de reglas que se cumplen a través de filtros. Esta
política de seguridad establece los mecanismos de encriptación y de túnel disponibles en
orden de preferencia y los métodos de autenticación disponibles, también en orden de
preferencia. Tan pronto como existe tráfico, los dos equipos realizan una autenticación
mutua, y luego negocian los métodos de encriptación que se utilizarán. En lo subsecuente,
se encripta todo el tráfico utilizando el mecanismo negociado de encriptación y luego se
envuelve en un encabezado de túnel.
c
oc c
c
c c c c
c
j j
Básicamente existen tres arquitecturas de conexión VPN:
ć j
Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se

conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles,
aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez
autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la
empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura dial-
up (módems y líneas telefónicas).
c
` c c c c cc
c c
ć j j j
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las
conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores
de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de
Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vínculos punto a puntos tradicionales, sobre todo en las comunicaciones
internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o
tunneling.

La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo

de red encapsulador) creando un túnel dentro de una red de computadoras. El
establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de
otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea
necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se
encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en
claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y
el protocolo de comunicación empleado, que entre otros, podría ser SSH.
c c
c
c c c c
c
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté
tratando, como por ejemplo la comunicación de islas en escenarios multicast, la
redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de
tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se
encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y
redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo de
tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-móvil.
c
ć j
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro
de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve
para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente
para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos,
ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado
del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda
acceder a la información.
Otro ejemplo es la conexion a redes WIFI haciendo uso de túneles cifrados IPSEC o SSL
que además de pasar por los métodos de autenticación tradicionales (WAP, WEP,
MAcaddress, etc.) agregan las credenciales de seguridad del túnel VPN creado en la LAN
internas o externas.

c

Los requisitos indispensables para implantar una VPN son:
Yc Políticas de seguridad: codificación de datos (los datos que se van a transmitir a través de
la red pública deben ser previamente encriptados para que no puedan ser leídos por
clientes no autorizados de la red), administración de claves (la VPN debe generar y
renovar las claves de codificación para el cliente y el servidor.),...
Yc Requerimiento de aplicaciones en tiempo real.
Yc Compartir datos, aplicaciones y recursos.
Yc Servidor de acceso y autenticación (identificación de usuarios): debe ser capaz de verificar

la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no
c c
c
c c c c
c
estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren los
accesos, la información y el instante en que se realizó.
Yc Administración de direcciones: la VPN debe establecer una dirección del cliente en la red
privada y debe cerciorarse que las direcciones privadas se conserven así.
Yc Soporte a protocolos múltiples: la VPN debe ser capaz de manejar los protocolos comunes
que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP), el
intercambio de paquete de internet(IPX) entre otros.
Yc Tener una conexión a Internet:ya sea por conexión IP dedicada, ADSL o dial-up.
Yc Servidor VPN: básicamente es una PC conectada a Internet esperando por conexiones de

usuarios VPN y si estos cumplen con el proceso de autenticación, el servidor aceptara la
conexión y dará acceso a los recursos de la red interna.
Yc Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN.
Yc Asegurarse que la VPN sea capaz de:
Gc Encapsular los datos

Gc Autentificar usuarios.
Gc Encriptar los datos.
Gc Asignar direcciones IP de manera estática y/o dinámica.
c

Una red privada virtual se basa en un protocolo denominado protocolo de túnel, es decir, un
protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.
c
` c] c`
ccc c c c
La palabra "túnel" se usa para simbolizar el hecho que los datos estén cifrados desde el
momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para
cualquiera que no se encuentre en uno de los extremos de la VPN, como si los datos viajaran a
*c c
c
c c c c
c
través de un túnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y
descifra los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor de
acceso remoto) es el elemento que descifra los datos del lado de la organización.
De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se
transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la
infraestructura de red pública como intermediaria; luego transmite la solicitud de manera
cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y éste envía la
respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y
finalmente los envía al usuario.
c
ć + j jj
En todo momento asumo que trabajamos como usuario root.

Instale los fuentes del kernel para su posterior compilación, es aconsejable bajarse la
ultima versión estable del kernel enhttp://w w w .kernel.org o bien, si su distribución es
Debían puede instalarlo mediante apt. Al momento de escribir este documento se uso la
versión 2.4.20.
También hay que conseguir el source del patch para MPPE para poder aplicárselo al
kernel.
Si no desea recompilar el kernel, hay imágenes precompiladas que ya poseen el soporte
para MPPE, debe buscar la versión que mas se adecue a la arquitectura de su equipo.
Obtenemos los fuentes del kernel y herramientas para la compilación y lo preparamos

para la compilación (al modo Debian) :
# apt-get install kernel-package gcc bin86 bzip2 kernel-source-2.4.20
#cd /usr/src
#bzip2 -d kernel-source-2.4.20.tar.bz2
#tar -xvf kernel-source-2.4.20.tar.bz2
Siempre es conveniente, para evitar errores en la compilación, hacer un enlace simbólico

llamado linux al directorio que contiene los sources.
#ln -s kernel-source-2.4.20 linux
#cd Linux
#make-kpkg clean
# cp /boot/config-2.4.20 ./.config
Ahora le aplicaremos el patch para soporte MPPE:

# cd /usr/src
# wget http://quozl.netrek.org/pptp/ppp-2.4.2_cvs_20021120.tar.gz
# tar -xfz ppp-2.4.2_cvs_20021120.tar.gz
# cd ppp-2.4.2_cvs_20021120/linux/mppe
# chmod +x mppeinstall.sh
# ./mppeinstall.sh /usr/src/kernel-source-2.4.20
Ac c
c
c c c c
c
Editamos el archivo /usr/src/kernel-source-2.4.20/.config y buscamos la línea que hace

referencia al PPP y la dejamos de la siguiente manera, CONFIG_PPP=m , luego
buscamos otra línea que hace referencia al MPPE y quedaría así,
CONFIG_PPP_MPPE=m.
El próximo paso es compilar el kernel e instalarlo:

# make-kpkg Ȃappend_to_version -mppe Ȃinitrd kernel-image
Este proceso puede tomar unos cuantos minutos, depende la maquina en la que se esté
compilando.
# dpkg -i kernel-image-2.4.20-mppe_10.00.Custom_i386.deb
Ahora solo resta reiniciar el equipo con el nuevo kernel (recuerde configurar su gestor de
arranque).
Una vez reiniciado, asegúrese que esta corriendo el nuevo kernel:
#uname -r
Si el kernel es el correcto, entonces vamos a testear el soporte para MPPE:

#modprobe ppp_mppe
Aparecerá un mensaje pero será solo de advertencia, no impedirá que trabaje bien.
c
ć jjj j jj
Compilamos el nuevo pppd:

# cd /usr/src/ppp-2.4.2_cvs_20021120/linux/mppe
# make
Luego salvamos el pppd actual por si hay que volver atrás, para eso solo lo renombramos,
y usamos el comando dpkg-divert el cual elimina la versión de pppd instalada por Debian,
pero guardando los atributos en el archivo copiado.
# cp /usr/sbin/pppd /usr/sbin/pppd.debian
# dpkg-divert Ȃdivert /usr/sbin/pppd.debian /usr/sbin/pppd
# cp pppd/pppd /usr/sbin/pppd
c
ć j jjj
Descargar la ultima versión de los fuentes de PPTPD (al momento de escribir este
documento es pptpd-1.4-b2.tar.gz).
Descompactar y compilar del siguiente modo

# tar -xvzf pptpd-1.4-b2.tar.gz
# cd poptop-1.1.4
# ./configure --prefix=/usr/sbin
# make
# make check
# make install
c c
c
c c c c
c
Copiar el archivo pptpd.init (ubicado en el directorio de la compilacion) a /etc/init.d (en

Red Hat seria /etc/rc.d/init.d) y darle permisos de ejecución:
# chmod 755 pptpd.init
Luego hacer el link al runlevel adecuado:

#cd /etc/rc2.d/ (en debian el runlevel 2 es modo multiuser)
#ln -s ../init.d/pptpd.init S97vpn
Editar el archivo pptpd.init y cambiar la linea 23

"daemon /usr/sbin/pptpd"por "/usr/sbin/pptpd -d"
Editar el /etc/pptpd.conf y dejarlo de la siguiente manera

debug #Esta línea puede ser removida una vez que la vpn esta funcionando
option /etc/ppp/options.pptp
localip 192.168.1.1
remoteip 192.168.1.10-50
localip: IP que tendrá el servidor vpn (IP del tunel), esto puede ser un rango, por lo cual
asignara(en el servidor) una IP por cada túnel que se genere. A veces para mejor control
es mejor que el server tenga la misma IP siempre.
remoteip: rango de IPs que se asignan a los usuarios que se conecten, en caso de proveer
una sola IP, permitirá un cliente por vez, pero todos los clientes obtendrán esa
misma IP. Es importante tener en cuenta la cantidad de conexiones que se van a permitir,
porque si se requiere asignar direcciones IP estáticas a usuarios (esto se hace en el
/etc/chap-secrets) las IPs deberán estar contempladas en el rango.
Ahora deberemos editar el archivo /etc/ppp/options.pptp que debería tener como

mínimo las siguientes opciones:
lock
debug
+chap
+chapms
+chapms-v2
mppe-40
mppe-128
mppe-stateless
proxyarp
y con esto quedaría configurado el servidos PPTPD, ahora pasemos a dar de alta los
usuarios VPN.
c
ć j
La configuración de usuarios se hace en el archivo /etc/ppp/chap-secrets, no es necesario

que el usuario que se conecte por VPN tenga que ser usuario del sistema:
La primer columna corresponde a el nombre de usuario(para autenticar dominios de
windows, poner el nombre de dominio mas dos barras invertidas antes del usuario)
En la segunda columna va el nombre del servidor (puede ir solamente un asterico
asumiendo que es el mismo donde esta corriendo el pptp)
En la tercera columna va el password.
åc c
c
c c c c
c
En la cuarta columna va la IP, en caso de asignar estáticamente una a un usuario, de lo

contrario, con un asterisco (*) el servidor le dará a ese usuario una IP arbitraria que va a
estar comprendida en el rango que especifico en /etc/pptpd.conf ).
Ejemplo de /etc/ppp/chap-secrets:
juan
*
bostero
*
pedro
*
de3th58
192.168.1.22
alberto
*
123456
192.168.1.23
Para autenticar una maquina windows:

Ej: dominio\\pedro
*
d3th58
192.168.1.22
Habrá tantos usuarios en el chap-secrets como conexiones se
permitan realizar(no se pueden loguear dos usuarios al mismo tiempo) , recordemos
también que en este archivo se encuentran los nombres de usuario y password de
NUESTRO acceso a internet
c
ć j
Si tenemos un firewall en el servidor VPN, deberemos agregar algunas reglas de iptables

para permitir que se establezca el túnel, los puertos que nos interesan son el 1723 y el 47.
Reglas de entrada:
# iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
# iptables -A INPUT -p 47 -j ACCEPT
Reglas de salida:
# iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
# iptables -A OUTPUT -p 47 -j ACCEPT
Ahora solo resta por levantar el demonio pptpd del siguiente modo:
#/etc/init.d/pptpd.init start
o directamente
# pptpd
El servidor PPTPD se pondrá automáticamente en background escuchando por el puerto

TCP 1723 en espera de conexiones entrantes
c
å]c c
c
c c c c
c
ć j
Configuración de clientes bajo windows:
1-c Primero deberemos dar soporte a windows para establecer conexiones vpn.
Desde las propiedades de red, agregar dispositivo(o adaptador) para redes privadas
virtuales.
2-c Ir a Panel de Control > Configuración de Acceso Telefónico a redes.

Crear un nuevo perfil de conexión utilizando el dispositivo con soporte para vpn,
estableciendo el nombre o numero IP del servidor vpn, nombre de usuario que hemos
establecido en el /etc/chap-secrets del equipo servidor y la misma password.
3-c Luego de creada la conexión, entramos a Propiedades y le decimos (tildando las

opciones) que queremos cifrado de datos y contraseña cifrada.
Llegados a este punto, ya se puede establecer la conexión cliente<->servidor,
conectando como si lo hiciéramos a un isp normal.
c
c
j ,

ć ,

Una conexión VPN de acceso remoto es realizada por un cliente de acceso remoto,
o un equipo de usuario único, que se conecta a una red privada. El servidor VPN
proporciona acceso a los recursos del servidor VPN o de toda la red a la que está
conectado el servidor VPN. Los paquetes enviados a través de la conexión VPN se
originan en el cliente de acceso remoto.
El cliente de acceso remoto (el cliente VPN) se autentica ante el servidor de acceso
remoto (el servidor VPN) y, para la autenticación mutua, el servidor se autentica al
cliente.
c
ć ,
j
Una conexión VPN de enrutador a enrutador se hace por un router y conecta dos partes de
una red privada. El servidor VPN proporciona una conexión enrutada a la red a la que está
conectado el servidor VPN. En una conexión VPN de enrutador a enrutador, los paquetes
enviados desde cualquier router a través de la conexión VPN típicamente no se originan
en los routers.
å c c
c
c c c c
c
El enrutador de llamada (el cliente VPN) se autentica ante el enrutador de respuesta (el
servidor VPN), y, para la autenticación mutua, el enrutador de respuesta se autentica en el
enrutador de llamada.
c
ć ,
j > >
Un servidor de seguridad emplea el filtrado de paquetes para permitir o no permitir el

flujo de tipos muy específicos de tráfico de la red. filtrado de paquetes IP proporciona una
manera de definir con precisión lo que el tráfico IP se le permite cruzar el
cortafuegos. filtrado de paquetes IP es importante a la hora de conectar redes privadas a
redes públicas como Internet.
j -

Hay dos enfoques para la utilización de un firewall con un servidor VPN:
Yc El servidor VPN está conectado a Internet y el servidor de seguridad está entre el

servidor VPN y la intranet.
Yc El servidor de seguridad está conectado a Internet y el servidor VPN está entre el

servidor de seguridad y la intranet.
j

Con el servidor VPN delante del servidor de seguridad conectado a Internet, como se
muestra en la Figura 7 es necesario agregar filtros de paquetes para la interfaz de Internet
que sólo permiten el tráfico VPN hacia y desde la dirección IP de la interfaz del servidor
VPN en Internet.
Para el tráfico entrante, cuando los datos del túnel es descifrado por el servidor VPN que
se envía al servidor de seguridad, que emplea a sus filtros para permitir el tráfico que se
remitirá a la intranet de los recursos. Debido a que el único tráfico que está cruzando el
servidor VPN es tráfico generado por autenticado clientes VPN, firewall de filtrado en este
escenario se puede utilizar para impedir que los usuarios de VPN de acceso a recursos
específicos de la intranet.
Debido a que el tráfico de Internet sólo se permite en la intranet debe pasar por el
servidor VPN, este enfoque también evita el intercambio de transferencia de archivos
(FTP) o recursos web de la intranet con los usuarios de Internet no VPN.
ååc c
c
c c c c
c
c
` c]] c$ c ccccc`cc` %c
Para la interfaz de Internet del servidor VPN, configurar la siguiente entrada y los filtros
de salida con el Servicio de enrutamiento y acceso remoto en.

