PDF de programación - Introducción a las Redes Privadas

Redes Privadas Virtuales Seguridad en Redes
Informaticas

Introduccion a las Redes Privadas

Virtuales:

¿Qué es una VPN?

Una Red Privada Virtual (VPN, Virtual Private Network) nos
permite conectar los componentes de una red sobre otra red, simulando un
enlace privado dedicado entre los extremos de la VPN, permitiendo de esta
manera que un usuario remoto, que se encuentre de viaje en cualquier parte
del mundo, o una oficina que se encuentre en otra localidad, puedan
conectarse a su red corporativa utilizando la infraestructura de una red
publica, como Internet.

1.1 Usos comunes de una VPN

- Acceso de un usuario remoto sobre Internet.

Una VPN permite el acceso remoto a recursos corporativos sobre una red
publica (de aqui en adelante, Internet). En lugar de conectarse con su
modem haciendo una llamada de larga distancia, el usuario solo debe
marcar a su ISP local. Una vez conectado a Internet, el software VPN
del usuario creara una red privada virtual entre su equipo de computo y el
servidor VPN corporativo a traves de Internet.

- Conexion de redes sobre Internet.

Es posible tambien implementar una VPN para conectar oficinas externas
situadas en diferentes ciudades, a la red corporativa, evitando con
esto la necesidad de un circuito dedicado como Frame Relay, por citar
solo uno. Por ejemplo, en mi trabajo utilizabamos una red nacional con
tecnología frame relay, lo cual requiere invertir una buena cantidad de
dinero en equipo de comunicaciones. En cambio, si se implementa una
VPN solo necesitariamos una linea dedicada a un ISP y
lo necesario para montar la VPN (servidores VPN, routers, etc.)

La oficina que quisiera establecer una conexion con la red corporativa
no necesariamente tendria que utilizar una linea dedicada a su ISP,
pues tambien podria realizar la conexion utilizando dial-up. No es lo
ideal, pero es posible hacerlo. Sin embargo, el servidor VPN deberia

Marcelo Guazzardo

- 1 –

email: mguazzardo a@t anmat.gov.ar

Redes Privadas Virtuales Seguridad en Redes
Informaticas
estar conectado a Internet utilizando un enlace dedicado, para que
pueda estar escuchando trafico VPN las 24 horas.



Introducción a Tunneling

Definiremos rapidamente tunneling, para poder comprender redes

privadas virtuales.

Tunneling es un metodo que consiste en utilizar la infraestructura de

una interred (como Internet), para transportar datos de una red a otra.

Los datos a ser transportados pueden ser los cuadros (o paquetes) de
un
protocolo diferente al que maneje la interred en cuestion, es decir, en
lugar de enviar un cuadro tal y como fue producido por el nodo que lo
origino, el protocolo de tunneling (ya sea L2TP, IPSec, etc) encapsula el
cuadro en un header (encabezado) adicional que pertenece al protocolo de
transporte de la interred sobre la cual se establece el tunel (por ejemplo,
IP).

Los paquetes encapsulados son entonces enrutados sobre la interred
entre los extremos del tunel. A esa ruta logica a travez de la cual viajan los
paquetes encapsulados sobre la interred se le llama 'tunel'.

Cuando los paquetes (o cuadros) encapsulados llegan a su destino, el

paquete es desencapsulado y reenviado a su destino final.

Algunos protocolos utilizados para tunneling son:


- Point-to-Point Tunneling Protocol (PPTP). Permite que el trafico
IP, IPX o NetBEUI sea encriptado y encapsulado en encabezados IP para
ser enviado a traves de una interred IP como Internet. Este Protocolo fue
creado por Microsoft, y existe una implementacion para Linux (ver
http://poptop.lineo.com/ para una implementacion PPTP opensource).


- Layer 2 Tunneling Protocol (L2TP). Permite que el trafico IP o
IPX sea encriptado y enviado sobre cualquier medio que soporte entrega
de datragramas punto-a-punto, tales como IP, X.25, Frame Relay o ATM


- IP Security (IPSec) Tunnel Mode. Permite que paquetes IP sean
encriptados y encapsulados en encabezados IP para ser enviados a traves
de una interred IP.

Marcelo Guazzardo

- 2 –

email: mguazzardo a@t anmat.gov.ar

Redes Privadas Virtuales Seguridad en Redes
Informaticas

En resumen:

Durante el tunneling, los paquetes del protocolo ABC se encapsulan
en paquetes del protocolo XYZ para poder ser enviados a travez de una
interred XYZ. Al llegar estos paquetes, son desencapsulados y reenvia a su
destino final como paquetes ABC (*).

Cabe hacer la aclaracion que no necesariamente los paquetes
procesados por el protocolo de tunneling tienen que ser diferentes al
protocolo de la interred, tal es el caso de IP-sobre-IP y de IPSec, que
encapsulan paquetes IP para posteriormente ser transportados sobre una
red IP.

* Los protocolos ABC y XYZ son meramente ficticios.

