3.- práctica vpn(1)

7/22/2019 3.- Prctica VPN(1)

1/36

Escaneo de puertos TCPInstituto Tecnolg

de Acapulco

Instituto Tecnolgico DeAcapulco

Administracin De La

Seguridad.

Nombre Del Catedrtico:Dr. Eduardo De La Cruz Gmez.

Prctica:Conexin a Sistemas Remotos de Acceso VPN.

Integrantes Del Equipo:

Carlos Salgado Hernndez 09320811Fermn Villanueva Canseco 09320780Carachure Rodrguez Vctor Jess 09320803

Acapulco Gro; A 2 de Diciembre Del 2013.

7/22/2019 3.- Prctica VPN(1)

2/36


de Acapulco

NDICE DE CONTENIDO

Introduccin. ....................................................................................................................................... 3

Antecedentes ...................................................................................................................................... 4

Desarrollo Terico ............................................................................................................................... 5

Qu es una VPN? ....................................................................................................................... 5

VENTAJAS DE UNA VPN: .................................................................................................................. 6

TIPOS DE VPN: ................................................................................................................................. 6

IPSEC (Internet Protocol Secure): ................................................................................................ 7

PPTP (Point to Point Tunneling Protocol): .................................................................................. 7DIAGRAMAS: ................................................................................................................................... 8

REQUERIMIENTOS PARA EL ARMADO DE UNA VPN ....................................................................... 9

Desarrollo Prctico ............................................................................................................................ 23

Resultados ......................................................................................................................................... 35

Conclusin ......................................................................................................................................... 36

Bibliografa ........................................................................................................................................ 36

7/22/2019 3.- Prctica VPN(1)

3/36


de Acapulco

Introduccin.

Una RED se extiende sobre un rea geogrfica amplia, a veces un pas o un continente; contiene

una coleccin de mquinas dedicadas a ejecutar programas de usuario (aplicaciones).

En los ltimos aos las redes se han convertido en un factor crtico para cualquier organizacin.Cada vez en mayor medida, las redes transmiten informacin vital, por tanto dichas redes cumplen

con atributos tales como seguridad, fiabilidad, alcance geogrfico y efectividad en costos.

Se ha demostrado en la actualidad que las redes reducen en tiempo y dinero los gastos de las

empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentas

con oficinas remotas a varios kilmetros de distancia, pero tambin es cierto que estas redes

remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y

las redes para obtener informacin confidencial. Por tal motivo la seguridad de las redes es de

suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN

VPN o "Virtual Private Network" es una tecnologa de red que permite una extensin de la redlocal sobre una red pblica o no controlada, como por ejemplo Internet.

El ejemplo ms comn es la posibilidad de conectar dos o ms sucursales de una empresautilizando como vnculo Internet; tambin permitir a los miembros del equipo de soporte tcnicola conexin desde su casa al centro de cmputos, o que un usuario pueda acceder a su equipohogareo desde un sitio remoto, como por ejemplo un hotel. Todo esto utilizando lainfraestructura de Internet.

Para hacerlo posible de manera segura es necesario proveer los medios para garantizar laautenticacin, integridad y confidencialidad de toda la comunicacin.

Autenticacin y Autorizacin: Quin est del otro lado? Usuario/equipo y qu nivel deacceso debe tener.

Integridad: La garanta de que los datos enviados no han sido alterados. Confidencialidad: Dado que los datos viajan a travs de un medio hostil como Internet, los

mismos son susceptibles de interceptacin: por eso es fundamental el cifrado de los datos.De este modo, la informacin no debe poder ser interpretada por nadie ms que losdestinatarios de la misma.

7/22/2019 3.- Prctica VPN(1)

4/36


de Acapulco

Objetivo

El objetivo de este laboratorio es:

Familiarizarse con las redes privadas virtuales y establecer una configuracin deconectividad VPN en la plataforma Windows x en un S.O Linux x.

Hardware y software a utilizar

3 Equipos de Cmputo. Microsoft Windows 2003 Server (o una versin mayor). Analizador de protocolos (Sniffer).

Tareas a desarrollar

Se integrarn equipos de X alumnos y realizarn las siguientes tareas: Leer la gua VPN de Microsoft:

http://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/defa

ult.aspx

Establecer una conexin VPN entre dos nodos con un S.O Windows versin x, tambinpueden establecer la conexin con un S.O Linux.

Monitorear la operacin y los encabezados Ethernet con un analizador de protocolos. Monitorear la operacin y los encabezados VPN con un analizador de protocolos.

Antecedentes

El concepto de VPN ha estado presente desde hace algunos aos en el mundo de la redes. Amediados de los 80s, grandes portadoras fueron ofrecidas como VPN para servicios de voz, demanera que las compaas podan tener la apariencia de una red privada de voz, mientrascompartan los recursos de una red mucho mayor. Este concepto se est aplicando ahora tantopara voz como para datos de la misma manera. Esencialmente una VPN es una red de datosaparentemente privada, pero la cual utiliza los recursos de un red de informacin mucho mayor.La Internet es la plataforma ideal para crear una VPN.

En un principio existan dos tipos bsicos de tecnologas VPN, las cuales fueron la base de las VPNhoy en da: VPN confiables y VPN seguras. Las VPN hbridas, surgieron como consecuencia de undesarrollo tecnolgico y de los avances de la Internet.

Antes de que la Internet se volviera universal, una VPN consista en uno o ms circuitos rentados aun proveedor de comunicaciones. Cada circuito rentado actuaba como un cable independiente, elcual era manejado por el cliente. La idea bsica era que el cliente usara el circuito de la mismamanera en que usaba los cables fsicamente en su red local.
http://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/default.aspxhttp://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/default.aspxhttp://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/default.aspxhttp://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/default.aspxhttp://www.microsoft.com/spain/windowsserver2003/technologies/networking/vpn/default.aspx

7/22/2019 3.- Prctica VPN(1)

5/36


de Acapulco

La privacidad con la que contaban estas VPN no era ms que la que el proveedor del servicio decomunicacin le otorgaba al cliente; nadie ms poda usar el mismo circuito. Esto permita a losclientes tener su propia direccin IP y polticas de seguridad independientes. Un circuito rentadocorra sobre uno o ms switch de comunicacin, de los cuales, cualquiera poda ser comprometidopor algn operador que tratara de monitorear el trfico de las lneas. El cliente VPN tena queconfiar la integridad de los circuitos y de la informacin en el proveedor de servicio VPN; por estemotivo este tipo de redes era llamado VPN confiable.

Con el paso del tiempo la Internet se volvi ms popular como medio de comunicacincorporativo, y la seguridad se volvi un tpico de mayor importancia. Con el antecedente de lasVPN confiables, se buscaron implementaciones que no afectaran la privacidad de la informacin yque incluyeran la integridad de los datos enviados. Se empezaron a crear protocolos quepermitieran la encriptacin del trfico en algn extremo de la red, que se moviera a travs de laInternet como cualquier otra informacin, para luego ser descifrado cuando alcanzara la red de lacorporacin o al destinatario.