jjj
Configurar los filtros de entrada siguiente con la acción filtrado Descartar

Yc Dirección IP de destino de la interfaz de Internet del servidor VPN, máscara de subred

255.255.255.255 y puerto de destino TCP 1723 (0x06BB).
Este filtro permite el tráfico de mantenimiento del túnel PPTP desde el cliente PPTP
con el servidor PPTP.

de 255.255.255.255, y Id. de protocolo IP 47 (0x2F).
Este filtro permite un túnel PPTP datos desde el cliente PPTP con el servidor PPTP.

de 255.255.255.255, y TCP [establecido] puerto de origen de 1723 (0x06BB).
Yc Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se
selecciona j .
el tráfico sólo se acepta si el servidor VPN inició la
conexión TCP.
Configurar los filtros de salida siguiente con la acción filtrado Descartar

Yc Dirección IP de origen de la interfaz de Internet del servidor VPN, máscara de subred

255.255.255.255 y puerto de origen TCP 1723 (0x06BB).
Este filtro permite el tráfico de túnel PPTP de mantenimiento del servidor VPN para el
cliente VPN.
åoc c
c
c c c c
c

de 255.255.255.255, y Id. de protocolo IP 47 (0x2F).
Este filtro permite un túnel PPTP datos desde el servidor VPN para el cliente VPN.

de 255.255.255.255, y TCP [establecido] puerto de destino de 1723 (0x06BB). Este
filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
selecciona j .
el tráfico es enviado sólo si el servidor VPN inició la
conexión TCP.

j
j


255.255.255.255 y puerto de destino UDP 500 (0x01F4).
Este filtro permite Internet Key Exchange (IKE) el tráfico hacia el servidor VPN.

255.255.255.255 y puerto de destino UDP 1701 (0x6A5).
Este filtro permite el tráfico L2TP desde el cliente VPN con el servidor VPN.
Configurar los filtros de salida siguiente con la acción de filtrado Descartar todos los
paquetes que no cumplan con los siguientes criterios:

255.255.255.255 y puerto de origen UDP 500 (0x01F4).
Este filtro permite el tráfico IKE desde el servidor VPN.

255.255.255.255 y puerto de origen UDP 1701 (0x6A5).
Este filtro permite el tráfico L2TP desde el servidor VPN para el cliente VPN.
No hay filtros necesarios para el tráfico ESP de IPSec para el protocolo IP 50. El Servicio de
enrutamiento y acceso remoto servicio de acceso de filtros se aplican después de que el
módulo de IPSec de TCP / IP elimina la cabecera ESP.
j

En una configuración más común, que se ilustra en la Figura 12, el servidor de seguridad
está conectado a Internet y el servidor VPN es otro recurso intranet conectada a una zona
desmilitarizada (DMZ). La zona desmilitarizada es un segmento de red IP que
normalmente contiene los recursos disponibles para los usuarios de Internet, tales como
åc c
c
c c c c
c
servidores Web y servidores FTP. El servidor VPN tiene una interfaz en la zona de
distensión y una interfaz de la intranet.
En este enfoque, el servidor de seguridad se debe configurar con filtros de entrada y salida
en la interfaz de Internet para permitir el paso del tráfico del túnel de mantenimiento y un
túnel de datos con el servidor VPN. Filtros adicionales se pueden permitir el paso de
tráfico a los servidores Web, servidores FTP, y otros tipos de servidores en la DMZ.
Debido a que el firewall no tiene las claves de cifrado para cada conexión VPN, sólo se
puede filtrar por las cabeceras de texto claro de los datos de un túnel, lo que significa que
todos los datos del túnel pasan a través del firewall. Sin embargo, esto no es un problema
de seguridad porque la conexión VPN requiere un proceso de autenticación que impide el
acceso no autorizado más allá del servidor VPN.
c
` c] c$ c c&cc cc cccc
Para la interfaz de Internet en el firewall, la siguiente entrada y salida de los filtros se

deben configurar con el software del servidor de seguridad de configuración.

jjj

Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y puerto de destino TCP
1723 (0x06BB). Este filtro permite el tráfico de mantenimiento del túnel PPTP desde
el cliente PPTP con el servidor PPTP.
Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 47

(0x2F). Este filtro permite un túnel PPTP datos desde el cliente PPTP con el servidor
PPTP.
Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y TCP [establecido] puerto
de origen de 1723 (0x06BB).
Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
åc c
c
c c c c
c

selecciona j .
el tráfico sólo se acepta si el servidor VPN inició la
conexión TCP.

Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y puerto de origen TCP
1723 (0x06BB). Este filtro permite el tráfico de túnel PPTP de mantenimiento del
servidor VPN para el cliente VPN.
Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 47

(0x2F). Este filtro permite un túnel PPTP datos desde el servidor VPN para el cliente
VPN.
Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y TCP [establecido] puerto
de destino de 1723 (0x06BB).
Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
selecciona j .
el tráfico es enviado sólo si el servidor VPN inició la
conexión TCP.

j
j

Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y puerto de destino UDP
500 (0x01F4). Este filtro permite el tráfico IKE con el servidor VPN.
Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 50

(0x32). Este filtro permite el tráfico ESP de IPSec desde el cliente VPN con el servidor
VPN.

Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y puerto de origen UDP
500 (0x01F4). Este filtro permite el tráfico IKE desde el servidor VPN.
Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y el Id. de protocolo IP 50

(0x32). Este filtro permite el tráfico ESP de IPSec desde el servidor VPN para el cliente
VPN.
No hay filtros necesarios para el tráfico L2TP en el puerto UDP 1701. En el servidor de
seguridad, todo el tráfico L2TP, incluido el mantenimiento del túnel y los datos del túnel
se cifra como una carga útil de ESP de IPSec.
å*c c
c
c c c c
c
üj j
ć ! )
En este supuesto, se trata de localizaciones de una misma empresa separadas

geográficamente. y que necesitan intercambiar datos entre ellas, acceder a una misma
base de datos, aplicación... La VPN permite conexiones confidenciales de una red a otra.
` c]å c'

(c))
cc)
c

c
ć ,
Empresas diferentes, pero que trabajan

conjuntamente (por ej, proveedor y
fabricante), pueden compartir información
de manera eficiente y segura entre sus
respectivos negocios sin que terceras
personas tengan acceso a los datos
compartidos. En este caso también se
interconectan las redes corporativas, aunque
sólo se da acceso a un segmento de cada red.
` c]o c*c
åAc c
c
c c c c
c
ć

Ahora hablamos de trabajadores que pasan gran parte del tiempo fuera de la empresa,
como teletrabajadores o los llamados ǲroad warriorsǳ, personas que necesitan acceder a la
red de la empresa pero que están constantemente cambiando de ubicación. Ahora lo que
se permite es a un ordenador personal o portátil el acceso a la red corporativa,
manteniendo la privacidad.
` c] c c c
j j

ć j

Las redes privadas virtuales garantizan la privacidad y la confidencialidad de la

información haciendo uso de la encriptación primer nivel de seguridad. En un muy breve
resumen, encriptación es una técnica que codifica la información de un modo que hace
difícil o imposible su lectura, y la decodifica de modo que pueda ser leída nuevamente. A la
información codificada se la llama cipher-text y a la información sin codificar, clear-text.
Cuando en una VPN se transmite información de un punto a otro, el Gateway de la VPN del
punto de origen encripta la información en cipher-text antes de enviarla. En el otro punto,
el Gateway receptor desencripta la información, es decir se vuelve clear-text, y luego la
envía a la LAN.
åc c
c
c c c c
c
ć
Un segundo nivel de seguridad se logra a través

del uso de keys (claves) que evitan que alguien no
autorizado pueda acceder a la información. Una
clave es un código secreto utilizado por el
algoritmo de encriptación para crear una versión
única de cipher-text. Esta clave podría
compararse con la combinación utilizada en una
caja fuerte, brindando seguridad a través de la
generación de claves únicas y con alta dificultad
de ser conocidas. El nivel de seguridad depende
en buena parte del largo de la clave (key lenght).
ć

La tecnología de encriptación garantiza la privacidad de la información al atravesar

Internet. La tecnología de autenticación tercer

1.c La identidad de los participantes de la VPN (los gateways y

2.c La integridad de la información recibida (no ha sido alterada en el camino)

Existen diversos modos de autenticación, siendo el más utilizado el de usuario y
contraseña.
ć j
Encriptación, claves, autenticación (y eventualmente certificados y firmas digitales) son

las tecnologías de seguridad que garantizan la privacidad en una VPN. Ahora,
generalmente, el envío de información en una VPN se realiza entre direcciones privadas.
Es decir, entre direcciones no routeables vía Internet. Este proceso de poner un paquete
dentro de otro es denominado encapsulamiento, y es la base del tunneling.
ć j j>
OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-
compartidas y otro en SSL/TLS usando certificados y claves RSA.
oc c
c
c c c c
c
Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando
el mecanismo conocido como ǲclave simétricaǳ y dicha clave debe ser instalada en todas
las máquinas que tomarán parte en la conexión VPN.
Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas
cuentan con la ventaja de la simplicidad.
Veremos a continuación ese método y

