Professional Documents
Culture Documents
c
c
c
c
c
c
c
c
ccc
c
cc
c
c
c
c
c
c
c
c
c
c
c
c
c
c
!
c
c
Gc
c
Gc á
c Gc --
Gc p
c
Gc p
c
c
c
c
c
]c c
c
c
c
c
c
c
j
Estimado Profesor:
c c
c c
c
c
c
c
c
c
åc c
c
c
c
c
c
c
oc c
c
c
c
c
c
c
ü c
c
cc
c
c
ccc
cc cc
c
ccc
cc cc
c
ccc
cc c
cc
c
c
ccc
cc cc!c
c!cc" c#$cc
c%c""&c
cc' cccc
c(c""&c
cc' c)cc
cc
c
c
c
c$"" c ccc
cc " c
cc
c
c
cc%c
cc*
c
c c+ c c c c
c ,ccc
cc*
c
c
-c
c
c
c
c c+ cc!c
cc."/c00" cc
0" cc(c
cc1 cc(c
cc2c& ccc
c!c0
c3"ccc
c%c0
c$3"ccc
c
c c
c
c
c
c
c
c
c
ö c
c
c
c
c Por:
Una red privada virtual (VPN, <i>Virtual Private Network</i>) es la extensión de una red
privada que incluye vínculos de redes compartidas o públicas como Internet. Con una red
privada virtual, puede enviar datos entre dos equipos a través de una red compartida o
pública de forma que emula un vínculo privado punto a punto. Las funciones de red privada
virtual consisten en crear y configurar una red privada virtual.
Para emular un vínculo punto a punto, los datos se encapsulan o empaquetan con un
encabezado que proporciona la información de enrutamiento que permite a los datos recorrer
la red compartida o pública hasta alcanzar su destino. Para emular un vínculo privado, los
datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red
compartida o pública no se pueden descifrar si no se dispone de las claves de cifrado. El
vínculo en el que se encapsulan y cifran los datos privados es una conexión de red privada
virtual (VPN).
Los usuarios que trabajan en casa o que están de viaje pueden usar conexiones VPN para
establecer una conexión de acceso remoto al servidor de una organización mediante la
infraestructura que proporciona una red pública como Internet. Desde la perspectiva del
usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente VPN)
y el servidor de la organización (el servidor VPN). La infraestructura exacta de la red
compartida o pública es irrelevante dado que lógicamente parece como si los datos se
enviaran a través de un vínculo privado dedicado.
Las organizaciones también pueden utilizar conexiones VPN para establecer conexiones
enrutadas con oficinas alejadas geográficamente o con otras organizaciones a través de una
red pública como Internet al mismo tiempo que realizan comunicaciones seguras. Una
conexión VPN enrutada a través de Internet funciona lógicamente como un vínculo de WAN
dedicado.
Gracias al acceso remoto y a las conexiones enrutadas, una organización puede utilizar
conexiones VPN para realizar conexiones a larga distancia, o líneas concedidas para
conexiones locales o con un Proveedor de servicios Internet (ISP).
c c
c
c
c
c
c
c
Las redes de área local (LAN) son las redes internas de las organizaciones, es decir las
conexiones entre los equipos de una organización particular. Estas redes se conectan
cada vez con más frecuencia a Internet mediante un equipo de interconexión. Muchas
veces, las empresas necesitan comunicarse por Internet con filiales, clientes o incluso
con el personal que puede estar alejado geográficamente.
Sin embargo, los datos transmitidos a través de Internet son mucho más vulnerables
que cuando viajan por una red interna de la organización, ya que la ruta tomada no
está definida por anticipado, lo que significa que los datos deben atravesar una
infraestructura de red pública que pertenece a distintas entidades. Por esta razón, es
posible que a lo largo de la línea, un usuario entrometido, escuche la red o incluso
secuestre la señal. Por lo tanto, la información confidencial de una organización o
empresa no debe ser enviada bajo tales condiciones.
Una buena solución consiste en utilizar Internet como medio de transmisión con un
protocolo de 2 , que significa que los datos se encapsulan antes de ser enviados de
manera cifrada. El término (abreviado
j ) se utiliza para hacer
referencia a la red creada artificialmente de esta manera.
Se dice que esta red es m 2 porque conecta dos redes "físicas" (redes de área local)
a través de una conexión poco fiable (Internet) y m porque sólo los equipos que
pertenecen a una red de área local de uno de los lados de la VPN pueden "ver" los
datos.
Por lo tanto, el sistema VPN brinda una conexión segura a un bajo costo, ya que todo
lo que se necesita es el hardware de ambos lados. Sin embargo, no garantiza una
calidad de servicio comparable con una línea dedicada, ya que la red física es pública y
por lo tanto no está garantizada.
c
*c c
c
c
c
c
c
c
Si trasladamos esta experiencia al mundo IP, nos daremos cuenta de las ventajas de las VPN
(Virtual Private Network). La analogía reside en que al igual que la limusina viaja por la calle
sin mostrar que ocurre en su interior, la comunicación en una VPN viaja a través de Internet,
pero está encapsulada y encriptada por lo que su contenido es secreto. Sólo el emisor y el
receptor legítimo del mensaje pueden verla en su estado normal. Así el camino de un mensaje
a través de una VPN tiene luz en los extremos, y oscuridad entre ellos, por lo que también se le
llama, metafóricamente hablando, un túnel VPN.
Hablando en un lenguaje algo más técnico, básicamente una VPN es una unión de redes
dispersas en Internet con una relación de confianza (configurable) entre las mismas, y niveles
de autenticación y cifrado. Como indica su nombre, es una red privada, puesto que brinda
autenticación y cifrado (privacidad en definitiva) y virtual porque se implementa sobre las
redes públicas existentes y que no tienen los niveles de seguridad adecuados.
A pesar del retroceso que atraviesan las inversiones en tecnología, el mundo empresarial
continúa viendo a Internet una manera de hacer negocios. La tecnología VPN está pasando de
ser una nueva palabra de moda, a ser esencial para las empresas que quieren estar
intercomunicadas. De hecho, mientras que las redes privadas están únicamente al alcance de
grandes corporaciones que pueden costear su propia red, la tecnología VPN permite
prácticamente a cualquier persona que tenga un ordenador y una línea telefónica usar datos
de manera confidencial.