Desarrollo TericoQu es una VPN?

VPN (Virtual Private Network) es una extensin de una red local y privada que utiliza como mediode enlace una red pblica como por ejemplo, Internet. Tambin es posible utilizar otrasinfraestructuras WAN tales como Frame Relay, ATM, etc.

Este mtodo permite enlazar dos o ms redes simulando una nica red privada permitiendo as lacomunicacin entre computadoras como si fuera punto a punto.

Tambin un usuario remoto se puede conectar individualmente a una LAN utilizando una conexinVPN, y de esta manera utilizar aplicaciones, enviar datos, etc. de manera segura.

Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling) para la transmisin de datosmediante un proceso de encapsulacin y en su defecto de encriptacin, esto es importante a lahora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneastelefnicas dedicadas para formar la red. Ms adelante se explicara ms en profundidad elfuncionamiento del tnel.

Una de las principales ventajas de una VPN es la seguridad, los paquetes viajan a travs deinfraestructuras pblicas (Internet) en forma encriptada y a travs del tnel de manera que sea

prcticamente ilegible para quien intercepte estos paquetes.

Esta tecnologa es muy til para establecer redes que se extienden sobre reas geogrficasextensas, por ejemplo diferentes ciudades y a veces hasta pases y continentes. Por ejemploempresas que tienen oficinas remotas en puntos distantes, la idea de implementar una VPN harareducir notablemente los costos de comunicacin, dado que las llamadas telefnicas (en caso deusar dial-up) seran locales(al proveedor de Internet) o bien utilizar conexiones DSL, en tanto quede otra manera habra que utilizar lneas dedicadas las cuales son muy costosas o hacer tendidos

7/22/2019 3.- Prctica VPN(1)

6/36


de Acapulco

de cables que seran ms costosos aun.

Diagrama lgico de una VPN

VENTAJAS DE UNA VPN:

Seguridad: provee encriptacin y encapsulacin de datos de manera que hace que estosviajen codificados y a travs de un tnel.

Costos: ahorran grandes sumas de dinero en lneas dedicadas o enlaces fsicos. Mejor administracin: cada usuario que se conecta puede tener un numero de IP fijo

asignado por el administrador, lo que facilita algunas tareas como por ejemplo mandar

impresiones remotamente, aunque tambin es posible asignar las direcciones IPdinmicamente si as se requiere.

Facilidad para los usuarios con poca experiencia para conectarse a grandes redescorporativas transfiriendo sus datos de forma segura.

TIPOS DE VPN:

Las formas en que pueden implementar las VPNs pueden ser basadas en HARDWARE o a travs deSOFTWARE, pero lo ms importante es el protocolo que se utilice para la implementacin.

Las VPNs basadas en HARDWARE utilizan bsicamente equipos dedicados como por ejemplo los

routers, son seguros y fciles de usar, ofreciendo gran rendimiento ya que todos los procesosestn dedicados al funcionamiento de la red a diferencia de un sistema operativo el cual utilizamuchos recursos del procesador para brindar otros servicios, en sntesis, los equipos dedicadosson de fcil implementacin y buen rendimiento, solo que las desventajas que tienen son su altocosto y que poseen sistemas operativos propios y a veces tambin protocolos que sonPROPIETARIOS.

7/22/2019 3.- Prctica VPN(1)

7/36


de Acapulco

Existen diferentes tecnologas para armar VPNs:

DLSW: Data Link Switching(SNA over IP) IPX for Novell Netware over IP GRE: Generic Routing Encapsulation ATMP: Ascend Tunnel Management Protocol IPSEC: Internet Protocol Security Tunnel Mode PPTP: Point to Point Tunneling Protocol L2TP: Layer To Tunneling Protocol

Entre los ms usados y con mejor rendimiento estaran Ipsec y PPTP, aunque a este ltimo se leconocen fallas de seguridad.

A continuacin se detallan su funcionamiento:

IPSEC (Internet Protocol Secure):

Es un protocolo de seguridad creado para establecer comunicaciones que proporcionenconfidencialidad e integridad de los paquetes que se transmiten a travs de Internet.

IPsec puede utilizar dos mtodos para brindar seguridad, ESP (Encapsulating Security Payload) oAH (Authentication Header).

La diferencia entre ESP y AH es que el primero cifra los paquetes con algoritmos de cifradodefinidos y los autentica, en tanto que AH solo los autentica.

AH firma digitalmente los paquetes asegurndose la identidad del emisor y del receptor.

Ipsec tiene dos tipos de funcionamiento, uno es el modo transporte en el cual la encriptacin seproduce de extremo a extremo, por lo que todas las mquinas de la red deben soportar Ipsec, y elotro es el modo tnel, en el cual la encriptacin se produce solo entre los routers de cada red.

Esta ltima forma seria la ms ordenada de organizar una red VPN basada en Ipsec.

PPTP (Point to Point Tunneling Protocol):

Este es uno de los protocolos ms populares y fue originalmente diseado para permitir eltransporte (de modo encapsulado) de protocolos diferentes al TCP/IP a travs de Internet. Fuedesarrollado por el foro PPTP, el cual est formado por las siguientes empresas:

Ascend Communications, Microsoft Corporations, 3 Com, E.C.I. Telematics y U.S. Robotics (ahora 3Com).

Bsicamente, PPTP lo que hace es encapsular los paquetes del protocolo punto a punto PPP (Pointto Point Protocol) que a su vez ya vienen encriptados en un paso previo para poder enviarlos a

7/22/2019 3.- Prctica VPN(1)

8/36


de Acapulco

traves de la red.

El proceso de encriptacin es gestionado por PPP y luego es recibido por PPTP, este ltimo utilizauna conexin TCP llamada conexin de control para crear el tnel y una versin modificada de laEncapsulacin de Enrutamiento Generico (GRE, Generic Routing encapsulation) para enviar losdatos en formato de datagramas IP, que seran paquetes PPP encapsulados, desde el cliente hastael servidor y viceversa.

El proceso de autenticacin de PPTP utiliza los mismos mtodos que usa PPP al momento deestablecer una conexin, como por ejemplo PAP (Password Authenticaction Protocol) y CHAP(Challenge-Handshake Authentication Protocol).

El mtodo de encriptacion que usa PPTP es el Microsoft Point to Point Encryption, MPPE, y solo esposible su utilizacin cuando se emplea CHAP (o MS-CHAP en los NT) como medio deautenticacin.

MPPE trabaja con claves de encriptacin de 40 o 128 bits, la clave de 40 bits es la que cumple con

todos los estndares, en cambio la de 128 bits est diseada para su uso en Norte Amrica. Clientey servidor deben emplear la misma codificacin, si un servidor requiere de ms seguridad de laque soporta el cliente, entonces el servidor rechaza la conexin.