-
-

ć /% j *j
Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la
obtuviese comprometería el tráfico completo de la organización ya que tomaría parte
como un integrante más de la VPN.
` c] c )c +

c
Es por ello que mecanismos como IPsec cambian las claves cada cierto período, asociando
a las mismas ciertos períodos de validez, llamados ǲtiempo de vidaǳ o ǲlifetimeǳ. Una
buena combinación de tiempo de vida y largo de la clave asegurarán que un atacante no
pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo
hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para
intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los
noventa y aún no ha sido terminado.
o]c c
c
c c c c
c
ć / 0
SSL/TLS usa una de las mejores tecnologías de cifrado para asegurar la identidad de los
integrantes de la VPN.
Cada integrante tiene dos claves, una pública y otra privada.
La pública es distribuida y usada por cualquiera para cifrar los datos que serán enviados a
la contraparte quien conoce la clave privada que es la única que sirve para descifrar los
datos. El par de clave pública/privada es generado a partir de algoritmos matemáticos que
aseguran que solo con la clave privada es posible leer los datos originales. El día que
alguien encuentre algún defecto a ese algoritmo, todos aquellos conectados a Internet
estarán comprometidos en forma instantánea.
` c]* c )c +

c
Es de destacar que la clave privada debe permanecer secreta mientras que la clave pública
debe ser intercambiada para que nos puedan enviar mensajes.
ć 0
Las bibliotecas SSL/TLS son parte del sofware OpenSSL que vienen instaladas en
cualquier sistema moderno e implementan mecanismos de cifrado y autenticación
basadas en certificados. Los certificados generalmente son emitidos por entidades de
reconocida confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos
en nuestra propia VPN. Con un certificado firmado, el dueño del mismo es capaz de
demostrar su identidad a todos aquellos que confíen en la autoridad certificadora que lo
emitió.
c
o c c
c
c c c c
c
j j j

j 1
!
j >
,jj

Explicaremos el procedimiento para configurar una VPN en Windows (R) XP, tanto en modo
cliente como en modo servidor.
VPN (Virtual Private Network) significa literalmente Red Privada Virtual. Básicamente
consiste en realizar una conexión a una red externa creando un túnel a través de internet,
permitiendo la creación de una red privada dentro de una red pública.
A continuación, reproducimos parte de la explicación contenida en la ayuda de windows xp

sobre VPN, por ser bastante ilustrativa:
La VPN utiliza el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol)
o el Protocolo de túnel de nivel dos (L2TP, Layer Two Tunneling Protocol), mediante los
cuales se puede tener acceso de forma segura a los recursos de una red al conectar con un
servidor de acceso remoto a través de Internet u otra red. El uso de redes privadas y públicas
para crear una conexión de red se denomina red privada virtual, Virtual Private Network).
Un usuario que ya está conectado a Internet utiliza una conexión VPN para marcar el número
del servidor de acceso remoto. Entre los ejemplos de este tipo de usuarios se incluyen las
personas cuyos equipos están conectados a una red de área local, los usuarios de cables de
conexión directa o los suscriptores de servicios como ADSL, en los que la conectividad IP se
establece inmediatamente después de que el usuario inicie el equipo. El controlador PPTP o
L2TP establece un túnel a través de Internet y conecta con el servidor de acceso remoto
habilitado para PPTP o L2TP. Después de la autenticación, el usuario puede tener acceso a la
red corporativa con total funcionalidad.

El procedimiento para la configuración constaría de 3 pasos.
Yc Configuración del servidor VPN

Yc Configuración del cliente VPN
Yc Gestión de puertos o configuración del software de seguridad.
oåc c
c
c c c c
c
ć

El procedimiento sería el siguiente:
Iremos a Inicio -> Mis sitios de red (en ocasiones Mis sitios de red no aparece
directamente en el menú, y hay que acceder a través de Mi PC)

Dentro de Mis sitios de red, seleccionamos Ver conexiones de red, y a continuación, Crear
una conexión nueva.
Se abrirá el asistente para conexión nueva e iremos siguiendo las indicaciones, pulsamos
en Siguiente:
ooc c
c
c c c c
c
Seleccionamos la opción Configurar una conexión avanzada y pulsamos en Siguiente, para

después elegir la opción Aceptar conexiones entrantes.
En esta pantalla que aparece a continuación, Dispositivos de conexiones entrantes, no

debemos marcar ninguno y pulsar directamente en el botón Siguiente. Al hacerlo de este
modo, aparecerá la pantalla para empezar a definir Conexión de red privada virtual (VPN)
entrante. La verdad es que no es fácil llegar hasta aquí. Volvemos a pulsar Siguiente.
oc c
c
c c c c
c
Debemos ahora definir un usuario que tenga permisos de acceso a través de la VPN.
Podemos elegir uno de los que ya tenemos configurado en el PC o bien crear otro
exclusivo. Al crear uno nuevo (pulsar el botón Agregar...), nos pedirá que introduzcamos
un nombre de usuario y le proporcionemos una contraseña. Esta contraseña será la que
posteriormente nos solicite al realizar la conexión remota.
Una vez creado el usuario nuevo, lo seleccionamos para permitirle la conexión, pulsamos
en Siguiente y pasamos a otra pantalla en la que nos muestra los protocolos que usará la
conexión para permitir el acceso al cliente remoto. Lo dejamos como está y pulsamos en
Siguiente para finalizar esta parte del proceso.
oc c
c
c c c c
c
Con esto habremos creado la conexión nueva y habremos creado también un usuario con
acceso a la VPN. Pulsamos en Finalizar.
Ahora volvemos a Conexiones de red para verificar que se ha creado la conexión.