Desde una perspectiva histórica, el término Red privada virtual (VPN) comenzó a forjar su
camino a principios de 1997, pero hay quienes están en desacuerdo con esta afirmación, lo
cual provoca ciertas confusiones como la fecha exacta en que apareció esta tecnología. Si bien
es verdad que la tecnología subyacente utilizada en las redes privadas virtuales es el conjunto
TCP/IP que se desarrolló en los sesenta, algunos de sus conceptos datan de mucho antes.
Ac c
c
c
c
c
c
c
!
"
!
# $%
"á&
'
á
"
"
&
"
(
á
"
)
!
ÿ 2
2
2 2 2
2
2 22
m 2 m 2
2
22
j
2 2
2 2
2 2
c c
c
c
c
c
c
c
La RPV es una tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.
El ejemplo más común es la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la
conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo
doméstico desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando la
infraestructura de Internet.
]c c
c
c
c
c
c
c
Una conexión de red privada virtual (VPN) consta de los siguientes componentes:
Yc
j
Un equipo que acepta conexiones VPN de clientes VPN.
Normalmente es un componente hardware, aunque también lo puede ser software. Puede
actuar como un gateway (
2 2
2
2
2
2
2 2 m
2 2
2
2 2
2 ) en una red o en un
único computador. Debe estar siempre conectado y esperando a que clientes VPN se
conecten a él. El software para el Servidor VPN es bastante frecuente. Sistemas como
>
permiten alojar un Servidor VPN.
Yc
j
Un equipo que inicia una conexión VPN a un servidor VPN. Un cliente VPN puede ser un
equipo individual o un enrutador.
En la mayoría de los casos un componente software, aunque puede ser también un
componente hardware. Un cliente realiza una llamada al servidor y se conecta. Entonces la
computadora cliente podrá comunicarse con el Servidor VPN, ya que ellos se encuentran
en la misma red virtual. El software para un cliente VPN es bastante común. Cuando se
carga en la computadora este software permite crear un túnel seguro VPN a través de
Internet para poder comunicarse con el Servidor VPN.
Yc
La parte de la conexión en la que se encapsulan los datos.
Los túneles permiten la encapsulación de un paquete de un tipo de protocolo dentro del
datagrama a un protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes
IP a través de una red pública, como Internet. Es posible configurar una solución VPN
basada en el protocolo de túnel punto a punto (PPTP), el protocolo de túnel de capa dos
(L2TP) o el protocolo de túnel de sockets seguros (SSTP).
PPTP, L2TP y SSTP dependen en gran medida de las características especificadas
originalmente para el protocolo punto a punto (PPP). PPP se diseñó para enviar datos a
través de conexiones punto a punto de acceso telefónico o dedicado. Para IP, PPP
encapsula los paquetes IP dentro de tramas PPP y luego transmite los paquetes PPP
encapsulados a través de un vínculo punto a punto. PPP se definió originalmente como el
protocolo que debía usarse entre un cliente de acceso telefónico y un servidor de acceso a
la red.
Yc
j
La parte de la conexión en la que se cifran los datos. En las conexiones VPN seguras, los
datos se cifran y encapsulan en la misma parte de la conexión.
Es posible crear un túnel y enviar los datos a través del túnel sin cifrarlos. No se trata de
una conexión VPN debido a que los datos privados se envían a través de una red
compartida o pública sin cifrar y en forma fácilmente legible.
]]c c
c
c
c
c
c
c
Gc j
m 2
2
2 2
2 m m
2 m 2 2
2
2 2
Gc
m 2
2 m 2m m
2 2 m
Gc
m
2 m 2m 2
ÿ
2
m 2 2 22 22 m
ü
Yc Las Redes Privadas Virtuales utilizan tecnología de túnel (tunneling) para la transmisión
de datos mediante un proceso de encapsulación y en su defecto de encriptación, esto es
importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta
última utiliza líneas telefónicas dedicadas para formar la red.
Yc
ÿ 2
2
2 2 m m
22
Yc
ë2 2
m
22 m m
2
m
2 2
2 m ÿ 2
2
2 2 2 m
2
2
2 ! m
Yc
!
ÿ
2 m
22
2
] c c
c
c
c
c
c
c
Yc !
- 2
"ë m # -
$ ë % !
2
Yc
2
Yc :
ë
2
m 2
Los PSI (proveedores de servicio de internet) han intentado manejar las crecientes solicitudes
para el acceso a Internet con más bancos de módems y conductos con mayor ancho de banda.
Desafortunadamente, incluso con esta demanda, los PSI siguen perdiendo dinero al
proporcionar el acceso básico a Internet. Esto es evidente por el hecho de que muchos PSI han
comenzado a cancelar su servicio de acceso mensual o de acceso ilimitado. Siendo éste el caso,
los PSI deben ir ahora tras los clientes empresariales y corporativos, y deben ofrecer lo que
estos negocios pidan.
]åc c
c
c
c
c
c
c
Las RPV juegan un papel importante en el proceso que permite a las compañías conducir sus
negocios en una forma menos cara. Las RPV ofrecen a las compañías una manera de reducir
sus costos, mejorar sus servicios y mantener su base de clientes. Algunas de las razones por
las que muchos negocios utilizaran las RPV para conducir sus negocios son las siguientes:
Yc Las RPV (en algunos casos) pueden utilizar la inversión que la compañía haya hecho en
hardware.
!"
Los objetivos básicos que persigue una empresa cuando decide instalar un servidor de VPN en
una o varias de sus sedes son los siguientes:
Yc Teletrabajo.