Es posible establecer conexiones mediante tneles sin encriptacin, es decir, realizar solamente laEncapsulacin, pero esto no est considerado que sea una VPN ya que los datos viajan de formainsegura a travs de la red.

DIAGRAMAS:

Hay varias posibilidades de conexiones VPN, esto ser definido segn los requerimientos de laorganizacin, por eso es aconsejable hacer un buen relevamiento a fin de obtener datos como porejemplo si lo que se desea enlazar son dos o ms redes, o si solo se conectaran usuarios remotos.

Las posibilidades son:

DE CLIENTE A SERVIDOR (Client to Server):

Un usuario remoto que solo necesita servicios o aplicaciones que corren en el mismo servidorVPN.

7/22/2019 3.- Prctica VPN(1)

9/36

7/22/2019 3.- Prctica VPN(1)

10/36


de Acapulco

especifica en la seccin 1.4 (Diagramas). Asegurarse que la VPN sea capaz de:

o Encapsular los datoso Autentificar usuarios.o Encriptar los datos.o Asignar direcciones IP de manera esttica y/o dinmica.

COMPONENTES QUE CONFORMAN UNA VPN

Las VPN consisten en hardware y software, y adems requieren otro conjunto de componentes.Estos componentes son simples requisitos que garantizan que la red sea segura, est disponible ysea fcil de mantener. Son necesarios ya sea que un PSI proporcione la VPN o que usted hayadecidido instalar una por s mismo.

Disponibilidad: Se aplica tanto al tiempo de actualizacin como al de acceso.

Control: Suministra capacitacin, experiencia, supervisin meticulosa y funciones de alerta que

ofrece algunos proveedores de servicios administrados. Una consideracin significativa es que sinimportar que tan grande sea la organizacin, es probable que solo cuente con una VPN; puedetener otros puntos de acceso pero seguir siendo una VPN corporativa.

Compatibilidad: Para utilizar tecnologa VPN e Internet como medio de transporte, la arquitecturainterna del protocolo de red de una compaa debe ser compatible con el IP nativo de Internet.

Seguridad: Lo es todo en una VPN, desde el proceso de cifrado que implementa y los servicios deautenticacin que usted elige hasta las firmas digitales y las autoridades emisoras de certificadosque utilizan. Abarca el software que implementa los algoritmos de cifrado en el dispositivo de laVPN.

Confiabilidad:Cuando una compaa decide instalar el producto VPN de un PSI, est a merced deeste.

Autenticacin de Datos y Usuarios: En datos Reafirma que el mensaje ha sido enviadocompletamente y que no ha sido alterado de ninguna forma. En usuarios es el proceso quepermite que el usuario acceda a la red.

Sobrecarga de Trfico: En todo tipo de tecnologas existen sacrificios: velocidad contradesempeo, seguridad contra flexibilidad. Las VPN caben en la misma categora cuando se hablande tamao de paquetes cifrados las sobre carga est en juego, ya que si mandamos varios

paquetes se incrementa el tamao de estos y por lo tanto se afecta la utilizacin del ancho debanda.

Sin Repudio: Es el proceso de identificar positivamente al emisor de tal manera que no puedanegarlo.

7/22/2019 3.- Prctica VPN(1)

11/36


de Acapulco

Herramientas de una VPN

VPN GatewaySoftwareFirewallRouterVPN GatewayDispositivos con un software y hardware especial para proveer de capacidad a la VPNSoftwareEsta sobre una plataforma PC o Workstation, el software desempea todas las funciones de laVPN.

TECNOLOGA DE TNEL

Las redes privadas virtuales crean un tnel o conducto de un sitio a otro para transferir datos aesto se le conoce como encapsulacin adems los paquetes van encriptados de forma que losdatos son ilegibles para los extraos.

El servidor busca mediante un router la direccin IP del cliente VPN y en la red de transito seenvan los datos sin problemas.

a. Cmo funciona.?

En la figura anterior se muestra como viajan los datos a travs de una VPN ya que el servidordedicado es del cual parten los datos, llegando a firewall que hace la funcin de una pared paraengaar a los intrusos a la red, despus los datos llegan a nube de Internet donde se genera untnel dedicado nicamente para nuestros datos para que estos con una velocidad garantizada, conun ancho de banda tambin garantizado y lleguen a su vez al firewall remoto y terminen en elservidor remoto.

7/22/2019 3.- Prctica VPN(1)

12/36


de Acapulco

Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios mviles, con oficinasremotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay, ATM como lo muestra lafigura siguiente.

Aspectos bsicos de tneles

Trabajar en un sistema de tnel es un mtodo de utilizar una infraestructura de la red paratransferir datos de una red sobre otra; los datos que sern transferidos (o carga til) pueden serlas tramas (o paquetes) de otro protocolo.

En lugar de enviar una trama a medida que es producida por el nodo promotor, el protocolo detnel la encapsula en un encabezado adicional. ste proporciona informacin de entubamiento demanera que la carga til encapsulada pueda viajar a travs de la red intermedia.

De esta manera, se pueden enrutar los paquetes encapsulados entre los puntos finales del tnel

sobre la red (la trayectoria lgica a travs de la que viajan los paquetes encapsulados en la red sedenomina tnel). Cuando las tramas encapsuladas llegan a su destino sobre la red sedesencapsulan y se envan a su destino final; ntese que este sistema de tnel incluye todo esteproceso (encapsulamiento, transmisin y desencapsulamiento de paquetes).

Existen muchos otros ejemplos de tneles que pueden realizarse sobre intranets corporativas. Yaunque la Red de redes proporciona una de las intranets ms penetrantes y econmicas, lasreferencias a Internet en este artculo se pueden reemplazar por cualquier otra intranet pblica oprivada que acte como de trnsito. Las tecnologas de tnel existen desde hace tiempo.

Algunos ejemplos de tecnologas maduras incluyen:

Tneles SNA sobre intranets IP. Cuando se enva trfico de la Arquitectura de la red del sistema(SNA) a travs de una intranet IP corporativa, la trama SNA se encapsula en un encabezado UPN eIP. Tneles IPX para Novell NetWare, sobre intranets IP. Cuando un paquete IPX se enva a unservidor NetWare o ruteador IPX, el servidor o ruteador envuelve el paquete IPX en unencabezado UDP e IP y luego lo enva a travs de una intranet IP.

Modo de tnel de seguridad IP (IPSec). Deja que se encripten las cargas tiles IP y luego se

7/22/2019 3.- Prctica VPN(1)

13/36


de Acapulco

encapsulen en un encabezado IP, para enviarse a travs de una red corporativa IP o una redpblica IP como Internes

Protocolo de tneles

Para que se establezca un tnel, tanto el cliente de ste como el servidor debern utilizar el mismoprotocolo de tnel.

La tecnologa de tnel se puede basar en el protocolo del tnel de Nivel 2 o Nivel 3; estos nivelescorresponden al Modelo de referencia de interconexin de sistemas abiertos (OSI).