Aparecerá una nueva llamada Conexiones entrantes.
o*c c
c
c c c c
c
ć

Una vez que tengamos configurado el servidor de VPN en, por ejemplo, la oficina, debemos
configurar el cliente en el lugar desde donde queramos acceder. Para ello debemos crear
en el PC del sitio remoto una nueva conexión de red.
Vamos a Mis sitios de red -> Ver conexiones de red y elegimos la opción Crear una
conexión nueva.
Volverá a abrirse el Asistente para nuevas conexiones. Pulsamos en Siguiente. Ahora

elegimos Conectarse a la red de mi lugar de trabajo.
Dentro de las 2 opciones que aparecen, elegimos Conexión de red privada virtual y en la
pantalla siguiente especificamos un nombre para que la identifique dentro de las
conexiones de red que tengamos definidas. Pulsamos en Siguiente.
oAc c
c
c c c c
c
En el siguiente paso nos pedirá que introduzcamos el nombre de host o la dirección IP del
servidor remoto. Que será la dirección del servidor que configuramos en la primera parte
del documento. Pulsamos en Siguiente y en Finalizar.
La nueva conexión aparecerá ahora en Conexiones de Red, dentro del un nuevo grupo que
se llama Red privada virtual. Para establecer la conexión, pulsamos 2 veces sobre ella con
el botón izquierdo del ratón.
oc c
c
c c c c
c
Se abrirá el diálogo de conexión, introduciremos nombre de usuario y contraseña.
Antes de realizar la primera conexión hay que hacer un pequeño ajuste en la configuración
para que se pueda seguir navegando con normalidad mientras estemos conectados a la
VPN. Para ello pulsamos en Propiedades. En la pestaña Funciones de red, seleccionamos el
Protocolo Internet (TCP/IP) y pulsamos de nuevo en Propiedades.
Ahora vamos al apartado Opciones avanzadas y llegaremos a otra pantalla. Ahí debemos
quitar la marca de la casilla Usar la puerta de enlace predeterminada en la red remota.
c c
c
c c c c
c
ć
j
>

Para establecer la comunicación VPN necesitamos que el ordenador servidor sea accesible
por los puertos 1723 TCP y el protocolo GRE (o en su defecto el puerto 47 UDP).
Por tanto debemos configurar tanto el router como los servidores de seguridad o firewall
que podamos tener instalados en el servidor para permitirlo. Cada router o firewall tendrá
sus procedimientos propios, que no serán objeto del presente manual.
Una vez realizados estos pasos debería ser posible la conexión al equipo remoto. Al menos
este equipo debería ser accesible. Para tener acceso a la red completa deberíamos realizar
una configuración más completa del servidor, que trataremos en otro manual
independiente.

c
]c c
c
c c c c
c

Por lo anterior, entiendo que una VPN es una red privada que opera a
través de una red pública, que bien ésta puede ser Internet. Toda la
información que se envíe o reciba aparentemente estará operando a
través de la red pública. Así toda la red que esté navegando, estará segura
de cualquier ataque en la red, por navegadores, curiosos o inexpertos y
principalmente de los hackers. Y además el acceso a este tipo de redes
será exclusiva para las personas o grupos que estén suscritos a una VPN.
También es cierto que día con día crece la inseguridad en la red, es decir,
uno no sabe, que nuestro nombre, domicilio, fecha de nacimiento,
preferencias comerciales, entre otras cosas puede estar siendo ǲpúblicaǳ
en ese momento; y no privada como muchos lo creemos. Sin embargo
también la tecnología avanza en la misma medida para bien, es decir, para
estar al servicio y en protección de cualquier ataque que se le haga a
nuestra privacía.
Las Redes Virtuales Privadas son una opción más para que las grandes (y
pequeñas ) empresas se mantengan a salvo de cualquier intento de
ataque en contra de esa información tan valiosa. Asimismo pueden
auxiliarse de la amplia tecnología de vanguardia en cuanto a software y
hardware se refiere.
Debemos tomar conciencia de que la tecnología de vanguardia muchas

veces se aplica para mal (para violar información privada); pero que en
muchas otras ocasiones ésta misma se encuentra en buenas manos y nos
permite comunicar rápidamente y sobre todo ser transmitida de una
forma segura y confiable.
Las VPN representan una gran solución para las empresas en cuanto a
seguridad, confidencialidad e integridad de los datos y practicamente se
ha vuelto un tema importante en las organizaciones, debido a que reduce
significativamente el costo de la trasnferencia de datos de un lugar a otro.
El único inconveniente que pudieran tener las VPN es que primero se

deben establecer correctamente las políticas de seguridad y de acceso
porque si esto no esta bien definido pueden existir consecuencias serias.