]oc c
c
c
c
c
c
c
"
Además de reducir los costos de comunicaciones, una solución VPN también proporciona las
siguientes ventajas:
Yc
22
m 2
+ -
2
2 m ", ,$ 2 'm
2 2
2 2
Yc
2
- 2 2
2
2 2
22
- m 2
2
2
2
- 2
2
2 m
Yc #
m
2
2 m
2
Para que se establezca un túnel tanto el cliente del túnel como el servidor del tunnel
deberán utilizar el mismo protocolo de túnel. La tecnología de túnel se puede basar ya sea
en el protocolo del túnel de Nivel 2 ó de Nivel 3. Estos niveles corresponden al Modelo de
referencia de interconexión de sistemas abiertos (OSI). Los protocolos de nivel 2
corresponden al nivel de Enlace de datos, y utilizan tramas como su unidad de
intercambio. PPTP y L2TP y el envoi de nivel 2 (L2F) son protocolos de túnel de Nivel 2;
ambos encapsulan la carga útil en una trama de Protocolo de punto a punto (PPP) que se
enviará a través de la red. Los protocolos de Nivel 3 corresponden al nivel de la red y
]c c
c
c
c
c
c
c
c
` c c!c
c
´c
$
Para las tecnologías de túnel de Nivel 2 como PPTP y L2TP, un túnel es similar a una
sesión; los dos puntos finales del túnel deben estar de acuerdo respecto al túnel y deben
negociar las variables de la configuración, como son asignación de dirección o los
parámetros de encriptación o de compresión. En la mayoría de los casos, los datos que se
transfieren a través del túnel se envían utilizando protocolos basados en datagramas. Se
utiliza un protocolo para mantenimiento del túnel como el mecanismo para administrar al
mismo. Por lo general, las tecnologías del túnel de Nivel 3 suponen que se han manejado
fuera de banda todos los temas relacionados con la configuración, normalmente por
medio de procesos manuales. Sin embargo, puede no haber una fase de mantenimiento de
túnel. Para los protocolos de Nivel 2 (PPTP y L2TP), se debe crear, mantener y luego dar
por terminado un túnel. Una vez que se establece el túnel, se pueden enviar los datos a
través del mismo. El cliente o el servidor del túnel utilizan un protocolo de transferencia
de datos del túnel para preparar los datos para su transferencia. Por ejemplo, cuando el
cliente del túnel envía una carga útil al servidor del túnel, el cliente del túnel adjunta
primero un encabezado de protocolo de transferencia de datos de túnel a la carga útil.
Luego, el cliente envía la carga útil encapsulada resultante a través de la red, la cual lo
enruta al servidor del túnel. El servidor del túnel acepta los paquetes, quita el encabezado
del protocolo de transferencia de datos del túnel y envía la carga útil a la red objetivo. La
información que se envía entre el servidor del túnel y el cliente del túnel se comporta de
manera similar.
]c c
c
c
c
c
c
c
Debido a que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como
PPTP y L2TP) heredan un conjunto de funciones útiles. Como se señala más adelante,
estas funciones, y sus contrapartes de Nivel 3 cubren los requerimientos básicos de la
VPN.
Los protocolos de túnel Nivel 2 heredan los esquemas de
autenticación del usuario de PPP, incluyendo los métodos EAP que se comentan a
continuación. Muchos de los esquemas de túnel de Nivel 3 suponen que los puntos finales
han sido bien conocidos (y autenticados) antes de que se estableciera el túnel. Una
excepción es la negociación IPSec ISAKMP, la cual proporciona una autenticación mutua
de los puntos finales del túnel. (Nótese que la mayor parte de las implementaciones IPSec
dan soporte sólo a certificados basados en equipo, más que en certificados de usuarios.
Como resultado,cualquier usuario con acceso a uno de los equipos de punto final puede
utilizar el túnel. Se puede eliminar esta debilidad potencial de seguridad cuando se
conjunta el IPSec con un protocolo de Nivel 2 como el L2TP.)
El túnel de Nivel 2 da soporte a la asignación
dinámica de direcciones de clientes basadas en un mecanismo de negociación de
Protocolo de control de la red (NCP). Por lo general, los esquemas de túnel de Nivel 3
suponen que ya se ha asignado una dirección antes de la iniciación del túnel. Los
esquemas para la asignación de direcciones en el modo de túnel IPSec están actualmente
en desarrollo y no están disponibles aún.
Los protocolos de túnel Nivel 2 dan soporte a esquemas de
compresión basados en PPP. Por ejemplo, las implementaciones de Microsoft tanto de
PPTP como L2TP utilizan Microsoft Point-to-Point Compression (MPPC). La IETF está
investigando mecanismos similares (como la compresión IP) para los protocolos de túnel
Nivel 3.
Los protocolos de túnel Nivel 2 dan soporte a mecanismos de
encriptación de datos basados en PPP. La implementación de Microsoft de PPTP da
soporte al uso opcional de Microsoft Point-to-Point Encription (MPPE), basado en el
algoritmo RSA/RC4. Los protocolos de túnel Nivel 3 pueden utilizar métodos similares;
por ejemplo, IPSec define varios métodos de Encriptación opcional de datos que se
negocian durante el intercambio ISAKMP/Oakley . La implementación de Microsoft del
protocolo L2TP utiliza la encriptación IPSec para proteger el flujo de datos del cliente al
servidor del túnel.
MPPE, un protocolo de Nivel 2, se basa en las claves iniciales
generadas durante la Autenticación del usuario y luego las renueva periódicamente. IPSec
]*c c
c
c
c
c
c
c
negocia explícitamente una llave común durante el intercambio ISAKMP y también las
renueva periódicamente.
(c
(
jjj. PPP utiliza el Protocolo de control de enlace
(LCP) para establecer, mantener y terminar la conexión física. Durante la fase LCP
inicial, se seleccionan las opciones básicas de comunicación. Nótese que durante la
fase de establecimiento de enlace (Fase 1), se seleccionan los protocolos de
Autenticación, pero no se implementan efectivamente hasta la fase de
Autenticación de conexión (Fase 2). De manera similar, durante el LCP, se toma
una decisión en cuanto a que si dos iguales negociarán el uso de compresión y/o
encriptación. Durante la Fase 4 ocurre la elección real de algoritmos de
compresión/encriptación y otros detalles.
c
En la segunda fase, la PC cliente presenta las
credenciales del usuario al servidor de acceso remoto. Un esquema seguro de
Autenticación proporciona protección contra ataques de reproducción y
personificación de clientes remotos. (Un ataque de reproducción ocurre cuando un
tercero monitorea una conexión exitosa y utiliza paquetes capturados para
reproducir la respuesta del cliente remoto, de tal manera que pueda lograr una
conexión autenticada. La personificación del cliente remoto ocurre cuando un
tercero se apropia de una conexión autenticada. El intruso espera hasta que se
haya autenticado la conexión y luego atrapa los parámetros de conversación,
desconecta al usuario autenticado y toma control de la conexión autenticada.)