Los protocolos de nivel 2 corresponden al nivel de Enlace de datos, y utilizan tramas como suunidad de intercambio. PPTP y L2TP y el envo de nivel 2 (L2F) son protocolos de tnel de Nivel 2,ambos encapsulan la carga til en una trama de Protocolo de punto a punto (PPP) que se enviar atravs de la red.

Los protocolos de Nivel 3 corresponden al nivel de la red y utilizan paquetes. IP sobre IP y el modo

de tnel de seguridad IP (IPSec) son ejemplos de los protocolos de tnel de Nivel 3; stosencapsulan los paquetes IP en un encabezado adicional antes de enviarlos a travs de una red IP.

Los protocolos y los requerimientos bsicos del tnel

Puesto que se basan en protocolos PPP bien definidos, los protocolos de Nivel 2 (como PPTP vL2TP) heredan un conjunto de funciones tiles. Como se seala adelante, estas funciones y suscontrapartes de Nivel 3 cubren los requerimientos bsicos de la VPN

Autenticacin de usuario.Los protocolos de tnel Nivel 2 hereda los esquemas de autenticacindel usuario de PPP.

Muchos de los esquemas de tnel de Nivel 3 suponen que los puntos finales han sido bienconocidos (y autenticados) antes de que se estableciera el tnel. Una excepcin es la negociacinIPSec ISAKMP que proporciona una autenticacin mutua de los puntos Finales del tnel. (Nteseque la mayor parte de las implementaciones IPSec dan soporte slo a certificados basados enequipo, ms que en certificados de usuarios; como resultado, cualquier usuario con acceso a unode los equipos de punto final puede utilizar el tnel. Se puede eliminar esta debilidad potencial deseguridad cuando se conjunta el IPSec con un protocolo de Nivel 2, como el L2TP.)

Soporte de tarjeta de seales. Al utilizar el Protocolo de autenticacin ampliable (EAP), losprotocolos de tnel Nivel 2 pueden ofrecer soporte a una amplia variedad de mtodos de

autenticacin, incluidas contraseas de una sola vez, calculadores criptogrficos y tarjetasinteligentes. Los protocolos de tnel Nivel 3 pueden utilizar mtodos similares; por ejemplo, IPSecdefine la Autenticacin de los certificados de llaves pblicas en su negociacin ISAKMP/Oakley.

Asignacin de direccin dinmica. El tnel de Nivel 2 da soporte a la asignacin dinmica dedirecciones de clientes basadas en un mecanismo de negociacin de protocolos de control de lared en general los esquemas del tnel de nivel 3 suponen que ya se ha asignado una direccinantes de la iniciacin del tnel. Cabe mencionar que los esquemas para la asignacin de

7/22/2019 3.- Prctica VPN(1)

14/36


de Acapulco

direcciones en el modo de tnel IPSec estn actualmente en desarrollo, por lo que an no estndisponibles.

Compresin de datos. Los protocolos de tnel Nivel 2 proporcionan soporte a esquemas decompresin basados en PPP Por ejemplo, las implementaciones de Microsoft tanto de PPTP comoL2TP utilizan Microsoft Point to Point Compression (MPPC). La IETF est investigando mecanismossimilares (como la compresin IP) para los protocolos de tnel Nivel 3.

Encriptacin de datos.Los protocolos de tnel Nivel 2 dan soporte a mecanismos de encriptacinde datos basados en PPP. Por su parte, la implementacin de Microsoft de PPTP da soporte al usoopcional de Microsoft Point to Point Encription (MPPE), basado en el algoritmo RSA/RC4. Losprotocolos de tnel Nivel 3 pueden utilizar mtodos similares; por ejemplo, IPSec define variosmtodos de Encriptacin opcional de datos que se negocian durante el intercambioISAKMP/Oaklev.

La implementacin de Microsoft del protocolo L2TP utiliza la encriptacin IPSec para proteger elflujo de datos del cliente al servidor del tnel.

Administracin de llaves. MPPE, un protocolo de Nivel 2, se basa en las claves iniciales generadasdurante la Autenticacin del usuario y luego las renueva en forma peridica. IPSec negociaexplcitamente una llave comn durante el intercambio ISAKMP y tambin las renueva de maneraperidica.

Soporte de protocolo mltiple. El sistema de tnel de Nivel 2 da soporte a protocolos mltiplesde carga til, lo que facilita a los clientes de tnel tener acceso a sus redes corporativas utilizandoIP, IPX, NetBEUI, etc.

En contraste, los protocolos de tnel Nivel 3, como el modo de tnel IPSec, por lo comn dan

soporte slo a redes objetivo que utilizan el protocolo IP.

PROTOCOLOS DE PUNTO A PUNTO

Debido a que los protocolos de Nivel 2 dependen principalmente de las funciones especificadaspara PPP, vale la pena examinar este protocolo ms de cerca.

PPP se dise para enviar datos a travs de conexiones de marcacin o de punto a puntodedicadas. Encapsula paquetes de IP, IPX y NetBEUI dentro de las tramas del PPP, y luegotransmite los paquetes encapsulados del PPP a travs de un enlace punto a punto. Es utilizadoentre un cliente de marcacin y un NAS.

Existen cuatro fases distintivas de negociacin en una sesin de marcacin del PPP, cada una delas cuales debe completarse de manera exitosa antes de que la conexin del PPP est lista paratransferir los datos del usuario. Estas fases se explican posteriormente.

a. Fase 1: Establecer el enlace del PPP

PPP utiliza el Protocolo de Control de Enlace (LCP) para establecer, mantener y concluir la

7/22/2019 3.- Prctica VPN(1)

15/36


de Acapulco

conexin fsica. Durante la fase LCP inicial, se seleccionan las opciones bsicas de comunicacin.

Ntese que durante la fase de establecimiento de enlace (Fase i), se seleccionan los protocolos deAutenticacin, peto no se implementan efectivamente hasta la fase de Autenticacin de conexin(Fase 2). De manera similar, durante el LCP se toma una decisin respecto a que si dos igualesnegociarn el uso de compresin y/o encriptacin. Durante la Fase 4 ocurre la eleccin real dealgoritmos de compresin/encriptacin y los otros detalles.

b. Fase 2: Autenticar al usuario

En la segunda fase, la PC cliente presenta las credenciales del usuario al servidor de accesoremoto. Por su parte, un esquema seguro de Autenticacin proporciona proteccin contra ataquesde reproduccin y personificacin de clientes remotos. (Un ataque de reproduccin ocurre cuandoun tercero monitoriza una conexin exitosa y utiliza paquetes capturados para reproducir larespuesta del cliente remoto, de manera que pueda lograr una conexin autenticada.

La personificacin del cliente remoto ocurre cuando un tercero se apropia de una conexin

autenticada.