c c
c
c c c c
c
!!&
Yc http://es.kioskea.net/contents/initiation/vpn.php3
Yc http://www.uv.es/siuv/cas/zxarxa/vpn.htm
Yc http://www.redes-linux.com/manuales/vpn/trabajo.pdf
Yc http://www.josoroma.com/redes-privadas-virtuales
Yc http://blackspiral.org/docs/pfc/itis/node5.html
Yc http://www.worldlingo.com/ma/enwiki/es/Virtual_private_network
Yc http://www.ordenadores-y-portatiles.com/red-privada-vpn.html
Yc http://www.youtube.com/watch?v=0TTu2CGyFi0
Yc http://www.youtube.com/watch?v=US54jUhsJCE&feature=related
Yc http://www.youtube.com/watch?v=Po91EQ7Xasc&feature=related
Yc http://www.youtube.com/watch?v=O4ZGNgKFKGE&feature=related
Yc http://html.rincondelvago.com/redes-privadas-virtuales.html
åc c
c

Red Privada Virtual (VPN)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Red Privada Virtual (VPN)

Uploaded by

Copyright:

Available Formats

c p 

En el presente trabajo queremos hacer un humilde

No seríamos los mismos sin todos

A Dios, fuente de todo bien, por permitirnos el

A nuestros amigos entrañables, que sin

A todos muchas gracias.

Cumpliendo con las disposiciones y recomendaciones para

r j   j 

Esperamos que el esfuerzo realizado en el desarrollo del

ü    

FUNCIONAMIENTO ........................................................................................................................................ 27c

Bedoya Cabrera Yessenia

La primera solución para satisfacer esta necesidad de comunicación segura implica

 j   j 

Además una Red Privada Virtual puede ser vista como:

`  c] c c  c  c

`  c c c]cc c

`  cå c c cc c

j     j 

`  co c cc c c  c  c

Normalmente, el túnel y la conexión VPN se encuentran en la misma parte de la

    j 

Internet ha crecido más allá de las expectativas de cualquiera, y algunas estimaciones

El acceso global, la investigación de mercado, las ventas, la recopilación de datos y el apoyo a

de seguridad y los procedimientos asociados para prevenirlos, además de emplear el sentido

Yc Las RPV utilizan Internet como su medio de transporte.

Yc Internet es un medio propicio tanto para clientes comerciales como privados.

Yc Internet se extiende por todo el mundo.

Yc La conductividad en Internet es extremadamente eficiente en el mercado actual, y muchos

Yc Las RPV son flexibles, dinámicas y escalables.

Yc La tecnología base de las RPV es el conjunto de protocolos TCP/IP de Internet, lo cual la

Yc Proporcionar movilidad a los empleados.

Yc Acceso a la base de datos central sin utilización de operadores telefónicos.

Yc Interconexión total a la red de todos los comerciales (empleados), de forma segura a

Yc Intercambio de información en tiempo real.

Yc Correo electrónico corporativo

Yc Acceso remoto a la información corporativa

Yc Flexibilidad y facilidad de uso.

Yc Obtención de la máxima velocidad de transferencia de datos usando con eficiencia los

Yc Fácil adaptación a las nuevas tecnologías.

Yc        

Yc         

    

j !    

utilizan paquetes. IP sobre IP y el modo de túnel de seguridad IP (IPSec) son ejemplos de

´c j $ %   !& $ 

     

        El sistema de túnel de Nivel 2 da soporte a protocolos

´c j j j jjj

Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones

La mayoría de las implementaciones del PPP proporcionan métodos limitados de

j       

j       

El CHAP es una mejora sobre el PAP en cuanto a que no se envía la contraseña de

El MS-CHAP es un mecanismo de autenticación encriptado muy similar al CHAP.

de sesión y una extensión challenge arbitraria, al cliente remoto. El cliente remoto

´c j $  j j jjj

´c j $   j

´c  $    jj  

El IPSec es un estándar de protocolo de Nivel 3 que da soporte a la transferencia protegida

´c j    

Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se

´c j j j 

La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo

c p

rj j

ü

j j

` c] c c c c

` c c c]cc c

` cå c c cc c

j j

` co c ccc c c c

j

Yc

Yc

j !

´c j $ % !& $

El sistema de túnel de Nivel 2 da soporte a protocolos

´c j j j jjj

j

j

´c j $ j j jjj

´c j $ j

´c $ jj

´c j

´c j j j

´c + j jj

´c jjj j jj

´c j jjj

j -

Configurar los filtros de entrada siguiente con la acción filtrado Descartar

Configurar los filtros de salida siguiente con la acción filtrado Descartar

Configurar los filtros de entrada siguiente con la acción filtrado Descartar

Configurar los filtros de entrada siguiente con la acción filtrado Descartar

Configurar los filtros de salida siguiente con la acción filtrado Descartar

Configurar los filtros de entrada siguiente con la acción filtrado Descartar

Configurar los filtros de salida siguiente con la acción filtrado Descartar

` c]å c'

` c]o c*c

` c] c c c

1.c La identidad de los participantes de la VPN (los gateways y