]Ac c
c
c
c
c
c
c
` c cc
c"c
*)
j *)j
]c c
c
c
c
c
c
c
åc
å jjj La implementación de Microsoft del PPP
incluye una Fase opcional de control de rellamado. Esta fase utiliza el Protocolo de
control de rellamado (CBCP) inmediatamente después de la fase de autenticación.
Si se configura para rellamado, después de la autenticación, se desconectan tanto
el cliente remoto como el NAS. Entonces, el NAS vuelve a llamar al cliente remoto
en el número telefónico especificado. Esto proporciona un nivel adicional de
seguridad a las redes de marcación. El NAS permitirá conexiones partir de los
clientes remotos que físicamente residan sólo en números telefónicos específicos.
oc
o
. Una vez que se hayan terminado
las fases previas, PPP invoca los distintos Protocolos de control de red (NCPs) que
se seleccionaron durante la fase de establecimiento de enlace (Fase1) para
configurar los protocolos que utiliza el cliente remoto. Por ejemplo, durante esta
fase el Protocolo de control de IP (IPCP) puede asignar una dirección dinámica a
un usuario de marcación. En la implementación del PPP de Microsoft, el protocolo
de control de compresión se utiliza para negociar tanto la compresión de datos
(utilizando MPPC) como la encriptación de datos (utilizando MPPE) por la simple
razón de que ambos se implementan en la misma rutina.
c
Una vez que se han terminado las cuatro fases de
negociación, PPP empieza a transferir datos hacia y desde los dos iguales. Cada
paquete de datos transmitidos se envuelve en un encabezado del PPP el cual quita
el sistema receptor. Si se seleccionó la compresión de datos en la fase 1 y se
negoció en la fase 4, los datos se comprimirán antes de la transmisión. Si se
seleccionaron y se negociaron de manera similar la encriptación de datos, los
datos (comprimidos opcionalmente) se encriptarán antes de la transmisión.
c c
c
c
c
c
c
c
El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP
para transmisión sobre una red IP, como la de Internet. También se puede utilizar el PPTP
en una red privada de LAN a LAN. El PPTP se documenta en el RFC preliminar, DzProtocolo
de túnel de punto a puntodz (pptp-draft-ietf - ppext - pptp - 02.txt). Este proyecto se
presentó ante el IETF en junio de 1996 por parte de las compañías miembros del Foro
PPTP incluyendo Microsoft Corporation, Ascend Communications, 3Com/Primary Access,
ECI Telematics y US Robotics (ahora 3Com). Protocolo de túnel de punto a punto (PPTP)
utiliza una conexión TCP para mantenimiento del túnel y tramas del PPP encapsuladas de
Encapsulación de enrutamiento genérico (GRE) para datos de túnel. Se pueden encriptar
y/o comprimir las cargas útiles de las tramas del PPP encapsulado. La Figura 5 muestra la
forma en que se ensambla el paquete del PPTP antes de la transmisión. El dibujo muestra
un cliente de marcación que crea un túnel a través de una red. El diseño de la trama final
muestra la encapsulación para un cliente de marcación (controlador de dispositivo PPP).
` c* c
ccc #cc
]c c
c
c
c
c
c
c
´c ü
L2F, una tecnología propuesta por Cisco, es un protocolo de transmisión que permite que
los servidores de acceso de marcación incluyan el tráfico de marcación en el PPP y lo
transmitan sobre enlaces WAN hacia un servidor L2F (un ruteador). El servidor L2F
envuelve entonces los paquetes y los inyecta en la red. A diferencia del PPTP y L2TP, L2F
no tiene un cliente definido. Nótese que L2F funciona sólo en túneles obligatorios. (Para
un análisis detallado de los túneles voluntarios y obligatorios, véase la sección DzTipos de
túnelesdz, más adelante en este documento.)
L2TP es una combinación del PPTP y L2F. Sus diseñadores esperan que el L2TP
represente las mejores funciones del PPTP y L2F. L2TP es un protocolo de red que
encapsula las tramas del PPP que se enviarán sobre redes IP, X.25, Frame Relay o Modo de
transferencia asíncona (ATM). Cuando está configurado para utilizar al IP como su
transporte de datagrama, L2TP se puede utilizar como un protocolo de túnel sobre
Internet. También se puede utilizar al L2TP directamente sobre varios medios WAN
(como Frame Relay) sin nivel de transporte IP. El 2TP sobre las redes IP utilizan UDP y
una serie de mensajes del L2TP para el mantenimiento del túnel. El L2TP también utiliza
UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el
túnel. Se pueden encriptar y/o comprimir las cargas útiles de las tramas PPP
encapsuladas. La Figura 6 muestra la forma en que se ensambla un paquete L2TP antes de
su transmisión. El dibujo muestra un cliente de marcación que crea un túnel a través de
una red. El diseño final de trama muestra la encapsulación para un cliente de marcación
(controlador de dispositivos PPP). La encapsulación supone el L2TP sobre IP.
c c
c
c
c
c
c
c
` cA c
ccc #c c
åc c
c
c
c
c
c
c
´c jjjj j
Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los
datos y luego incluir encabezados adicionales para transportarlos a través de la red. Los
dos protocolos son muy similares. Sin embargo, existen diferencias entre el PPTP y L2TP:
El PPTP requiere que la red sea de tipo IP. El L2TP requiere sólo que los medios del túnel
proporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar
L2TP sobre IP (utilizando UDP), circuitos virtuales permanentes (PVCs), circuitos
virtuales X.25 (VCs) o VCs ATM. El PPTP sólo puede soportar un túnel único entre puntos
terminales. El L2TP permite el uso de varios túneles entre puntos terminales. Con el L2TP,
uno puede crear diferentes túneles para diferentes calidades de servicio. L2TP
proporciona la compresión de encabezados. Cuando se activa la compresión de
encabezado, el L2TP opera sólo con 4 bytes adicionales, comparado con los 6 bytes para el
PPTP. L2TP proporciona la autenticación de túnel, mientras que el PPTP no. Sin embargo,
cuando se utiliza cualquiera de los protocolos sobre IPSec, se proporciona la autenticación
de túnel por el IPSec de tal manera que no sea necesaria la autenticación del túnel Nivel 2.