La gran parte de la implementaciones del PPP proporcionan mtodos limitado, de Autenticacin,tpicamente el Protocolo de autenticacin de contrasea (PAP), el

Protocolo de autenticacin de saludo Challenge (CHAP) Y Microsoft Challenge HandshakeAuthentication Protocol (MSCHAP).

i. Protocolo de autenticacin de contrasea (PAP). El PAP es un esquema simple y claro deautenticacin de texto: el NAS solicita al usuario el nombre y la contrasea y el PAP le contesta eltexto claro (no encriptado).

Obviamente, este esquema de autenticacin no es seguro ya que un tercero podra capturar elnombre y la contrasea para tener sea del usuario Y til os un acceso subsecuente al NAS y todoslos recursos que proporciona el mismo cuando se ha escrito la contrasea del usuario, PAP noproporciona proteccin contra ataques de reproduccin o personificacin de cliente remoto.

ii. Protocolo de autenticacin de saludo Challenge (CHAP). El CHAP es un mecanismo encriptadoque evita la transmisin de contraseas reales en la conexin. El NAS enva un Challenge, queconsiste de una identificacin de sesin y una extensin arbitraria al cliente remoto. Por su parte,el cliente remoto deber utilizar el algoritmo de control unidireccional MD5 para devolver elnombre i del usuario y una encriptacin del challenge, la identificacin de la sesin y la contrasea

del cliente.

El CHAP es una mejora sobre el PAP en cuanto a que no se enva la contrasea de textotransparente sobre el enlace. En su lugar, se utiliza la contrasea a fin de crear una verificacinencriptada del challenge original. El servidor conoce la contrasea del texto transparente delcliente y, por tanto, puede duplicar la operacin y comparar el resultado con la contraseaenviada en la respuesta del cliente.

7/22/2019 3.- Prctica VPN(1)

16/36


de Acapulco

El CHAP protege contra ataques de reproduccin al utilizar una extensin challenge arbitraria paracada intento de autenticacin. Asimismo, protege contra la personificacin de un cliente remoto alenviar de manera impredecible challenges repetidos al cliente remoto, a todo lo largo de laduracin de la conexin.

Durante la fase 2 de la configuracin del enlace del PPP, el NAS recopila los datos de autenticaciny luego valida los datos contra su propia base de datos del usuario o contra un servidor centralpara la autenticacin de base de datos, como el que mantiene un Controlador del dominioprimario Windows NT, un servidor de Servicio remoto de usuario con marcacin de autenticacin(RA, DIUS).

c. Fase 3:

Control de interaccin del PPP

La implementacin de Microsoft del PPP incluye una Fase opcional de control de interaccin. Estafase utiliza el protocolo de control de iteracin (CBCP) inmediatamente despus de la fase de

autenticacin.

Si se configura para iteracin, despus de la autenticacin, le desconectan tanto el cliente remotocomo el NAS. En seguida, el NAS vuelve a llamar al cliente remoto en el nmero telefnicoespecificado, lo que proporciona un nivel adicional de seguridad a las redes de marcacin.

El NAS permitir conexiones partir de los clientes remotos que fsicamente residan slo ennmeros telefnicos especficos.

d. Fase 4: Invocar los Protocolos a nivel de Red

Cuando se hayan terminado las fases previas, PPP invoca los distintos Protocolos de control de red(NCP), que se seleccionaron durante la fase de establecimiento de enlace (fase i) para configurarlos protocolos que utiliza el cliente remoto. Por ejemplo, durante esta fase el Protocolo de controlde IP (IPCP) puede asignar una direccin dinmica a un usuario de marcacin.

En la implementacin del PPP de Microsoft, el protocolo de control de compresin se utiliza paranegociar tanto la compresin de datos (utilizando MPPC) como la encriptacin de stos (utilizandoMPPE), por la simple razn de que ambos se implementan en la misma rutina.

e. Fase de transferencia de datos

Una vez que hayan concluido las cuatro fases de negociacin, PPP empieza a transferir datos haciay desde los dos iguales. Cada paquete de datos transmitidos se envuelve en un encabezado delPPP, que elimina el sistema receptor. Si se seleccion la compresin de datos en la fase 1 y senegoci en la fase 4, los datos se comprimirn antes de la transmisin.

Pero si se seleccion y se negoci de manera similar la encriptacin de datos, stos (comprimidosopcionalmente) se encriptarn antes de la transmisin.

7/22/2019 3.- Prctica VPN(1)

17/36


de Acapulco

MODO DEL TUNEL DE SEGURIDAD DE PROTOCOLOS PARA INTERNET

El IPSec es un estndar de protocolo de Nivel 3 que da soporte a la transferencia protegida deinformacin a travs de una red IR En su conjunto se describe con mayor detalle en la seccin deSeguridad avanzada.

Hay un aspecto del IPSec que debe analizarse en el contexto de los protocolos de tnel: adems desu definicin de mecanismos de encriptacin para trfico IP, IPSec define el 1 formato de paquetepara un modo de tnel IP sobre IP, generalmente referido como un modo de tnel IPSec.

Un tnel IPSec consiste en un cliente de tnel v un servidor de tnel, ambos configurados parautilizar los tneles IPSec y un mecanismo negociado de encriptacin. El modo del tnel del IPSecutiliza el mtodo de seguridad negociada (de existir) para encapsular y encriptar todos lospaquetes IP, para una transferencia segura a travs de una red privada o pblica IP. As, se vuelvena encapsular la carga til encriptada con un encabeza do IP de texto Y se enva en la red para suentrega a un servidor de tnel. Al recibir este datagrama, el servidor del tnel procesa y descartael encabezado IP de texto y luego desencripta su contenido, a fin de recuperar el paquete original

IP de carga til. En seguida, se procesa el paquete IP de carga til de manera normal y se en rutasu destino en la red objetivo.

El modo de tnel IP tiene las siguientes funciones y limitaciones:

Solo da soporte a trfico IP Funciona en el fondo de la pila IP por tanto, las aplicaciones y los protocolos de niveles

ms altos hereda su comportamiento.

Est controlado por una Poltica de seguridad (un conjunto de reglas que se cumplen atravs de filtros). Esta poltica de seguridad establece los mecanismos de encriptacin y detnel disponible en orden de preferencia, as como los mtodos de autenticacindisponibles, tambin en orden de preferencia. Tan pronto como existe trfico, ambosequipos realizan una autenticacin mutua, y luego negocian los mtodos de encriptacinque se utilizarn. Posteriormente, se encripta todo el trfico de encriptacin, y luego seenvuelve en un encabezado de tnel.

PROTOCOLO DE TUNEL DE PUNTO A PUNTO

El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP paratransmisin sobre una red IP, como la de Internet. Tambin se puede utilizar en una red privada de

LAN a LAN.

El Protocolo de tnel de punto a punto (PPTP) utiliza una conexin TCP, para mantenimiento deltnel y tramas encapsuladas del PPP de Encapsulamiento de entubamiento genrico (GRE) paradatos de tnel. Se pueden encriptar y/o comprimir las cargas tiles de las tramas del PPPencapsulado.