2.1 Protocolos de Tunneling

Para que un tunel sea establecido, ambos, el cliente tunel y el

servidor tunel, deben usar el mismo protocolo de tunneling.

tunneling, ya sea de Layer 2 o de Layer 3.

La tecnologia de tunneling puede basarse en un protocolo de


Basandonos en el modelo OSI, los protocolos Layer 2, que
corresponden a la capa de enlace de datos, usan cuadros (frames) como
unidad de intercambio. PPTP, L2TP y L2F son protocolos de tunneling
Layer 2.

traves de una interred.

Ambos encapsulan los datos en cuadros PPP para ser enviados a


Los protocolos Layer 3, que corresponden a la capa de red, utilizan
paquetes (packets) como unidad de intercambio. IPoIP y IPSec Tunnel
Mode son ejemplos de protocolos de tunneling Layer 3. Ambos encapsulan
paquetes IP en un encabezado IP adicional antes de ser enviados a traves
de una interred IP.



2.1.1 Como funciona el tunneling



Diferencia entre Tuneling de Capa 2 y Capa 3.

Marcelo Guazzardo

- 3 –

email: mguazzardo a@t anmat.gov.ar

Redes Privadas Virtuales Seguridad en Redes
Informaticas

En el caso de las implementaciones VPN basadas en Layer 2, tales
como PPTP y L2TP, el tunel es similar a una sesion, es decir, ambos
extremos del tunel deben negociar ciertas variables tales asignacion de
direccion o parametros de cifrado o compresion.

En las implementaciones Layer 3, por contrario, se asume que toda
la configuracion ha sido resuelta con anterioridad. Para estos
protocolos el tunel no se mantiene. Para los protocolos Layer 2, sin
embargo, un tunel debe ser creado, mantenido y terminado.

Una vez que el tunel es establecido, los datos pueden ser enviados.

2.2 Point-to-Point Protocol


Debido a que los protocolos Layer 2 dependen enormemente de las
caracteristicas especificadas para PPP, vamos a ver un poco mas en detalle
este protocolo.

PPP fue diseñado para enviar datos a traves de conexiones dial-up o
a traves de enlaces dedicados punto-a-punto. PPP encapsula paquetes
IP,IPX y NetBEUI dentro de cuadros PPP, para posteriormente transmitir
los paquetes PPP encapsulados a traves de un enlace punto-a-punto.

Server) es el PPP.

El protocolo utilizado entre un modem y un NAS (Network Access


Existen ciertas fases de negociacion en una sesion PPP por dial-up,
que tienen que completarse antes de que la conexion PPP este lista para
transferir datos.

Fase 1: Creacion del enlace PPP

PPP utiliza LCP (Link Control Protocol) para establecer, mantener,y


terminar la conexion. Durante esta fase se definen los protocolos
de autenticacion que seran utilizados para autenticar al usuario pero no se
implementan sino hasta la siguiente fase. Es en esta primera fase donde se
decide tambien cual de los dos equipos
negociara el uso de compresion y/o cifrado.

Fase 2: Autenticacion del usuario

En esta fase, la computadora cliente se autentica con el RAS. La


mayoria de las implementaciones PPP utilizan los siguientes
protocolos para autenticacion:

Marcelo Guazzardo

- 4 –

email: mguazzardo a@t anmat.gov.ar

Redes Privadas Virtuales Seguridad en Redes
Informaticas
- Password Authentication Protocol (PAP)
- Challenge-Handshake Authentication Protocol (CHAP)


El protocolo PAP ofrece una autenticacion de lo mas sencilla,
basada en texto simple. El NAS solicita al cliente su nombre de usuario y
su password y PAP los devuelve en texto simple, es decir, sin ser cifrados,
Por lo que esto es muy peligroso, ya que si algun “Espia anduviera
Snifeandonos, se llevaria nuestra contraseña..


Por el contrario, el protocolo CHAP ofrece un mayor grado de
seguridad, debido a que el password del usuario nunca viaja, ni siquiera
cifrado, durante la sesion PPP.


CHAP funciona de la siguiente manera: Cuando durante la primera
fase ambos, cliente y servidor, acuerdan utilizar CHAP como protocolo
deautenticacion, el NAS envia un 'desafio' al cliente remoto. Este desafio
consiste en un ID de sesion y una cadena arbitraria de caracteres (desafio).
El cliente remoto debera utilizar MD5 para responder al servidor con el
nombre de usuario y una encriptación del desafio, ID de sesion y su
password. El nombre de usuario es
enviado sin cifrar. Las siguientes ecuaciones pueden ayudar entender esto:

desafio = id_sesion, cadena_desafio

nombre_usuario



respuesta = MD5(id_sesion, cadena_desafio, password),


Como se aprecia claramente, el password nunca viaja, ni siquiera
cifrado, durante la sesion, sino que es utilizado para un crear un hash del
desafio original. El servidor conoce el password del usuario, por lo que al
momento de recibir la respuesta del cliente remoto, realiza la misma
operacion con el desafio enviado y procede a comparar el resultado con la
respuesta del cliente. En caso de no