El modo del túnel del IPSec utiliza el método de seguridad negociada (de existir) para
encapsular y encriptar todos los paquetes IP para una transferencia segura a través de una
red privada o pública IP. Entonces, se vuelve a encapsular la carga útil encriptada con un
encabezado IP de texto y se envía en la red para su entrega a un servidor de túnel. Al
recibir este datagrama, el servidor del túnel procesa y descarta el encabezado IP de texto y
luego desencripta su contenido para recuperar el paquete original IP de carga útil.
Entonces, se procesa el paquete IP de carga útil de manera normal y se enruta su destino
en la red objetivo. El modo de túnel IPSec tiene las siguientes funciones y limitaciones:
Sólo da soporte a tráfico IP. Funciona en el fondo de la pila IP; por lo tanto, las aplicaciones
y protocolos de niveles más altos heredan su comportamiento. Está controlado por una
política de seguridadȄun conjunto de reglas que se cumplen a través de filtros. Esta
política de seguridad establece los mecanismos de encriptación y de túnel disponibles en
orden de preferencia y los métodos de autenticación disponibles, también en orden de
preferencia. Tan pronto como existe tráfico, los dos equipos realizan una autenticación
mutua, y luego negocian los métodos de encriptación que se utilizarán. En lo subsecuente,
se encripta todo el tráfico utilizando el mecanismo negociado de encriptación y luego se
envuelve en un encabezado de túnel.
c
oc c
c
c
c
c
c
c
j
j
Básicamente existen tres arquitecturas de conexión VPN:
c
` c c c c
cc
c c
Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las
conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores
de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de
Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los
costosos vínculos punto a puntos tradicionales, sobre todo en las comunicaciones
internacionales. Es más común el siguiente punto, también llamado tecnología de túnel o
tunneling.
c c
c
c
c
c
c
c
El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté
tratando, como por ejemplo la comunicación de islas en escenarios multicast, la
redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en la redirección de
tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando un nodo-móvil no se
encuentra en su red base, necesita que su home-agent realice ciertas funciones en su
puesto, entre las que se encuentra la de capturar el tráfico dirigido al nodo-móvil y
redirigirlo hacia él. Esa redirección del tráfico se realiza usando un mecanismo de
tunneling, ya que es necesario que los paquetes conserven su estructura y contenido
originales (dirección IP de origen y destino, puertos, etc.) cuando sean recibidos por el
nodo-móvil.
c
´c j
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro
de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet
como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve
para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente
para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos,
ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado
del cifrado, haciendo posible que sólo el personal de recursos humanos habilitado pueda
acceder a la información.
Otro ejemplo es la conexion a redes WIFI haciendo uso de túneles cifrados IPSEC o SSL
que además de pasar por los métodos de autenticación tradicionales (WAP, WEP,
MAcaddress, etc.) agregan las credenciales de seguridad del túnel VPN creado en la LAN
internas o externas.
c
Los requisitos indispensables para implantar una VPN son:
Yc Políticas de seguridad: codificación de datos (los datos que se van a transmitir a través de
la red pública deben ser previamente encriptados para que no puedan ser leídos por
clientes no autorizados de la red), administración de claves (la VPN debe generar y
renovar las claves de codificación para el cliente y el servidor.),...
c c
c
c
c
c
c
c
estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren los
accesos, la información y el instante en que se realizó.
Yc Administración de direcciones: la VPN debe establecer una dirección del cliente en la red
privada y debe cerciorarse que las direcciones privadas se conserven así.
Yc Soporte a protocolos múltiples: la VPN debe ser capaz de manejar los protocolos comunes
que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP), el
intercambio de paquete de internet(IPX) entre otros.
Yc Tener una conexión a Internet:ya sea por conexión IP dedicada, ADSL o dial-up.
Yc Cliente VPN: este puede ser un usuario remoto o un enrutador de otra LAN.
c
` c] c`
ccc c c
c
La palabra "túnel" se usa para simbolizar el hecho que los datos estén cifrados desde el
momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para
cualquiera que no se encuentre en uno de los extremos de la VPN, como si los datos viajaran a
*c c
c
c
c
c
c
c
través de un túnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y
descifra los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor de
acceso remoto) es el elemento que descifra los datos del lado de la organización.
De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se
transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la
infraestructura de red pública como intermediaria; luego transmite la solicitud de manera
cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y éste envía la
respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y
finalmente los envía al usuario.
c
También hay que conseguir el source del patch para MPPE para poder aplicárselo al
kernel.
Si no desea recompilar el kernel, hay imágenes precompiladas que ya poseen el soporte
para MPPE, debe buscar la versión que mas se adecue a la arquitectura de su equipo.
Ac c
c
c
c
c
c
c
Este proceso puede tomar unos cuantos minutos, depende la maquina en la que se esté
compilando.
# dpkg -i kernel-image-2.4.20-mppe_10.00.Custom_i386.deb
Ahora solo resta reiniciar el equipo con el nuevo kernel (recuerde configurar su gestor de
arranque).
Una vez reiniciado, asegúrese que esta corriendo el nuevo kernel:
#uname -r
Aparecerá un mensaje pero será solo de advertencia, no impedirá que trabaje bien.
c
Luego salvamos el pppd actual por si hay que volver atrás, para eso solo lo renombramos,
y usamos el comando dpkg-divert el cual elimina la versión de pppd instalada por Debian,
pero guardando los atributos en el archivo copiado.