La forma en que se ensambla el paquete del PPTP antes de la transmisin (el dibujo exhibe un

7/22/2019 3.- Prctica VPN(1)

18/36


de Acapulco

cliente de marcacin que crea un tnel a travs de una red). El diseo de la trama final muestra laencapsulamiento para un cliente de marcacin (controlador de dispositivo PPP).

a. Reenvo de nivel 2 (L2F)

Una tecnologa propuesta por cisco, es un protocolo de transmisin que permite que losservidores de acceso de marcacin incluyan el trfico de marcacin en el PPP, y lo transmitansobre enlaces WAN hacia un servidor L2F (un ruteador). Luego, el servidor L2F envuelve lospaquetes y los inyecta en la red; a diferencia del PPTP y L2TP, L2F no tiene un cliente definido.Ntese que L2F funciona slo en tneles obligatorios (para un anlisis detallado de los tnelesvoluntarios y obligatorios, vase la seccin "Tipos de tnel", ms adelante en este artculo).

b. Protocolo de tnel de nivel 2 (L2TP)

Es una combinacin del PPTP y L2F. Sus diseadores esperan que el L2TP represente las mejoresfunciones del PPTP y L2E, L2TP es un protocolo de red encapsula las tramas de] PPP que viajansobre redes IP,x.25, Frame Relay, o modo de transferencia ATM.

Cuando est configurado para utilizar al IP como su transporte de datagrama, L2TP se puedeutilizar como un protocolo de tnel sobre Internet. Tambin se Puede utilizar directamente sobrevarios medios WAN (como Frame Relay), sin nivel de transporte IP.

El L2TP sobre las redes IP utiliza UDP y una serie de mensajes para el mantenimiento de tnel.Asimismo, emplea UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviadospor el tnel; se pueden encriptar Y/O comprimir las cargas tiles de las tramas PPP encapsuladas.

c. PPTP comparado con el L2TP

Tanto el PPTP como L2TP utilizan el PPP para proporcionar una envoltura inicial de los datos, yluego incluir encabezados adicionales a fin de transportarlos a travs de la red. Aunque ambosprotocolos son muy similares, existen diferencias entre ellos:

El PPTP requiere que la red sea de tipo IP, y el L2TP requiere slo que los medios del tnelproporcionen una conectividad de punto a punto orientada a paquetes. Se puede utilizar L2TPsobre IP (utilizando UDP), circuitos virtuales permanentes (PVC), circuitos virtuales X25 (VC) o VCATM.

El PPTP slo puede soportar un tnel nico entre puntos terminales, y el L2TP permite el uso devarios tneles entre puntos terminales. Con el L2TP es posible crear diferentes tneles para

diferentes calidades de servicio.

L2TP proporciona la compresin de encabezados. Cuando se activa la compresin de encabezado,el L2TP opera slo con 4 bytes adicionales, comparado con los 6 bytes para el PPTP.

L2TP proporciona la autenticacin de tnel, no as el PPTP. Sin embargo, cuando se utilizacualquiera de los protocolos sobre IPSec, se proporciona la autenticacin de tnel por el IPSec, de

7/22/2019 3.- Prctica VPN(1)

19/36


de Acapulco

manera que no sea necesaria la autenticacin del tnel Nivel 2.

TIPOS DE TUNEL

Se pueden crear tneles en diferentes formas.

Tneles voluntarios: Una computadora de usuario o de cliente puede emitir una solicitud VPN paraconfigurar y crear un tnel voluntario. En este caso, la computadora del usuario es un puntoterminal del tnel y acta como un cliente de ste.

Tneles obligatorios: Un servidor de acceso de marcacin capaz de soportar una VPN configura ycrea un tnel obligatorio. Con uno de stos, la computadora del usuario deja de ser un puntoterminal del tnel. Otro dispositivo, el servidor de acceso remoto, entre la computadora delusuario y el servidor del tnel, es el punto terminal del tnel y acta como el cliente del mismo.

A la fecha, los tneles voluntarios han robado ser el tipo ms popular de tnel. Las siguientessecciones describen cada uno de estos tipos con mayor detalle.

a. Tneles voluntarios

Un tnel voluntario ocurre cuando, una estacin de trabajo o un servidor de entubamiento utilizanel software del cliente del tnel, a fin de crear una conexin virtual al servidor del tnel objetivo;para lograr esto se debe instalar el protocolo apropiado de tnel en la computadora cliente. Paralos protocolos que se analizan en este artculo, los tneles voluntarios requieren una conexin IP(ya sea a travs de una LAN o marcacin).

En determinadas situaciones, el cliente debe establecer una conexin de marcacin con el objetode conectarse a la red antes de que el cliente pueda establecer un tnel (ste es el caso ms

comn). Un buen ejemplo es el usuario de Internet por marcacin, que debe marcar a un ISP yobtener una conexin a Internet antes de que se pueda crear un tnel sobre Internet.

Para una PC conectada a una LAN, el cliente ya tiene una conexin a la red que le puedeproporcionar un entubamiento a las cargas tiles encapsuladas al servidor del tnel LAN elegido.Este sera el caso para un cliente en una LAN corporativa, que inicia, un tnel para alcanzar unasubred privada u oculta en la misma LAN (como sera el caso de la red de Recursos Humanos).

Es falso que las VPN requieran una conexin de marcacin, pues slo requieren de una red IP.Algunos clientes (como las PC del hogar) utilizan conexiones de marcacin 1 Internet paraestablecer transporte IP; esto es un paso preliminar en la preparacin para la creacin de un tnel,

y no es parte del protocolo del tnel mismo.

b. Tneles obligatorios

Diversos proveedores que venden servidores de acceso de marcacin han implementado lacapacidad para crear un tnel en nombre del cliente de marcacin. La computadora o eldispositivo de red que proporciona el tnel para la computadora del cliente es conocida de variasmaneras: Procesador frontal (FEP) en PPTP, un Concentrador de acceso a L2TP (LAC) en L2TP o un

7/22/2019 3.- Prctica VPN(1)

20/36


de Acapulco

gateway de seguridad IP en el IPSec. En este artculo, el trmino FEP se utilizar para describir estafuncionalidad, sin importar el protocolo de tnel.

Para realizar esta funcin, el FEP deber tener instalado el protocolo apropiado de tnel y sercapaz de establecer el tnel cuando se conecte la computadora cliente.

En el ejemplo de Internet, la computadora cliente coloca una llamada de marcacin al NASactivado por los tneles en el ISP; puede darse el caso de que una empresa haya contratado un ISPpara instalar un conjunto nacional de FEP.

Esta configuracin se conoce como "tnel obligatorio" debido a que el cliente est obligado autilizar el tnel creado por FER Cuando se realiza la conexin inicial, todo el trfico de la red de yhacia el cliente se enva automticamente a travs del tnel.