# cp /usr/sbin/pppd /usr/sbin/pppd.debian
# dpkg-divert Ȃdivert /usr/sbin/pppd.debian /usr/sbin/pppd
# cp pppd/pppd /usr/sbin/pppd
c
Descargar la ultima versión de los fuentes de PPTPD (al momento de escribir este
documento es pptpd-1.4-b2.tar.gz).
c c
c
c
c
c
c
c
´c j
åc c
c
c
c
c
c
c
Ejemplo de /etc/ppp/chap-secrets:
juan
*
bostero
*
pedro
*
de3th58
192.168.1.22
alberto
*
123456
192.168.1.23
´c j
Reglas de entrada:
# iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
# iptables -A INPUT -p 47 -j ACCEPT
Reglas de salida:
# iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
# iptables -A OUTPUT -p 47 -j ACCEPT
Ahora solo resta por levantar el demonio pptpd del siguiente modo:
#/etc/init.d/pptpd.init start
o directamente
# pptpd
å]c c
c
c
c
c
c
c
´c j
1-c Primero deberemos dar soporte a windows para establecer conexiones vpn.
Desde las propiedades de red, agregar dispositivo(o adaptador) para redes privadas
virtuales.
c
c
j ,
´c ,
Una conexión VPN de acceso remoto es realizada por un cliente de acceso remoto,
o un equipo de usuario único, que se conecta a una red privada. El servidor VPN
proporciona acceso a los recursos del servidor VPN o de toda la red a la que está
conectado el servidor VPN. Los paquetes enviados a través de la conexión VPN se
originan en el cliente de acceso remoto.
El cliente de acceso remoto (el cliente VPN) se autentica ante el servidor de acceso
remoto (el servidor VPN) y, para la autenticación mutua, el servidor se autentica al
cliente.
c
´c ,
j
Una conexión VPN de enrutador a enrutador se hace por un router y conecta dos partes de
una red privada. El servidor VPN proporciona una conexión enrutada a la red a la que está
conectado el servidor VPN. En una conexión VPN de enrutador a enrutador, los paquetes
enviados desde cualquier router a través de la conexión VPN típicamente no se originan
en los routers.
å c c
c
c
c
c
c
c
El enrutador de llamada (el cliente VPN) se autentica ante el enrutador de respuesta (el
servidor VPN), y, para la autenticación mutua, el enrutador de respuesta se autentica en el
enrutador de llamada.
c
´c ,
j > >
j
Con el servidor VPN delante del servidor de seguridad conectado a Internet, como se
muestra en la Figura 7 es necesario agregar filtros de paquetes para la interfaz de Internet
que sólo permiten el tráfico VPN hacia y desde la dirección IP de la interfaz del servidor
VPN en Internet.
Para el tráfico entrante, cuando los datos del túnel es descifrado por el servidor VPN que
se envía al servidor de seguridad, que emplea a sus filtros para permitir el tráfico que se
remitirá a la intranet de los recursos. Debido a que el único tráfico que está cruzando el
servidor VPN es tráfico generado por autenticado clientes VPN, firewall de filtrado en este
escenario se puede utilizar para impedir que los usuarios de VPN de acceso a recursos
específicos de la intranet.
Debido a que el tráfico de Internet sólo se permite en la intranet debe pasar por el
servidor VPN, este enfoque también evita el intercambio de transferencia de archivos
(FTP) o recursos web de la intranet con los usuarios de Internet no VPN.
ååc c
c
c
c
c
c
c
c
` c]] c$ c
ccccc`cc` %c
Para la interfaz de Internet del servidor VPN, configurar la siguiente entrada y los filtros
de salida con el Servicio de enrutamiento y acceso remoto en.
jjj
Yc Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se
selecciona j .
el tráfico sólo se acepta si el servidor VPN inició la
conexión TCP.
åoc c
c
c
c
c
c
c
j
j
Configurar los filtros de salida siguiente con la acción de filtrado Descartar todos los
paquetes que no cumplan con los siguientes criterios:
No hay filtros necesarios para el tráfico ESP de IPSec para el protocolo IP 50. El Servicio de
enrutamiento y acceso remoto servicio de acceso de filtros se aplican después de que el
módulo de IPSec de TCP / IP elimina la cabecera ESP.
j
En una configuración más común, que se ilustra en la Figura 12, el servidor de seguridad
está conectado a Internet y el servidor VPN es otro recurso intranet conectada a una zona
desmilitarizada (DMZ). La zona desmilitarizada es un segmento de red IP que
normalmente contiene los recursos disponibles para los usuarios de Internet, tales como
åc c
c
c
c
c
c
c
servidores Web y servidores FTP. El servidor VPN tiene una interfaz en la zona de
distensión y una interfaz de la intranet.
En este enfoque, el servidor de seguridad se debe configurar con filtros de entrada y salida
en la interfaz de Internet para permitir el paso del tráfico del túnel de mantenimiento y un
túnel de datos con el servidor VPN. Filtros adicionales se pueden permitir el paso de
tráfico a los servidores Web, servidores FTP, y otros tipos de servidores en la DMZ.
Debido a que el firewall no tiene las claves de cifrado para cada conexión VPN, sólo se
puede filtrar por las cabeceras de texto claro de los datos de un túnel, lo que significa que
todos los datos del túnel pasan a través del firewall. Sin embargo, esto no es un problema
de seguridad porque la conexión VPN requiere un proceso de autenticación que impide el
acceso no autorizado más allá del servidor VPN.
c
` c] c$ c
c&cc cc cccc
jjj
Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y puerto de destino TCP
1723 (0x06BB). Este filtro permite el tráfico de mantenimiento del túnel PPTP desde
el cliente PPTP con el servidor PPTP.
Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y TCP [establecido] puerto
de origen de 1723 (0x06BB).
Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
åc c
c
c
c
c
c
c
Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y puerto de origen TCP
1723 (0x06BB). Este filtro permite el tráfico de túnel PPTP de mantenimiento del
servidor VPN para el cliente VPN.
Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y TCP [establecido] puerto
de destino de 1723 (0x06BB).
Este filtro sólo es necesario si el servidor VPN está actuando como un cliente VPN (un
enrutador de llamada) en una conexión VPN de enrutador a enrutador. Cuando se
selecciona j .
el tráfico es enviado sólo si el servidor VPN inició la
conexión TCP.
j
j
Yc Dirección IP de destino de la interfaz DMZ del servidor VPN y puerto de destino UDP
500 (0x01F4). Este filtro permite el tráfico IKE con el servidor VPN.
Yc Dirección IP de origen de la interfaz DMZ del servidor VPN y puerto de origen UDP
500 (0x01F4). Este filtro permite el tráfico IKE desde el servidor VPN.
No hay filtros necesarios para el tráfico L2TP en el puerto UDP 1701. En el servidor de
seguridad, todo el tráfico L2TP, incluido el mantenimiento del túnel y los datos del túnel
se cifra como una carga útil de ESP de IPSec.
å*c c
c
c
c
c
c
c
üj
j
´c ! )
c
´c ,
åAc c
c
c
c
c
c
c
´c
Ahora hablamos de trabajadores que pasan gran parte del tiempo fuera de la empresa,
como teletrabajadores o los llamados Dzroad warriorsdz, personas que necesitan acceder a la
red de la empresa pero que están constantemente cambiando de ubicación. Ahora lo que
se permite es a un ordenador personal o portátil el acceso a la red corporativa,
manteniendo la privacidad.
j
j
´c j
åc c
c
c
c
c
c
c
´c
´c
´c j
Es decir, entre direcciones no routeables vía Internet. Este proceso de poner un paquete
dentro de otro es denominado encapsulamiento, y es la base del tunneling.
OpenVPN tiene dos modos considerados seguros, uno basado en claves estáticas pre-
compartidas y otro en SSL/TLS usando certificados y claves RSA.
oc c
c
c
c
c
c
c
Cuando ambos lados usan la misma clave para cifrar y descifrar los datos, estamos usando
el mecanismo conocido como Dzclave simétricadz y dicha clave debe ser instalada en todas
las máquinas que tomarán parte en la conexión VPN.
Si bien SSL/TLS + claves RSA es por lejos la opción más segura, las claves estáticas
cuentan con la ventaja de la simplicidad.
Cualquiera que posea la clave podrá descifrar el tráfico, por lo que si un atacante la
obtuviese comprometería el tráfico completo de la organización ya que tomaría parte
como un integrante más de la VPN.
Es por ello que mecanismos como IPsec cambian las claves cada cierto período, asociando
a las mismas ciertos períodos de validez, llamados Dztiempo de vidadz o Dzlifetimedz. Una
buena combinación de tiempo de vida y largo de la clave asegurarán que un atacante no
pueda descifrar la clave a tiempo, haciendo que cuando finalmente la obtenga (porque lo
hará), ya no le sirva por estar fuera de vigencia. IPSec utiliza su propio protocolo para
intercambiar claves llamado IKE9 que ha sido desarrollado desde mediados de los
noventa y aún no ha sido terminado.
o]c c
c
c
c
c
c
c
´c / 0
SSL/TLS usa una de las mejores tecnologías de cifrado para asegurar la identidad de los
integrantes de la VPN.
La pública es distribuida y usada por cualquiera para cifrar los datos que serán enviados a
la contraparte quien conoce la clave privada que es la única que sirve para descifrar los
datos. El par de clave pública/privada es generado a partir de algoritmos matemáticos que
aseguran que solo con la clave privada es posible leer los datos originales. El día que
alguien encuentre algún defecto a ese algoritmo, todos aquellos conectados a Internet
estarán comprometidos en forma instantánea.
Es de destacar que la clave privada debe permanecer secreta mientras que la clave pública
debe ser intercambiada para que nos puedan enviar mensajes.
´c 0
Las bibliotecas SSL/TLS son parte del sofware OpenSSL que vienen instaladas en
cualquier sistema moderno e implementan mecanismos de cifrado y autenticación
basadas en certificados. Los certificados generalmente son emitidos por entidades de
reconocida confiabilidad aunque también podemos emitirlos nosotros mismos y usarlos
en nuestra propia VPN. Con un certificado firmado, el dueño del mismo es capaz de
demostrar su identidad a todos aquellos que confíen en la autoridad certificadora que lo
emitió.
c
o c c
c
c
c
c
c
c
Explicaremos el procedimiento para configurar una VPN en Windows (R) XP, tanto en modo
cliente como en modo servidor.
VPN (Virtual Private Network) significa literalmente Red Privada Virtual. Básicamente
consiste en realizar una conexión a una red externa creando un túnel a través de internet,
permitiendo la creación de una red privada dentro de una red pública.
La VPN utiliza el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol)
o el Protocolo de túnel de nivel dos (L2TP, Layer Two Tunneling Protocol), mediante los
cuales se puede tener acceso de forma segura a los recursos de una red al conectar con un
servidor de acceso remoto a través de Internet u otra red. El uso de redes privadas y públicas
para crear una conexión de red se denomina red privada virtual, Virtual Private Network).
Un usuario que ya está conectado a Internet utiliza una conexión VPN para marcar el número
del servidor de acceso remoto. Entre los ejemplos de este tipo de usuarios se incluyen las
personas cuyos equipos están conectados a una red de área local, los usuarios de cables de
conexión directa o los suscriptores de servicios como ADSL, en los que la conectividad IP se
establece inmediatamente después de que el usuario inicie el equipo. El controlador PPTP o
L2TP establece un túnel a través de Internet y conecta con el servidor de acceso remoto
habilitado para PPTP o L2TP. Después de la autenticación, el usuario puede tener acceso a la
red corporativa con total funcionalidad.
oåc c
c
c
c
c
c
c
´c
Iremos a Inicio -> Mis sitios de red (en ocasiones Mis sitios de red no aparece
directamente en el menú, y hay que acceder a través de Mi PC)
Dentro de Mis sitios de red, seleccionamos Ver conexiones de red, y a continuación, Crear
una conexión nueva.