En los tneles obligatorios, la computadora cliente realiza una conexin nica PPP, y cuando uncliente marca en el NAS se crea un tnel y todo el trfico se enruta de manera automtica a travsde ste. Es posible configurar un FEP para hacer un tnel a todos los clientes de marcacin hacia

un servidor especfico del tnel. De manera alterna, el FEP podra hacer tneles individuales de losclientes basados en el nombre o destino del usuario.

A diferencia de los tneles por separado creados para cada cliente voluntario, un tnel entre elFEP y servidor puede estar compartido entre varios clientes de marcacin. Cuando un segundocliente marca al servidor de acceso (FEP) a fin de alcanzar un destino no hay necesidad de crearuna nueva instancia del tnel entre el FEP y el servidor del tnel.

Las VPNs proveen hoy ahorros de un 50 a un 75 por ciento en los costos de comunicaciones, ypermiten mantener la arquitectura de las redes flexible para adaptarse a los nuevos mecanismosde negocio de las empresas.

Estudios de mercado asignan a las VPNs oportunidades de negocio por U$S 1.1 mil millones a nivelmundial para el ao 2001, con un crecimiento anual del 72 por ciento.

Esto lo vemos reflejado en nuestro mercado local, dado que los principales vendedorescomenzaron a ofrecer este tipo de servicio.

TIPOS DE REDES VIRTUALES PRIVADAS

Las redes privadas virtuales se dividen en 3 categoras de acuerdo con el servicio de conectividadque brinden:

a.. VPN de Acceso Remoto.

(Remote Acces VPNs). Provee acceso remoto a la intranet o extranet corporativo a travs de unainfraestructura pblica, conservando las mismas polticas, como seguridad y calidad de servicio,que en la red privada. Permite el uso de mltiples tecnologas como discado, ISDN, xDSL, cable, oIP para la conexin segura de usuarios mviles, telecommuterso sucursales remotas a los recursos

7/22/2019 3.- Prctica VPN(1)

21/36


de Acapulco

corporativos (ver figura1 "VPN de acceso").

Caractersticas:

Outsourcing de acceso remoto llamadas locales o gratuitas (n 900) ubicuidad del acceso Instalacin y soporte del PS (Proveedor de servicio) Acceso nico al nodo central (elimina la competencia por puertos) Tecnologas de acceso RTC, ISDN, xDSL Movilidad IP Seguridad reforzada por el cliente

- AAA en el ISP proporciona 1 y posiblemente 2 nivel de seguridad.

b. VPN de Intranet.

Vincula la oficina remota o sucursal a la red corporativa, a travs de una red pblica, medianteenlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la redprivada: seguridad, calidad de servicio y disponibilidad, entre otras (ver figura 2. "Intranet VPN").

Caracterstica:

Extiende el modelo IP a travs de la WAN compartida.c. VPN de Extranet.

Permite la conexin de clientes, proveedores, distribuidores o dems comunidades de inters a laintranet corporativa a travs de una red pblica (ver figura "Extranet VPN").

Caractersticas:

Extiende la conectividad a proveedores y clientes sobre una infraestructura compartida usando conexiones virtuales dedicadas Los pharters tienen diferentes niveles de autorizacin

7/22/2019 3.- Prctica VPN(1)

22/36


de Acapulco

accses control lists, firewalls, filtros, segn decida la empresaTECNOLOGA DE LAS REDES PRIVADAS VIRTUALES

La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnologa para protegerla privacidad, mantener la calidad y confiabilidad, y asegurar la operatoria de la red en toda laempresa. Estos elementos son:

a. Seguridad: uso de tneles, encriptacin de datos, autenticacin de usuarios y paquetes, controlde acceso.

b. Calidad de Servicio: uso de colas, manejo de congestin de red, priorizacin de trfico,clasificacin de paquetes.

c. Gestin:implementacin y mantenimiento de las polticas de seguridad y calidad de servicio a lolargo de la VPN.

Seguridad en las VPNs

Un punto fundamental es el particionamiento de las redes pblicas o de uso compartido paraimplementar las VPN que son disjuntas. Esto se logra mediante el uso detneles que no son ni msni menos que tcnicas de encapsulado del trfico. Las tcnicas que se utilizan son: GRE, quepermite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otroprotocolo, tpicamente IP; L2TPque permite el armado de tneles para las sesiones PPP remotas, ypor ltimo IPSecpara la generacin de tneles con autenticacin y encriptado de datos.

La calidad de servicio permite la asignacin eficiente de los recursos de la red pblica a lasdistintas VPNs para que obtengan una performance predecible. A su vez, las VPNs asignarn

distintas polticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentestecnolgicas bsicas son:

a. Clasificacin de Paquetes: asignacin de prioridades a los paquetes basados en la polticacorporativa. Se pueden definir hasta siete clases de prioridades utilizando el campo de IP

precedencedentro del encabezado del paquete IP.

Committed Access Rate (CAR): garantiza un ancho de banda mnimo para aplicaciones o usuariosbasndose en la poltica corporativa.

Weighted Fair Queuing (WFQ): determina la velocidad de salida de los paquetes en base a la

prioridad asignada a stos, mediante el encolado de los paquetes.

Weighted Random Early Detection (WRED): complementa las funciones de TCP en la prevencin ymanejo de la congestin de la red, mediante el descarte de paquetes de baja prioridad.

Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el fin de reducirposibles congestiones de la red que tengan como consecuencia el descarte de paquetes.

7/22/2019 3.- Prctica VPN(1)

23/36


de Acapulco

Desarrollo Prctico

Instalando lo necesario para tener el servidor VPNPara que nuestro servidor Windows server 2008 funcione como servidor VPN, primerorealizamos una serie de pasos mostrados abajo:

Lo primero que se tiene que hacer antes de configurar el servidor VPN, es, instalar algunasfunciones del que nos ofrece Windows Server 2008:

Agregar la funcin Servicios de Dominio de Active Directory: esta funcin nos vapermitir agregar los usuarios que harn uso del VPN.

Servidor DNS: esta funcin se agrega por default cuando agregamos la funcinServicios de Dominio de Active Directory.

Servicios de acceso directivas de redes: esta funcin nos permitir agregar yconfigurar el servidor VPN.

Como se muestra en la imagen:

7/22/2019 3.- Prctica VPN(1)

24/36


de Acapulco

Configurando el Servidor VPN.

Una vez que tenemos lo necesario instalado acedemos a la siguiente ruta:Inicio herramientas Adm. Enrutamiento y acceso remoto. A continuacin seabrir: donde daremos clic derecho en el nombre del servidor Conf. Y hab. Enr. Y Acc.

Remoto.

Despus en la ventana que aparece elegimos la opcin Configuracin personalizada. Y

hacer clic en siguiente.

7/22/2019 3.- Prctica VPN(1)

25/36


de Acapulco

Posteriormente activamos la opcin Acceso a VPN.

En la ventana que aparece hacemos clic en finalizar y nos pedir que iniciemos el servicio que

estamos configurando. Los iniciamos y nuevamente hacemos clic en finalizar.

7/22/2019 3.- Prctica VPN(1)

26/36


de Acapulco

Configurar el intervalo de direccionamiento IPv4: aqu tenemos que especificar el rango

de direcciones IP que le asignaremos a los equipos que van a ser uso de la VPN. Nosotros

le dimos un rango de 10 direcciones IP vlidas.

Para lograr lo anterior hacer clic derecho sobre el nombre del servidor Propiedades

IPv4.

Una vez configurado lo necesario nuestro servidor VPN, queda configurado.

7/22/2019 3.- Prctica VPN(1)

27/36


de Acapulco

Agregar un usuario de Active Directory.

Para agregar un usuario accedemos a la siguiente ruta: inicio Herramientas Adm.

Usuarios y equipo de Active Directory.

Estando dentro Usuarios y equipo de Active Directory, desplegamos el nombre delDomino: seguridad.com, y hacemos clic derecho sobre Users NuevoUsuario.

Agregamos los campos necesarios del usuario que har uso del servidor VPN y hacemos

clic en siguiente.

7/22/2019 3.- Prctica VPN(1)

28/36


de Acapulco

Posteriormente nos pide que le asignemos una contrasea al nuevo usuario. Y hacemos

clic en siguiente. Y la ventana que aparece solo hacer clic en finalizar.

Para que el usuario que acabamos de crear pueda acceder al servicio VPN tenemos que

configurarlo previamente de la siguiente manera: hacer clic derecho sobre el nombre del

usuarioPropiedades.

En la ventana que aparece seleccionar la pestaa Marcado. Y activar la opcin Permitir

acceso. Y clic en aceptar.

7/22/2019 3.- Prctica VPN(1)

29/36


de Acapulco

Configuracin del Cliente VPN

Una vez que ya tenemos configurado nuestro servidor VPN en el Windows server 2008

procederemos a hacer la configuracin para que un cliente pueda conectarse a este servidor

desde un equipo remoto. En este caso haremos dicha configuracin en un equipo con Windows 7.

Para comenzar debemos entrar a centro de redes y recursos compartidos. Para hacer eso

podemos seguir esta ruta abrimos el Panel de control > Redes e Internet >Centro de redes y

recursos compartidos. Y nos aparecer una ventana como la siguiente:

Damos clic a configurar una nueva conexin o red

7/22/2019 3.- Prctica VPN(1)

30/36


de Acapulco

Una vez dentro debemos elegir una opcin de conexin es decir cmo vamos a conectarnos,

elegimos conectarse a un rea de trabajo que es la asignada para crear conexiones VPN y damos

clic en siguiente.

En el siguiente paso el asistente preguntara si deseamos crear una nueva conexin o usar una ya

existente en este caso activamos la casilla de No, crear una nueva conexin y damos clic en

7/22/2019 3.- Prctica VPN(1)

31/36


de Acapulco

siguiente.

Posteriormente indicamos con un clic que deseamos conectarnos mediante una VPN (Virtual

Private Network) o Red Privada Virtual en espaol.

El asistente tratara de indicarnos que nos conectemos a internet pero como ese no es el objetivo

de esta prctica lo que haremos ser activar la casilla de Decidir ms tarde y damos clic en

siguiente.

7/22/2019 3.- Prctica VPN(1)

32/36


de Acapulco

Ahora escribimos la direccin IP a la que vamos a conectarnos, en este caso es la direccin IP del

servidor VPN previamente configurado, pero en la realidad esta es una direccin que tu proveedor

de servicios VPN debe indicarte. Como nombre de destino podemos escribir lo que sea yo lo

dejare como Conexin VPN 3 y la casilla de configurar para conectarse ms tarde debe estar

activada. Damos clic en siguiente.

Lo siguiente es configurar con que usuario entraremos a la red, debe ser un usuario previamente

creado en el dominio del servidor VPN en el Server 2008. En este caso mi usuario es cara,

escribir su debida contrasea y el dominio SEGURIDAD, aunque este ltimo es opcional en este

lado de la conexin.

7/22/2019 3.- Prctica VPN(1)

33/36


de Acapulco

Ahora la conexin esta creada y lista para usarse.

Antes de conectarnos a la red nos conviene ir a las propiedades de la conexin VPN y especificar

en la pestaa de seguridad el tipo de VPN que queremos, en este caso el Protocolo de Tnel de

Punto a Punto PPTP que es el ms recomendado para estas conexiones VPN por su seguridad.

7/22/2019 3.- Prctica VPN(1)

34/36


de Acapulco

Procedemos a conectarnos a la red para eso damos clic al icono de redes en la barra de tareas

seleccionamos nuestra conexin VPN y damos clic en conectar. Debe aparecer una ventana como

la siguiente:

Aqu solo tenemos que teclear nuestro nombre de usuario, contrasea y dominio y dar clic en

conectar para tener acceso a la red VPN. Una vez que finalice el proceso estaremos ya conectadosy para comprobarlo damos clic al icono de red en la barra de tareas y vemos que efectivamente

estamos conectados a la red mediante una conexin VPN llamada Conexin VPN 3.

7/22/2019 3.- Prctica VPN(1)

35/36


de Acapulco

ResultadosEn la siguiente imagen podemos observar el cliente que est conectado a la VPN y nos muestra

algunos datos:

Nombre del usuario y al dominio que pertenece dicho usuario. El tiempo de la conexin.

7/22/2019 3.- Prctica VPN(1)

36/36


de Acapulco

Conclusin

Con la realizacin de esta prctica logramos comprender la el funcionamiento y la importancia

que tienen las VPNs hoy en da ya que como sabemos la seguridad es una de las preocupaciones

ms grandes que tienen las empresas y las conexiones VPN nos ofrecen una solucin para cuando

los empleados deben conectarse desde una red insegura como lo es la internet. Haciendo uso deprotocolo PPTP que nos permite hacer la conexin entre dos host en una VPN y tambin el

funcionamiento del protocolo de cifrado en una vpn, como lo es PPP.

Haciendo uso de los protocolos mencionados arriba las VPNs nos proporcionan seguridad,

confidencialidad e integridad de los datos, adems reducen significativamente el costo de la

transferencia de datos de un lugar a otro. Aunque demos tener en claro las polticas de seguridad

y de acceso porque si esto no est bien definido pueden existir consecuencias serias.

FALTA MAS CONCLU..

Bibliografa http://html.rincondelvago.com/red-vpn.html http://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.html
http://html.rincondelvago.com/red-vpn.htmlhttp://html.rincondelvago.com/red-vpn.htmlhttp://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.htmlhttp://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.htmlhttp://www.lugro.org.ar/biblioteca/articulos/vpn_intro/vpn_intro.htmlhttp://html.rincondelvago.com/red-vpn.html

3.- práctica vpn(1)

Documents