Se abrirá el asistente para conexión nueva e iremos siguiendo las indicaciones, pulsamos
en Siguiente:
ooc c
c
c
c
c
c
c
oc c
c
c
c
c
c
c
Debemos ahora definir un usuario que tenga permisos de acceso a través de la VPN.
Podemos elegir uno de los que ya tenemos configurado en el PC o bien crear otro
exclusivo. Al crear uno nuevo (pulsar el botón Agregar...), nos pedirá que introduzcamos
un nombre de usuario y le proporcionemos una contraseña. Esta contraseña será la que
posteriormente nos solicite al realizar la conexión remota.
Una vez creado el usuario nuevo, lo seleccionamos para permitirle la conexión, pulsamos
en Siguiente y pasamos a otra pantalla en la que nos muestra los protocolos que usará la
conexión para permitir el acceso al cliente remoto. Lo dejamos como está y pulsamos en
Siguiente para finalizar esta parte del proceso.
oc c
c
c
c
c
c
c
Con esto habremos creado la conexión nueva y habremos creado también un usuario con
acceso a la VPN. Pulsamos en Finalizar.
o*c c
c
c
c
c
c
c
´c
Una vez que tengamos configurado el servidor de VPN en, por ejemplo, la oficina, debemos
configurar el cliente en el lugar desde donde queramos acceder. Para ello debemos crear
en el PC del sitio remoto una nueva conexión de red.
Vamos a Mis sitios de red -> Ver conexiones de red y elegimos la opción Crear una
conexión nueva.
Dentro de las 2 opciones que aparecen, elegimos Conexión de red privada virtual y en la
pantalla siguiente especificamos un nombre para que la identifique dentro de las
conexiones de red que tengamos definidas. Pulsamos en Siguiente.
oAc c
c
c
c
c
c
c
En el siguiente paso nos pedirá que introduzcamos el nombre de host o la dirección IP del
servidor remoto. Que será la dirección del servidor que configuramos en la primera parte
del documento. Pulsamos en Siguiente y en Finalizar.
La nueva conexión aparecerá ahora en Conexiones de Red, dentro del un nuevo grupo que
se llama Red privada virtual. Para establecer la conexión, pulsamos 2 veces sobre ella con
el botón izquierdo del ratón.
oc c
c
c
c
c
c
c
Antes de realizar la primera conexión hay que hacer un pequeño ajuste en la configuración
para que se pueda seguir navegando con normalidad mientras estemos conectados a la
VPN. Para ello pulsamos en Propiedades. En la pestaña Funciones de red, seleccionamos el
Protocolo Internet (TCP/IP) y pulsamos de nuevo en Propiedades.
Ahora vamos al apartado Opciones avanzadas y llegaremos a otra pantalla. Ahí debemos
quitar la marca de la casilla Usar la puerta de enlace predeterminada en la red remota.
c c
c
c
c
c
c
c
´c
j
>
Para establecer la comunicación VPN necesitamos que el ordenador servidor sea accesible
por los puertos 1723 TCP y el protocolo GRE (o en su defecto el puerto 47 UDP).
Por tanto debemos configurar tanto el router como los servidores de seguridad o firewall
que podamos tener instalados en el servidor para permitirlo. Cada router o firewall tendrá
sus procedimientos propios, que no serán objeto del presente manual.
Una vez realizados estos pasos debería ser posible la conexión al equipo remoto. Al menos
este equipo debería ser accesible. Para tener acceso a la red completa deberíamos realizar
una configuración más completa del servidor, que trataremos en otro manual
independiente.
c
]c c
c
c
c
c
c
c
Por lo anterior, entiendo que una VPN es una red privada que opera a
través de una red pública, que bien ésta puede ser Internet. Toda la
información que se envíe o reciba aparentemente estará operando a
través de la red pública. Así toda la red que esté navegando, estará segura
de cualquier ataque en la red, por navegadores, curiosos o inexpertos y
principalmente de los hackers. Y además el acceso a este tipo de redes
será exclusiva para las personas o grupos que estén suscritos a una VPN.
También es cierto que día con día crece la inseguridad en la red, es decir,
uno no sabe, que nuestro nombre, domicilio, fecha de nacimiento,
preferencias comerciales, entre otras cosas puede estar siendo Dzpúblicadz
en ese momento; y no privada como muchos lo creemos. Sin embargo
también la tecnología avanza en la misma medida para bien, es decir, para
estar al servicio y en protección de cualquier ataque que se le haga a
nuestra privacía.
Las Redes Virtuales Privadas son una opción más para que las grandes (y
pequeñas ) empresas se mantengan a salvo de cualquier intento de
ataque en contra de esa información tan valiosa. Asimismo pueden
auxiliarse de la amplia tecnología de vanguardia en cuanto a software y
hardware se refiere.
Las VPN representan una gran solución para las empresas en cuanto a
seguridad, confidencialidad e integridad de los datos y practicamente se
ha vuelto un tema importante en las organizaciones, debido a que reduce
significativamente el costo de la trasnferencia de datos de un lugar a otro.
c c
c
c
c
c
c
c
!!&
Yc http://es.kioskea.net/contents/initiation/vpn.php3
Yc http://www.uv.es/siuv/cas/zxarxa/vpn.htm
Yc http://www.redes-linux.com/manuales/vpn/trabajo.pdf
Yc http://www.josoroma.com/redes-privadas-virtuales
Yc http://blackspiral.org/docs/pfc/itis/node5.html
Yc http://www.worldlingo.com/ma/enwiki/es/Virtual_private_network
Yc http://www.ordenadores-y-portatiles.com/red-privada-vpn.html
Yc http://www.youtube.com/watch?v=0TTu2CGyFi0
Yc http://www.youtube.com/watch?v=US54jUhsJCE&feature=related
Yc http://www.youtube.com/watch?v=Po91EQ7Xasc&feature=related
Yc http://www.youtube.com/watch?v=O4ZGNgKFKGE&feature=related
Yc http://html.rincondelvago.com/redes-privadas-virtuales.html
åc c
c